Contrat de Traitement de Données

S’abonner

 

CONTRAT DE TRAITEMENT DE DONNEES DANS LE CADRE DES PRESTATIONS DE SUPPORT ET MAINTENANCE LOGICIEL

 (ci-après le « CTD »)

 

Le présent CTD définit les conditions générales de traitement des Données à caractère personnel qui s’appliquent dans le cadre du Contrat : le Client est Responsable du traitement et KEYRUS est Sous-traitant.

Le CTD entre en vigueur à compter de la date d’effet du Contrat et restera en vigueur tant qu’un Contrat lie les Parties.

Dans le cadre de leurs relations contractuelles, les parties s’engagent à respecter la réglementation en vigueur applicable au traitement de Données à caractère personnel notamment le réglement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (ci-après le « RGPD ») ainsi que toute réglementation nationale applicable (ci-après la « Réglementation »).

 

ARTICLE 1.              DEFINITIONS

Tous les termes du CTD avec une lettre majuscule sont définis comme suit :

« Client » désigne le client ayant signé un Contrat avec KEYRUS, société anonyme, au capital de 4 319 467,50 €, immatriculée au Registre du Commerce et des Sociétés de Nanterre sous le numéro 400 149 647, et dont le siège social est situé 155 rue Anatole France 92300 Levallois-Perret.

« Contrat » désigne tout document contractuel conclu entre les parties concernant les services de maintenance et de support sur des logiciels acquis par le Client, notamment :

  • un contrat autonome ;
  • un contrat-cadre ;
  • un contrat d’exécution ou d’application ; ou
  • des conditions générales ;
  • un bon de commande ou une commande.

 «Données à caractère personnel» ou « Données » désignent toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «Personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

« Données sensibles » désignent les Données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique, ainsi que les données à caractère personnel relatives aux condamnations pénales, aux infractions ou aux mesures de sûreté.

«Responsable du traitement» désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre.

« Responsables conjoints du traitement » désignent deux responsables du traitement ou plus qui déterminent conjointement les finalités et les moyens du traitement.

«Sous-traitant» désigne la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des Données à caractère personnel pour le compte du responsable du traitement.

«Traitement» désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des Données ou des ensembles de Données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.

« Violation de Données » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de Données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles Données.

 

ARTICLE 2.              DOCUMENTS CONTRACTUELS

Les documents contractuels formant le CTD sont par ordre de priorité décroissante :

  • Les présentes conditions ;
  • L(es) annexe(s)

En cas de contradiction entre une et/ou plusieurs dispositions figurant dans des documents différents, le document de rang supérieur prévaudra, sauf en ce qui concerne l’Annexe 3 « Clauses contractuelles types » dont les dispositions prévalent sur les dispositions du CTD. En cas de contradiction entre une et/ou plusieurs dispositions figurant dans un document de même rang, le document le plus récent prévaudra.

Par ailleurs, il est expressément convenu entre les parties que le présent CTD forme l’intégralité des documents contractuels entre les parties concernant la protection des Données. Les dispositions du CTD remplacent toutes dispositions du Contrat portant sur la protection des Données. Seul un avenant convenu d’un commun accord entre les parties peut modifier le CTD.

Le CTD peut être modifié par KEYRUS à tout moment, afin de tenir compte notamment des recommandations de la CNIL, des évolutions relatives à la loi, de la jurisprudence, des techniques informatiques et plus généralement en fonction de toute évolution des technologies de l’information et de la communication. KEYRUS informera le Client par tout moyen de la modification du CTD.

 

ARTICLE 3.              TRAITEMENT DES DONNEES

KEYRUS s'engage à traiter les Données conformément aux instructions écrites du Client. Le Client s’engage à (i) fournir à KEYRUS les informations qui lui sont nécessaires afin de respecter la Réglementation, à (ii) documenter par écrit toute instruction concernant le traitement des Données par KEYRUS, à (iii) s’assurer que KEYRUS n’aura pas accès pendant toute la durée définie à l’Annexe 1 « Description du traitement de Données » du présent CTD à des Données à caractère personnel autres que celles visées dans ladite annexe, et à (iv) s’assurer que KEYRUS n’aura accès à aucun moment pendant toute la durée du traitement telle que définie à l’Annexe 1 « Description du traitement de Données » du présent CTD à des Données sensibles.

Dans l’hypothèse où le Traitement venait à être modifié (durée, finalité, type de Données, …), le Client s’engage à en informer KEYRUS et les Parties signeront d’un commun accord un avenant au CTD. Si le Traitement venait à évoluer sans que ladite évolution ne soit ratifiée par un avenant, quel qu’en soit la cause, seule la responsabilité du Client pourrait être retenue en cas de non-respect de la Réglementation.

KEYRUS se réserve le droit d’informer le Client si une instruction constitue selon elle une Violation de la Réglementation. Si le Client décide de tout de même poursuivre un tel Traitement de Données, seule la responsabilité du Client pourra être recherchée en cas de non-respect de la Réglementation et/ou de Violation de Données et KEYRUS sera en droit de résilier le Contrat concerné de plein droit, sans pénalité, ni remboursement du Client ou autres frais, par l’envoi d’un courrier recommandé avec avis de réception.

Si le Client a un ou plusieurs Responsables conjoints du traitement, il s’engage à lui ou leur faire respecter les mêmes obligations que celles contenues dans le présent CTD. Il est solidairement responsable des Responsables conjoints en cas de Violation du présent CTD et/ou de la Réglementation.

KEYRUS, compte tenu de la nature des prestations objet du Contrat, n’a accès aux Données à caractère personnel du Client que pour les besoins de réalisation de sa mission et les utilise en l’état telles que communiquées par le Client.

En conséquence et pour répondre aux dispositions de l’article 28 du RGPD, il est convenu entre les Parties que KEYRUS apportera son support au Client pour le respect des articles 32 à 36 du RGPD dans les conditions suivantes :

  • KEYRUS respectera les mesures de sécurité visées au présent CTD.
  • Les obligations de disponibilité des Données et de résilience des systèmes sont assurées par le Client.
  • En cas d’analyse d’impact relative à la protection des Données à caractère personnel (PIA) du Client ou en cas de consultation préalable de l’autorité de contrôle, menée par le Client au cours du Contrat, le support de KEYRUS dans ce cadre se limitera à la fourniture des informations nécessaires relatives au(x) traitement(s) que KEYRUS effectue pour le compte du Client dans le cadre du Contrat.

