There are no results
Accord au traitement des données de Huble
1. Introduction et application
1.2. Le DPA fait partie intégrante des Services et fait partie de tout Accord Principal conclu entre Huble et le Client.
2. Définitions et interprétation
2.1. On entend par "société affiliée" toute entité qui, directement ou indirectement, contrôle l'entité concernée, est contrôlée par elle ou est sous contrôle commun avec elle. Aux fins de la présente définition.
2.2. Par "contrôle", on entend la propriété ou le contrôle direct ou indirect de plus de 50 % des intérêts avec droit de vote de l'entité concernée.
2.3. "Contrôleur" : la personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel du client.
2.4. "Client " désigne l'entité qui achète les Services à Huble aux termes de l'Accord principal.
2.5. " Données personnelles du Client " désigne toutes les Données personnelles relatives aux Personnes concernées du Client, qui sont traitées par Huble aux termes de l'Accord principal.
2.6. " Loi sur la protection des données " désigne toutes les lois et réglementations applicables au Traitement des Données personnelles du Client en vertu de l'Accord principal, y compris, mais sans s'y limiter, le GDPR, la PDPA, la POPIA, et les lois et réglementations définies dans les Conditions spécifiques à la juridiction dans l'Annexe 3 de ce DPA.
2.7. "GDPR" désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, tel qu'il peut être modifié de temps à autre.
2.8. " Huble " désigne l'entité Huble qui fournit les Services au Client aux termes du Contrat principal.
2.9. " Instruction " désigne l'instruction écrite et documentée, émise par le Client en tant que Contrôleur ou Processeur à Huble en tant que Processeur ou Sous-Traitant, ordonnant à Huble d'effectuer une action de Traitement spécifique en ce qui concerne les Données à caractère personnel du Client.
2.10. Les " Parties " désignent Huble et le Client, et le terme " Partie " fait référence à Huble ou au Client, selon le contexte.
2.11. "Accord principal " désigne l'accord écrit ou électronique entre Huble et le Client pour la fourniture des Services.
2.12. "Processeur" désigne la personne physique ou morale, l'autorité publique, l'agence ou tout autre organisme qui traite les Données à caractère personnel pour le compte d'un Contrôleur.
2.13. "Services" désigne les services spécifiés dans l'Accord principal, qui peuvent inclure le marketing HubSpot, le conseil aux entreprises, aux ventes et aux services, l'intégration des ventes et des services, le développement web et l'intégration technique, le référencement et les services de médias payants.
2.14. Les termes "Personne concernée", "Violation de données à caractère personnel", "Traitement" (ou tout terme apparenté) et "Autorité de contrôle" ont tous la même signification que dans le GDPR ou les termes correspondants prévus par d'autres lois sur la protection des données.
2.15. Les termes en majuscules qui ne sont pas définis dans le présent document ont la signification qui leur est attribuée dans l'Accord principal.
2.16. En cas de conflit ou d'incohérence avec les termes de l'accord principal, le présent DPA prévaudra.
3. Traitement des données personnelles des clients
3.1. Dans le cadre de la fourniture de services en vertu de l'Accord principal, Huble peut traiter certaines Données à caractère personnel du Client pour le compte du Client. Huble et le Client conviennent de se conformer au présent DPA dans le cadre du Traitement de ces Données à caractère personnel du Client.
3.2. L'objet et la durée du Traitement, la nature et la finalité du Traitement et les types de Données à caractère personnel du Client sont définis dans l'Accord principal et/ou dans l'Annexe 1 du présent DPA.
4. Rôles de la fonction de contrôle
4.1. Dans le contexte du présent DPA, lorsque le Client agit en tant que Contrôleur, Huble agit en tant que Sous-Traitant, et lorsque le Client agit en tant que Sous-Traitant, Huble agit en tant que Sous-Traitant. Pour éviter toute ambiguïté, les deux situations relèvent du champ d'application du présent DPA.
5. Responsabilité et engagements du client
5.1. Lorsqu'il agit en tant que contrôleur dans le cadre du Contrat principal :
5.1.1. le Client assume la responsabilité absolue des Instructions données à Huble le cas échéant et garantit à Huble qu'il se conformera toujours à ses obligations statutaires en termes de Loi sur la Protection des Données, y compris, sans limitation, la loi concernant la divulgation et le transfert des Données Personnelles du Client à Huble et le Traitement des Données Personnelles du Client ;
5.1.2. le Client s'assurera que toutes les Données Personnelles du Client fournies à Huble par, ou au nom du Client, ont été collectées de manière licite, loyale et transparente afin de permettre à ces Données Personnelles du Client d'être traitées par Huble pour toutes les Finalités ;
5.1.3. le Client reconnaît et accepte inconditionnellement les obligations légales qui lui sont imposées en tant que Responsable du traitement en vertu de la Loi sur la protection des données et indemnise Huble pour toute perte ou tout préjudice (direct ou consécutif) qui pourrait résulter de son manquement à se conformer à ses obligations en tant que Responsable du traitement ; et
5.1.4. le Client s'assurera que les personnes donnant des instructions à Huble et prenant des décisions en relation avec le présent DPA sont autorisées par le Client et que ces instructions sont contraignantes pour le Client. Huble est en droit de se fier à ces instructions et décisions.
5.2. Si le Client est un Sous-traitant en ce qui concerne les Données Personnelles du Client, le Client garantit que ses Instructions et actions concernant le Traitement des Données Personnelles du Client, y compris sa nomination de Huble en tant que Sous-traitant, ont été autorisées par le Contrôleur concerné.
5.3. Les Instructions du Client pour le Traitement des Données Personnelles du Client doivent être conformes à la Loi sur la Protection des Données et le Client indemnise Huble dans toute la mesure permise par la loi pour toute perte directe occasionnée par Huble agissant en tant que Sous-Traitant au nom de et/ou sur les Instructions du Contrôleur en ce qui concerne le Traitement des Données Personnelles du Client en vertu de l'Accord Principal.
5.4. Entre les Parties, le Client sera seul responsable de l'exactitude, de la qualité et de la légalité des Données Personnelles du Client et des moyens par lesquels le Client a acquis ces Données Personnelles du Client.
5.5. Le Client devra, à ses seuls frais, indemniser et dégager Huble de toute responsabilité, y compris les frais de justice, les réclamations, les actions civiles, les dommages, les dommages indirects ou consécutifs, ou les dépenses encourues par Huble ou pour lesquelles Huble pourrait devenir responsable en raison de tout manquement du Client ou de ses employés ou agents, qu'ils soient autorisés ou non, à se conformer aux obligations en vertu de l'Accord principal ou de la Loi sur la protection des données.
5.6. Le Client garantit que l'Accord principal et le présent DPA énoncent les instructions complètes et finales du Client à Huble en ce qui concerne le Traitement des Données personnelles du Client et que toute instruction supplémentaire en dehors du champ d'application de l'Accord principal devra faire l'objet d'un accord écrit préalable entre les Parties.
5.7. Le Client informera Huble sans délai excessif et de manière exhaustive de toute erreur ou irrégularité liée à la Loi sur la protection des données.
5.8. Le Client informera Huble, sans délai, si le Traitement comprend des catégories spéciales de Données Personnelles du Client telles que prévues par la Loi sur la Protection des Données, y compris, sans limitation : des informations financières, médicales et relatives à la santé, des informations concernant les enfants, ou tout type de Traitement de Données Personnelles qui bénéficie d'un niveau de protection plus élevé en vertu de la Loi sur la Protection des Données.
6