Les Parties peuvent toutefois convenir dans le Contrat de prestations additionnelles d’accompagnement (élaboration d’un PIA, anonymisation, …) qui seront fournies conformément audit Contrat et par dérogation à cet article.

 

ARTICLE 4.              SECURITE ET CONFIDENTIALITE

 

Les Parties s’engagent à garder confidentielles les Données à caractère personnel, y compris en veillant à ce que leur personnel en lien avec le Traitement respecte cette obligation, ainsi que ses éventuels sous-traitants.

KEYRUS s’engage à respecter les mesures techniques et organisationnelles définies d’un commun accord entre les Parties conformément à l’article 32 du RGPD afin de garantir la sécurité et la confidentialité des Données. Les mesures techniques et organisationnelles sont définies sur la plate-forme client à l’adresse https://support.keyrus.com/hc/fr/articles/360010976399-Annexe-mesures-techniques-et-organisationnelles. Les mesures techniques et organisationnelles peuvent également être communiquées au Client dans les meilleurs délais suite à l’envoi d’une demande en ce sens par courriel envoyé au DPO de KEYRUS.

KEYRUS pourra être amenée, à tout moment, à modifier les mesures techniques et organisationnelles définies, sans préavis tant que le niveau de sécurité est comparable.

Compte tenu des Données à caractère personnel concernées et du traitement qui en est fait par KEYRUS, le Client reconnaît que ces mesures de sécurité permettent de préserver la sécurité, l’intégrité et la confidentialité de ses Données à caractère personnel et notamment d’empêcher qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés, conformément à la réglementation applicable.

Le Client ne communique à KEYRUS que les Données à caractère personnel strictement nécessaires à la finalité du Traitement, conformément au principe de minimisation des Données.

Le Client s’engage, en fonction de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, et également en fonction des prestations effectuées par KEYRUS, à pseudonymiser ou chiffrer les Données à caractère personnel, le cas échéant, sans que cela n’affecte les prestations réalisées par KEYRUS et/ou à ne communiquer que des données tests, non réelles, et ce dans toute la mesure du possible.

Sauf si les Parties le prévoient autrement par le Contrat, le Client s’engage à effectuer des sauvegardes régulières des Données à caractère personnel, afin de garantir la disponibilité et l’accès à tout moment auxdites Données dans des délais appropriés en cas d’incident physique ou technique et qu’en cas de perte des Données à caractère personnel ces dernières puissent être restaurées sans frais supplémentaires pour KEYRUS.

Lorsque le personnel de KEYRUS est amené à accéder aux systèmes et données du Client, afin de pouvoir effectuer ses prestations, le Client s’engage à communiquer ses mesures techniques et organisationnelles. En l’absence de communication, seules les mesures techniques et organisationnelles du présent CTD seront respectées par le personnel de KEYRUS.

 

ARTICLE 5.              VIOLATION DES DONNÉES À CARACTÈRE PERSONNEL

KEYRUS notifiera au Client toute Violation de Données dans les meilleurs délais après en avoir pris connaissance, étant précisé que le Client est seul responsable de la notification éventuellement nécessaire auprès de l’autorité de contrôle compétente et/ou des personnes concernées.

La notification sera envoyée par courriel au Client à l’adresse email indiquée dans le compte utilisateur sur la plateforme support.

 

ARTICLE 6.              SOUS-TRAITANCE

KEYRUS peut faire appel à un autre sous-traitant (ci-après, « le Sous-traitant ultérieur ») pour réaliser une partie des prestations qui lui sont confiées, lequel pourrait avoir accès aux Données. Le Client accepte que KEYRUS sous-traite tout ou partie du Traitement de Données qui lui est confié. Dans ce cas, KEYRUS s’assurera que les obligations en matière de protection de Données en vigueur seront imposées à ce sous-traitant.

La signature du présent CTD vaut autorisation écrite générale de sous-traitance. Le Client est informé qu’il peut y avoir l’ajout ou le changement de sous-traitant au cours du Contrat. KEYRUS informera le Client, qui ne pourra s’opposer à cette nouvelle sous-traitance que pour justes motifs dans un délai de cinq (5) jours ouvrés après avoir eu l’information.

La liste des sous-traitants est annexée au CTD. Le Client peut demander à tout moment la liste des sous-traitants ultérieurs à KEYRUS, qui la lui fournira dans les meilleurs délais à réception de la demande.

 

ARTICLE 7.              AUDIT & INSPECTION

KEYRUS permet au Client de mener, au maximum une (1) fois par an et aux frais du Client, un audit sur l’exécution du Traitement et le respect des obligations imposées par le présent CTD, par des auditeurs faisant partie du personnel du Client ou des auditeurs tiers, sous réserve de l’obligation relative au secret professionnel et sous réserve du fait que les auditeurs ne soient pas des concurrents de KEYRUS.

En cas d’inspection, KEYRUS autorisera toute autorité administrative de contrôle à (i) inspecter toute installation où les services sont exécutés; (ii) surveiller et / ou auditer la conduite des services ou (iii) inspecter, auditer et / ou copier tous les documents, documents sources, produits de travail et licences requises, certificats et accréditations. KEYRUS veillera à ce que ses employés coopèrent avec l’autorité administrative de contrôle et fournira à l’autorité un accès rapide aux documents et installations demandés. Si possible, KEYRUS informera le Client des inspections directement liées au Client. Si ceci est autorisé par l’autorité de contrôle, le Client aura le droit d'assister à toute inspection directement liée aux activités / services du Client. Le Client informera KEYRUS d'une inspection ayant un impact sur KEYRUS dans les deux (2) jours ouvrables. Les détails de l'inspection doivent être communiqués à temps par les deux parties pour assurer une bonne organisation de l'inspection.

Le Client informera KEYRUS de la réalisation de l’audit un (1) mois avant la réalisation de celui-ci. La notification d’information (i) délimitera le périmètre de l’audit, (ii) indiquera le planning de l’audit et (iii) indiquera le nom et les coordonnées de l’auditeur.

Les procédures d’accès aux locaux et système d’information seront communiquées par KEYRUS au Client qui devra les respecter et les faire respecter à l’auditeur, de même que les politiques internes notamment de sécurité de KEYRUS.

Le rapport d’audit sera adressé gratuitement à KEYRUS et ce dernier sera en droit de le contester.

Dans le cas où le rapport d’audit met en évidence des manquements dans l’exécution du CTD par KEYRUS, les Parties se rencontreront afin d’élaborer un plan d’action à mettre en œuvre.

L’audit devra, dans la mesure du possible, ne pas perturber l’activité de KEYRUS, ni celle de ses sous-traitants ultérieurs. Dans l’hypothèse où l’activité de KEYRUS serait perturbée, les Parties se rencontreront pour discuter desdites conséquences et prendre toutes les mesures notamment réparatrices qu’elles jugeront nécessaires.

Dans tous les cas, le Client devra rembourser à KEYRUS le temps qu’elle a consacré à cet audit ou le temps consacré par ses Sous-traitants ultérieurs selon les tarifs KEYRUS en vigueur, lesquels pourront être mis à la disposition du Client à sa demande.

L’audit et le rapport d’audit sont confidentiels.

Les modalités d’audit susmentionnées sont applicables aux Clauses contractuelles types annexées.

 

ARTICLE 8.              TRANSFERT DE DONNEES DANS UN PAYS TIERS

Le Client accepte que les Données traitées par KEYRUS puissent être transférées en dehors de l’Union Européenne dans un pays tiers. KEYRUS informera le Client et, le cas échéant, effectuera au nom et pour le compte du Client toute formalité imposée par la Réglementation et notamment signera des clauses contractuelles types, au nom et pour le compte du Client qui lui donne mandat pour le faire.

Si KEYRUS est tenue de procéder au transfert de Données vers un pays tiers ou à une organisation internationale, en vertu du droit de l'Union ou du droit de l'État membre auquel elle serait soumise, dans ce cas, elle informe le Client de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information.

Les Parties s’engagent également à documenter ce transfert et, si demande en est faite, à être en mesure de communiquer les informations permettant de prouver le respect des obligations légales et réglementaires de ce transfert à la Personne concernée.

 

ARTICLE 9.              PERSONNES CONCERNEES

Le Client s’engage à respecter les droits des personnes concernées dont les Données à caractère personnel sont transmises à KEYRUS.

Sauf disposition contraire prévue dans le Contrat, l’information et le consentement de la Personne concernée doivent être recueillis par le Client, en tant que Responsable de traitement.

Conformément à la Réglementation en vigueur, les personnes concernées disposent d’un droit d’accès, d’opposition, de rectification, d’effacement et le cas échéant, de limitation du traitement et de portabilité de leurs Données à caractère personnel.

Les demandes des personnes concernées souhaitant exercer les droits qui leur sont octroyés par la Réglementation seront exclusivement suivies et gérées par le Client.

En fonction de la nature du Traitement et dans la mesure du possible, KEYRUS peut aider le Client à s’acquitter de son obligation de donner suite aux demandes des Personnes concernées. L’aide fournie par KEYRUS ne doit pas avoir d’impact sur son activité ou les prestations qu’elle fait pour le Client. En tout état de cause, ladite réalisation de l’assistance au Client par KEYRUS donnera lieu à une Prestation complémentaire et donc à une commande complémentaire ou un avenant au Contrat principal.

 

ARTICLE 10.           COOPÉRATION

Le Client devra coopérer à la demande de KEYRUS avec les autorités de Contrôle, et inversement.

Si un tribunal ou une Autorité de Contrôle intente une action à l’encontre d’une Partie, l’autre Partie s’engage à coopérer loyalement et avec diligence pour assister ladite Partie dans le cadre de cette action dans la mesure où cette dernière en ferait la demande.

 

ARTICLE 11.           FIN DU TRAITEMENT

Au terme de la durée du Traitement définie dans l’Annexe 1 « Description du traitement de Données » du CTD, à défaut de dispositions spécifiques dans le Contrat, le Client notifiera à KEYRUS sa volonté, de supprimer ou de lui renvoyer, dans le format où elles existent à cette date, toutes les Données à caractère personnel détenues par KEYRUS. Les Parties peuvent également convenir dans le Contrat de modalités visant à prévoir que KEYRUS renverra lesdites Données à un autre sous-traitant (au sens de la Réglementation) désigné par le Client.

En l’absence de consigne du Client quant au sort des Données à la fin du Traitement, KEYRUS détruira toutes les Données en sa possession dans les meilleurs délais, à moins que le droit de l'Union ou le droit de l'État membre n'exige la conservation desdites Données.

 

 

 

ANNEXE 1 : DESCRIPTION DU TRAITEMENT DE DONNEES

 

Délégué à la protection des Données personnelles (DPD ou DPO) de KEYRUS :

Nom:                         BERRUET

Prénom:                  Aéla

Coordonnées:       Keyrus.DataProtection@keyrus.com     

 

KEYRUS est autorisée à traiter pour le compte du CLIENT les Données nécessaires pour fournir des prestations de support et maintenance sur des logiciels acquis par le CLIENT, dont les modalités sont définies entre les Parties par Contrat séparé.

 

La durée du Traitement est la durée de fourniture des prestations de support et de maintenance susvisées.

 

La nature des opérations réalisées sur les Données est :

  • Collecte
  • Enregistrement
  • Organisation
  • Structuration
  • Conservation
  • Adaptation ou modification
  • Extraction
  • Consultation
  • Utilisation
  • Communication par transmission
  • Diffusion ou toute autre forme de mise à disposition
  • Effacement

 

Les finalités du Traitement sont :

  • Création et habilitation de comptes d’accès Zendesk
  • Fourniture des Prestations de maintenance et support telles que définies dans le Contrat

 

Les Données traitées sont :

  • Données d’identification (nom, prénom, email, téléphone)
  • Vie professionnelle (nom de la société, poste)
  • Données de connexion (adresse IP, logs, identifiants de terminaux, identifiants de connexion, informations d’horodatage)
  • Données de localisation
  • Données Internet (cookies, traceurs, données de navigation, mesures d’audience...) à travers les outils
  • Données communiquées par le Client dans le cadre des prestations de support et de maintenance

 

Aucune Données sensibles ne sera communiquée par le CLIENT à KEYRUS.

 

Les catégories de Personnes concernées sont :

  • Clients
  • Collaborateurs
  • Partenaires
  • Sous-traitants
  • Toute autre personne physique dont les Données sont communiquées par le CLIENT dans le cadre des prestations de support et de maintenance

 

Pour les besoins de fourniture des prestations de support et maintenance susvisées, le CLIENT autorise expressément KEYRUS à :

  • Sous-traiter tout ou partie du Traitement objet des présentes, en particulier à la société KEYRUS (MAURITIUS) LTD, enregistrée à l’Ile Maurice sous le numéro 49376, et ce pendant toute la durée du Traitement décrit ci-dessus et aux Sous-traitants listés à l’Annexe 2 « Sous-traitants » ;

et

  • transférer les Données objet du présent Traitement en dehors de l’Union Européenne et ce pour toute la durée du Traitement décrit ci-dessus, et à signer les clauses contractuelles type de la Commission Européennes au nom et pour le compte du CLIENT qui lui donne mandat pour le faire ou accepter au nom et pour le compte du CLIENT toutes autres garanties appropriées conformément au RGPD lorsque le pays d’importation des Données n’a pas fait l’objet d’une décision d’adéquation. Ce transfert de données est considéré également comme une instruction conformément à l’Annexe 3.

ANNEXE 2 : SOUS-TRAITANTS

 

 

Nom du Sous-Traitant

Description

Lien GDPR

ZenDesk

Plateforme de ticketing

https://www.zendesk.co.uk/company/customers-partners/privacy-and-data-protection/#gdpr-sub

 

 

ANNEXE 3 

 

 

 

Clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil

Transfert de responsable du traitement à sous-traitant et de sous-traitant à sous-traitant ultérieur

 

 

 

SECTION I

Clause 1

Finalités et champ d’application

  1. a) Les présentes clauses contractuelles types visent à garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)[1] en cas de transfert de données à caractère personnel vers un pays tiers.
  2. b) Les parties:
  3. i) la ou les personnes physiques ou morales, la ou les autorités publiques, la ou les agences ou autre(s) organisme(s) (ci-après la ou les «entités») qui transfèrent les données à caractère personnel, mentionnés à l’annexe I.A. (ci-après l’«exportateur de données»), et
  4. ii) la ou les entités d’un pays tiers qui reçoivent les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses, mentionnées à l’annexe I.A. (ci-après l’«importateur de données»)

sont convenues des présentes clauses contractuelles types (ci-après les «clauses»).

  1. c) Les présentes clauses s’appliquent au transfert de données à caractère personnel précisé à l’annexe I.B.
  2. d) L’appendice aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des présentes clauses.

Clause 2

Effet et invariabilité des clauses

  1. a) Les présentes clauses établissent des garanties appropriées, notamment des droits opposables pour la personne concernée et des voies de droit effectives, en vertu de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types en vertu de l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l’appendice. Cela n’empêche pas les parties d’inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les présentes clauses et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.
  2. b) Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.

Clause 3

Tiers bénéficiaires

  1. a) Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes :
  2. i) clause 1, clause 2, clause 3, clause 6, clause 7;
  3. ii) clause 8 — module 1: clause 8.5, paragraphe e), et clause 8.9, paragraphe b); module 2: clause 8.1, paragraphe b), clause 8.9, paragraphes a), c), d) et e); module 3: clause 8.1, paragraphes a), c) et d) et clause 8.9, paragraphes a), c), d), e), f) et g); module 4: clause 8.1, paragraphe b), et clause 8.3, paragraphe b);

iii) clause 9 — module 2: clause 9, paragraphes a), c), d) et e); module 3: clause 9, paragraphes a) c), d) et e);

  1. iv) clause 12 — module 1: clause 12, paragraphes a) et d); modules 2 et 3: clause 12, paragraphes a), d) et f);
  2. v) clause 13;
  3. vi) clause 15.1, paragraphes c), d) et e);

vii) clause 16, paragraphe e);

viii) clause 18 — modules 1, 2 et 3: clause 18, paragraphes a) et b); module 4: clause 18.

  1. b) Le paragraphe a) est sans préjudice des droits des personnes concernées au titre du règlement (UE) 2016/679.

Clause 4

Interprétation

  1. a) Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ceux-ci ont la même signification que dans ledit règlement.
  2. b) Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.
  3. c) Les présentes clauses ne sont pas interprétées dans un sens contraire aux droits et obligations prévus dans le règlement (UE) 2016/679.

 

Clause 5

Hiérarchie

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties existant au moment où les présentes clauses sont convenues, ou souscrites par la suite, les présentes clauses prévalent.

Clause 6

Description du ou des transferts

Les détails du ou des transferts, en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles le sont, sont précisés à l’annexe I.B.

Clause 7

Clause d’adhésion

  1. a) Une entité qui n’est pas partie aux présentes clauses peut, avec l’accord des parties, y adhérer à tout moment, soit en tant qu’exportateur de données soit en tant qu’importateur de données, en remplissant l’appendice et en signant l’annexe I.A.
  2. b) Une fois l’appendice rempli et l’annexe I.A. signée, l’entité adhérente devient partie aux présentes clauses et a les droits et obligations d’un exportateur de données ou d’un importateur de données selon sa désignation dans l’annexe I.A.
  3. c) L’entité adhérente n’a aucun droit ni obligation découlant des présentes clauses pour la période antérieure à son adhésion à celles-ci.

 

SECTION II — OBLIGATIONS DES PARTIES

Clause 8

Garanties en matière de protection des données

L’exportateur de données garantit qu’il a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses.

MODULE 3: transfert de sous-traitant à sous-traitant

8.1. Instructions

  1. a) L’exportateur de données a informé l’importateur de données qu’il agit en qualité de sous-traitant sur instructions de son ou ses responsables du traitement, instructions qu’il met à la disposition de l’importateur de données avant le traitement.
  2. b) L’importateur de données ne traite les données à caractère personnel que sur instructions documentées du responsable du traitement, telles qu’elles lui ont été communiquées par l’exportateur de données, ainsi que sur instructions documentées supplémentaires de l’exportateur de données. Ces instructions supplémentaires ne sont pas en contradiction avec les instructions du responsable du traitement. Le responsable du traitement ou l’exportateur de données peut donner d’autres instructions documentées concernant le traitement des données pendant toute la durée du contrat.
  3. c) S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement l’exportateur de données. Lorsque l’importateur de données n’est pas en mesure de suivre les instructions du responsable du traitement, l’exportateur de données en informe immédiatement ce dernier.
  4. d) L’exportateur de données garantit qu’il a imposé à l’importateur de données les mêmes obligations en matière de protection des données que celles fixées dans le contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre entre le responsable du traitement et l’exportateur de données[2].

8.2. Limitation des finalités

L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du transfert, telles que précisées à l’annexe I.B, sauf en cas d’instructions supplémentaires du responsable du traitement, telle qu’elles lui ont été communiquées par l’exportateur de données, ou de l’exportateur de données.

8.3. Transparence

Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, notamment de l’appendice tel que rempli par les parties. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’exportateur de données peut occulter une partie du texte de l’appendice avant d’en communiquer une copie, mais fournit un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en comprendre le contenu ou d’exercer ses droits. Les parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des occultations, dans la mesure du possible sans révéler les informations occultées.

8.4. Exactitude

Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes, ou sont obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour rectifier ou effacer les données.

8.5. Durée du traitement et effacement ou restitution des données

Le traitement par l’importateur de données n’a lieu que pendant la durée précisée à l’annexe I.B. Au terme de la prestation des services de traitement, l’importateur de données, à la convenance de l’exportateur de données, efface toutes les données à caractère personnel traitées pour le compte du responsable du traitement et en apporte la preuve à l’exportateur de données, ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données à caractère personnel que dans la mesure où et aussi longtemps que cette législation locale l’exige. Ceci est sans préjudice de la clause 14, en particulier de l’obligation imposée à l’importateur de données par la clause 14, paragraphe e), d’informer l’exportateur de données, pendant toute la durée du contrat, s’il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences de la clause 14, paragraphe a).

8.6. Sécurité du traitement

  1. a) L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à ces données (ci-après la «violation de données à caractère personnel»). Lors de l’évaluation du niveau de sécurité approprié, ils tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour la personne concernée. Les parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée précise restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données ou du responsable du traitement. Pour s’acquitter des obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe II. Il procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié.
  2. b) L’importateur de données ne donne l’accès aux données aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
  3. c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données informe également, dans les meilleurs délais, l’exportateur de données et, s’il y a lieu et dans la mesure du possible, le responsable du traitement après avoir eu connaissance de la violation. Cette notification contient les coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations, ainsi qu’une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), de ses conséquences probables et des mesures prises ou proposées pour y remédier, y compris des mesures visant à en atténuer les effets négatifs potentiels. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et les autres informations sont fournies par la suite, dans les meilleurs délais, à mesure qu’elles deviennent disponibles.
  4. d) L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter les obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment celle d’informer son responsable du traitement afin que ce dernier puisse à son tour informer l’autorité de contrôle compétente et les personnes concernées, compte tenu de la nature du traitement et des informations à la disposition de l’importateur de données.

8.7. Données sensibles

Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après les «données sensibles»), l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires indiquées à l’annexe I.B.

8.8. Transferts ultérieurs

L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées du responsable du traitement, telles qu’elles lui ont été communiquées par l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne[3](dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après «transfert ultérieur»), que si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié, ou si:

  1. le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur;
  2. le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679;
  • le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques; ou
  1. le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique. Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au titre des présentes clauses, en particulier de la limitation des finalités.

8.9. Documentation et conformité

  1. a) L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de l’exportateur de données ou du responsable du traitement concernant le traitement au titre des présentes clauses.
  2. b) Les parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de traitement menées pour le compte du responsable du traitement.
  3. c) L’importateur de données met toutes les informations nécessaires pour démontrer le respect des obligations prévues par les présentes clauses à la disposition de l’exportateur de données, qui les transmet au responsable du traitement.
  4. d) L’importateur de données permet la réalisation, par l’exportateur de données, d’audits des activités de traitement couvertes par les présentes clauses, et contribue à ces audits, à intervalles raisonnables ou s’il existe des indications de non-respect. Il en est de même lorsque l’exportateur de données demande un audit sur instructions du responsable du traitement. Lorsqu’il décide d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues par l’importateur de données.
  5. e) Lorsque l’audit est effectué sur instructions du responsable du traitement, l’exportateur de données met les résultats à la disposition de ce dernier.
  6. f) L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent comprendre des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.
  7. g) Les parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les informations mentionnées aux paragraphes b) et c), y compris les résultats de tout audit.

Clause 9

Recours à des sous-traitants ultérieurs

MODULE 3: transfert de sous-traitant à sous-traitant

  1. AUTORISATION ÉCRITE GÉNÉRALE — L’importateur de données a l’autorisation générale du responsable du traitement de recruter un ou plusieurs sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe expressément par écrit le responsable du traitement de tout changement concernant l’ajout ou le remplacement de sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste au moins six (6) jours à l’avance, donnant ainsi au responsable du traitement suffisamment de temps pour émettre des objections à l’encontre de ces changements avant le recrutement du ou des sous-traitants ultérieurs. L’importateur de données fournit au responsable du traitement les informations nécessaires pour permettre à ce dernier d’exercer son droit d’émettre des objections. L’importateur de données informe l’exportateur de données du recrutement du ou des sous-traitants ultérieurs.
  2. Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte du responsable du traitement), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données en vertu des présentes clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les personnes concernées[4]. Les parties conviennent qu’en respectant la présente clause, l’importateur de données satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses.
  3. L’importateur de données fournit sur demande, à l’exportateur de données ou au responsable du traitement, une copie du contrat avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en communiquer une copie.
  4. L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu dudit contrat.
  5. L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner instruction à ce dernier d’effacer ou de restituer les données à caractère personnel.

Clause 10

Droits des personnes concernées

MODULE 3: transfert de sous-traitant à sous-traitant

  1. a) L’importateur de données informe sans délai l’exportateur de données et, s’il y a lieu, le responsable du traitement de toute demande reçue d’une personne concernée, mais n’y répond pas à moins d’y avoir été autorisé par le responsable du traitement.
  2. b) L’importateur de données aide, si nécessaire en coopération avec l’exportateur de données, le responsable du traitement à s’acquitter de son obligation de répondre aux demandes de personnes concernées désireuses d’exercer leurs droits en vertu du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas. À cet égard, les parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide requise.
  3. c) Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de données se conforme aux instructions du responsable du traitement, telles qu’elles lui ont été communiquées par l’exportateur de données.

Clause 11

Voies de recours

  1. L’importateur de données informe les personnes concernées, sous une forme transparente et aisément accessible, au moyen d’une notification individuelle ou sur son site web, d’un point de contact autorisé à traiter les réclamations. Il traite sans délai toute réclamation reçue d’une personne concernée.
  2. En cas de litige entre une personne concernée et l’une des parties portant sur le respect des présentes clauses, cette partie met tout en œuvre pour parvenir à un règlement à l’amiable dans les meilleurs délais. Les parties se tiennent mutuellement informées de ces litiges et, s’il y a lieu, coopèrent pour les résoudre.
  3. Lorsque la personne concernée invoque un droit du tiers bénéficiaire en vertu de la clause 3, l’importateur de données accepte la décision de la personne concernée :
  4. d’introduire une réclamation auprès de l’autorité de contrôle de l’État membre dans lequel se trouve sa résidence habituelle ou son lieu de travail, ou auprès de l’autorité de contrôle compétente au sens de la clause 13;
  5. de renvoyer le litige devant les juridictions compétentes au sens de la clause 18.
  6. Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l’article 80, paragraphe 1, du règlement (UE) 2016/679.
  7. L’importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de l’Union ou d’un État membre.
  8. L’importateur de données convient que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural et matériel de cette dernière d’obtenir réparation conformément à la législation applicable

Clause 12

Responsabilité

  1. Chaque partie est responsable envers la ou les autres parties des dommages qu’elle cause à l’autre ou aux autres parties du fait d’un manquement aux présentes clauses.
  2. L’importateur de données est responsable à l’égard de la personne concernée, et la personne concernée a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’importateur de données ou son sous-traitant ultérieur du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses.
  3. Nonobstant le paragraphe b), l’exportateur de données est responsable à l’égard de la personne concernée et celle-ci a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’exportateur de données ou l’importateur de données (ou son sous-traitant ultérieur) du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données et, si l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du traitement, de la responsabilité de ce dernier au titre du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas.
  4. Les parties conviennent que, si l’exportateur de données est reconnu responsable, en vertu du paragraphe c), du dommage causé par l’importateur de données (ou son sous-traitant ultérieur), il a le droit de réclamer auprès de l’importateur de données la part de la réparation correspondant à la responsabilité de celui-ci dans le dommage.
  5. Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement et la personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties.
  6. Les parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe e), celle-ci a le droit de réclamer auprès de l’autre ou des autres parties la part de la réparation correspondant à sa/leur responsabilité dans le dommage.
  7. L’importateur de données ne peut invoquer le comportement d’un sous-traitant ultérieur pour échapper à sa propre responsabilité.

 

Clause 13

Contrôle

 

  1. a) L’autorité de contrôle chargée de garantir le respect, par l’exportateur de données, du règlement (UE) 2016/679 en ce qui concerne le transfert de données, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente.

 

  1. b) L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à garantir le respect des présentes clauses. En particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, notamment aux mesures correctrices et compensatoires. Il confirme par écrit à l’autorité de contrôle que les mesures nécessaires ont été prises.

 

SECTION III — LÉGISLATIONS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS DES AUTORITÉS PUBLIQUES

Clause 14

Législations et pratiques locales ayant une incidence sur le respect des clauses

  1. Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses. Cette disposition repose sur l’idée que les législations et les pratiques qui respectent l’essence des libertés et droits fondamentaux et qui n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour préserver un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes clauses.
  2. Les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte, en particulier, des éléments suivants:
    1. des circonstances particulières du transfert, parmi lesquelles la longueur de la chaîne de traitement, le nombre d’acteurs concernés et les canaux de transmission utilisés; les transferts ultérieurs prévus; le type de destinataire; la finalité du traitement; les catégories et le format des données à caractère personnel transférées; le secteur économique dans lequel le transfert a lieu et le lieu de stockage des données transférées;
    2. des législations et des pratiques du pays tiers de destination – notamment celles qui exigent la divulgation de données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données – pertinentes au regard des circonstances particulières du transfert, ainsi que des limitations et des garanties applicables[5];
  • de toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.

 

  1. L’importateur de données garantit que, lors de l’évaluation au titre du paragraphe b), il a déployé tous les efforts possibles pour fournir des informations pertinentes à l’exportateur de données et convient qu’il continuera à coopérer avec ce dernier pour garantir le respect des présentes clauses.
  2. Les parties conviennent de conserver une trace documentaire de l’évaluation au titre du paragraphe b) et de mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande.
  3. L’importateur de données accepte d’informer sans délai l’exportateur de données si, après avoir souscrit aux présentes clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences du paragraphe a), notamment à la suite d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application pratique de cette législation qui n’est pas conforme aux exigences du paragraphe a). L’exportateur de données transmet la notification au responsable du traitement.
  4. À la suite d’une notification au titre du paragraphe e), ou si l’exportateur de données a d’autres raisons de croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des présentes clauses, l’exportateur de données définit sans délai les mesures appropriées (par exemple des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) qu’il doit adopter et/ou qui doivent être adoptées par l’importateur de données pour remédier à la situation, si nécessaire en concertation avec le responsable du traitement. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée ne peut être fournie pour ce transfert ou si le responsable du traitement ou l’autorité de contrôle compétente lui en donnent l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 16, paragraphes d) et e), s’applique.

 

Clause 15

Obligations de l’importateur de données en cas d’accès des autorités publiques

15.1. Notification

  1. a) L’importateur de données convient d’informer sans délai l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données):
  2. i) s’il reçoit une demande juridiquement contraignante d’une autorité publique, y compris judiciaire, en vertu de la législation du pays de destination en vue de la divulgation de données à caractère personnel transférées au titre des présentes clauses; cette notification comprend des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie; ou
  3. ii) s’il a connaissance d’un quelconque accès direct des autorités publiques aux données à caractère personnel transférées au titre des présentes clauses en vertu de la législation du pays de destination; cette notification comprend toutes les informations dont l’importateur de données dispose.

L’exportateur de données transmet la notification au responsable du traitement.

  1. b) Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de pouvoir en apporter la preuve à l’exportateur de données, si celui-ci lui en fait la demande.
  2. c) Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations utiles que possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, la ou les autorités requérantes, la contestation ou non des demandes et l’issue de ces contestations, etc.).

L’exportateur de données transmet les informations au responsable du traitement.

  1. d) L’importateur de données accepte de conserver les informations mentionnées aux paragraphes a) à c) pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.
  2. e) Les paragraphes a) à c) sont sans préjudice de l’obligation incombant à l’importateur de données, en vertu de la clause 14, paragraphe e), et de la clause 16, d’informer sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses.

15.2. Contrôle de la légalité et minimisation des données

  1. a) L’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier de vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données exerce les possibilités d’appel ultérieures dans les mêmes conditions. Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se prononce sur son bienfondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas obligé de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations incombant à l’importateur de données en vertu de la clause 14, paragraphe e).
  2. b) L’importateur de données accepte de garder une trace documentaire de son évaluation juridique ainsi que de toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, de mettre les documents concernés à la disposition de l’exportateur de données. Il les met également à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.

L’exportateur de données met l’évaluation à la disposition du responsable du traitement.

  1. c) L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.

 

SECTION IV — DISPOSITIONS FINALES

Clause 16

Non-respect des clauses et résiliation

  1. a) L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses, quelle qu’en soit la raison.
  2. b) Dans le cas où l’importateur de données enfreint les présentes clauses ou n’est pas en mesure de les respecter, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que le respect des présentes clauses soit à nouveau garanti ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14, paragraphe f).
  3. c) L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses, lorsque:
  4. i) l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données en vertu du paragraphe b) et que le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension ;
  5. ii) l’importateur de données enfreint gravement ou de manière persistante les présentes clauses ; ou
  • l’importateur de données ne se conforme pas à une décision contraignante d’une juridiction ou d’une autorité de contrôle compétente concernant les obligations qui lui incombent au titre des présentes clauses.

Dans ces cas, il informe l’autorité de contrôle compétente et le responsable du traitement de ce non-respect. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement.

  1. d) Les données à caractère personnel qui ont été transférées avant la résiliation du contrat au titre du paragraphe c) sont immédiatement restituées à l’exportateur de données ou effacées dans leur intégralité, à la convenance de celui-ci. Il en va de même pour toute copie des données. L’importateur de données apporte la preuve de l’effacement des données à l’exportateur de données. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel transférées, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données que dans la mesure où et aussi longtemps que cette législation locale l’exige.
  2. e) Chaque partie peut révoquer son consentement à être liée par les présentes clauses i) si la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s’appliquent ; ou ii) si le règlement (UE) 2016/679 est intégré dans le cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations qui s’appliquent au traitement en question en vertu du règlement (UE) 2016/679.

Clause 17

Droit applicable

Les présentes clauses sont régies par le droit de l’État membre de l’Union européenne dans lequel l’exportateur de données est établi. Si ce droit ne reconnaît pas de droits au tiers bénéficiaire, les clauses sont régies par le droit d’un autre État membre de l’Union européenne qui reconnaît de tels droits. Les parties conviennent qu’il s’agit du droit de la France.

Clause 18

Élection de for et juridiction

  1. a) Tout litige survenant du fait des présentes clauses est tranché par les juridictions d’un État membre de l’Union européenne.
  2. b) Les parties conviennent qu’il s’agit des juridictions de la France.
  3. c) La personne concernée peut également poursuivre l’exportateur et/ou l’importateur de données devant les juridictions de l’État membre dans lequel elle a sa résidence habituelle.
  4. d) Les parties acceptent de se soumettre à la compétence de ces juridictions.

 

 

 

APPENDICE

NOTE EXPLICATIVE : Il doit être possible de distinguer clairement les informations applicables à chaque transfert ou catégorie de transferts et, à cet égard, de déterminer le ou les rôles respectifs des parties en tant qu’exportateur(s) et/ou importateur(s) de données. Il n’est pas forcément nécessaire de remplir et de signer des appendices distincts pour chaque transfert/catégorie de transferts et/ou relation contractuelle, si cette transparence peut être garantie au moyen d’un seul appendice. Toutefois, si cela est nécessaire pour garantir une clarté suffisante, il convient d’utiliser des appendices distincts.

 

 

 

ANNEXE I

  1. LISTE DES PARTIES

Exportateur(s) de données: [Identité et coordonnées du ou des exportateurs de données et, le cas échéant, de leur délégué à la protection des données et/ou de leur représentant dans l’Union européenne]

  1. Nom: KEYRUS, société anonyme au capital de 4.319.467,50 Euros, immatriculée au Registre du Commerce et des Sociétés de Nanterre, sous le numéro B 400 149 647, dont le siège social est situé au, représentée par Madame Rébecca MEIMOUN, en qualité de Directrice Juridique, dûment habilitée à la signature des présentes,

Keyrus agit au nom et pour le compte du CLIENT.

Courrier électronique: Keyrus.DataProtection@keyrus.com

 

Adresse: 155 rue Anatole France - 92300 Levallois Perret - France

Nom, fonction et coordonnées de la personne de contact: BERRUET Aéla, DPO, Keyrus.DatatProtection@keyrus.com

Activités en rapport avec les données transférées au titre des présentes clauses: KEYRUS est autorisée à traiter pour le compte du CLIENT les Données nécessaires pour fournir des prestations de support et maintenance sur des logiciels acquis par le CLIENT, dont les modalités sont définies entre les Parties par Contrat séparé.

Signature et date: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Rôle (responsable du traitement/sous-traitant): Sous-traitant

Importateur(s) de données: [Identité et coordonnées du ou des importateurs de données, y compris de toute personne de contact chargée de la protection des données]

Nom: Keyrus (Mauritius) Ltd

Adresse: 9 Cap Dal - 90902 TAMARIN - Ile Maurice

Nom, fonction et coordonnées de la personne de contact : Jessen Soobrayen, DPO, DPO-Mauritius@keyrus.com

Activités en rapport avec les données transférées au titre des présentes clauses : KEYRUS (Mauritius) Ltd est autorisée à traiter pour le compte du CLIENT les Données nécessaires pour fournir des prestations de support et de maintenance sur des logiciels acquis par le CLIENT, dont les modalités sont définies entre les Parties par Contrat séparé.

 

Signature et date: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Rôle (responsable du traitement/sous-traitant): sous-traitant ultérieur

  1. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
  2. DESCRIPTION DU TRANSFERT

Catégories de personnes concernées dont les données à caractère personnel sont transférées : Les données à caractère personnel transférées concernent les catégories suivantes de personnes : clients, collaborateurs, partenaires, sous-traitants et toute autre personne physique dont les Données sont communiquées par le Client dans le cadre des prestations de support et de maintenance.

Catégories de données à caractère personnel transférées : Les données à caractère personnel transférées concernent les catégories suivantes de données : Données d’identification (nom, prénom, email, téléphone), Vie professionnelle (nom de la société, poste), Données de connexion (adresse IP, logs, identifiants de terminaux, identifiants de connexion, informations d’horodatage) à travers les outils, Données de localisation à travers les outils, Données Internet (cookies, traceurs, données de navigation, mesures d’audience...) à travers les outils, Données communiquées par le Client dans le cadre des prestations de support et de maintenance.

Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que la limitation stricte des finalités, les restrictions d’accès (notamment l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, les restrictions applicables aux transferts ultérieurs ou les mesures de sécurité supplémentaires. : Aucune donnée sensible n’est transférée.

Fréquence du transfert (indiquez, par exemple, si les données sont transférées sur une base ponctuelle ou continue) : Les données à caractère personnel sont transférées en fonction des prestations de support et de maintenance sur les logiciels acquis par le CLIENT, dont les modalités sont définies entre les Parties par Contrat séparé.

Nature du traitement : Pour les finalités de Création et habilitation de comptes d’accès Zendesk, de maintenance et de support fournis conformément au Contrat, les opérations réalisées sur les données sont : Collecte, Enregistrement, Organisation, Structuration, Conservation, Adaptation ou modification, Extraction, Consultation, Utilisation, Communication par transmission, Diffusion ou toute autre forme de mise à disposition, Effacement

 

Finalité(s) du transfert et du traitement ultérieur des données : Les données à caractère personnel sont traitées en fonction des prestations de support et de maintenance sur les logiciels acquis par le CLIENT, dont les modalités sont définies entre les Parties par Contrat séparé.

Durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, critères utilisés pour déterminer cette durée : La durée de conservation des données est la durée de fourniture des prestations de support et maintenance objet du Contrat susvisé.

Pour les transferts à des sous-traitants (ultérieurs), veuillez également préciser l’objet, la nature et la durée du traitement : L’objet, la nature et la durée du traitement sont les mêmes que ceux définis précédemment.

  1. AUTORITÉ DE CONTRÔLE COMPÉTENTE

Indiquez la ou les autorités de contrôle compétentes conformément à la clause 13 : La CNIL.

 

 

ANNEXE II

MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES

NOTE EXPLICATIVE: Les mesures techniques et organisationnelles doivent être décrites en termes spécifiques (et non généraux). Voir également le commentaire général à la première page de l’appendice, en particulier en ce qui concerne la nécessité d’indiquer clairement les mesures qui s’appliquent à chaque transfert/ensemble de transferts.

Description des mesures techniques et organisationnelles mises en œuvre par le ou les importateurs de données (y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

L’importateur de données s’engage à respecter les mesures techniques et organisationnelles définies d’un commun accord entre les Parties afin de garantir la sécurité et la confidentialité des Données, conformément à l’article 3 « Sécurité et confidentialité » du CTD.

 

[1] Si l’exportateur de données est un sous-traitant soumis au règlement (UE) 2016/679 agissant pour le compte d’une institution ou d’un organe de l’Union en tant que responsable du traitement, le recours aux présentes clauses lors du recrutement d’un autre sous-traitant (sous-traitance ultérieure) qui n’est pas soumis au règlement (UE) 2016/679 garantit également le respect de l’article 29, paragraphe 4, du règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39), dans la mesure où les présentes clauses et les obligations en matière de protection des données fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément à l’article 29, paragraphe 3, du règlement (UE) 2018/1725 sont alignées. Ce sera en particulier le cas lorsque le responsable du traitement et le sous-traitant se fondent sur les clauses contractuelles types qui figurent dans la décision 2021/915.

[2] Voir l’article 28, paragraphe 4, du règlement (UE) 2016/679 et, lorsque le responsable du traitement est une institution ou un organe de l’Union, l’article 29, paragraphe 4, du règlement (UE) 2018/1725.

[3] L’accord sur l’Espace économique européen (accord EEE) prévoit l’extension du marché intérieur de l’Union européenne aux trois pays de l’EEE que sont l’Islande, le Liechtenstein et la Norvège. La législation de l’Union en matière de protection des données, notamment le règlement (UE) 2016/679, est couverte par l’accord EEE et a été intégrée dans l’annexe XI de celui-ci. Dès lors, une divulgation par l’importateur de données à un tiers situé dans l’EEE ne peut être qualifiée de transfert ultérieur aux fins des présentes clauses.

[4] Cette exigence peut être satisfaite par l’adhésion du sous-traitant ultérieur aux présentes clauses en vertu du module approprié, conformément à la clause 7.

[5] En ce qui concerne l’incidence de ces législations et pratiques sur le respect des présentes clauses, différents éléments peuvent être considérés comme faisant partie d’une évaluation globale. Ces éléments peuvent inclure une expérience concrète, documentée et pertinente de cas antérieurs de demandes de divulgation émanant d’autorités publiques, ou l’absence de telles demandes, couvrant un laps de temps suffisamment représentatif. Il peut s’agir de registres internes ou d’autres documents établis de manière continue conformément au principe de diligence raisonnable et certifiés à un niveau hiérarchique élevé, pour autant que ces informations puissent être partagées légalement avec des tiers. Lorsque cette expérience pratique est invoquée pour conclure que l’importateur de données ne sera pas empêché de respecter les présentes clauses, il y a lieu de l’étayer par d’autres éléments pertinents et objectifs, et il appartient aux parties d’examiner avec soin si ces éléments, pris dans leur ensemble, ont un poids suffisant, du point de vue de leur fiabilité et de leur représentativité, pour soutenir cette conclusion. En particulier, les parties doivent s’assurer que leur expérience pratique est corroborée et non contredite par des informations fiables accessibles au public ou disponibles d’une autre manière sur l’existence ou l’absence de demandes dans le même secteur et/ou sur l’application pratique du droit, comme la jurisprudence et les rapports d’organes de contrôle indépendants.

 

 

Commentaires

0 commentaire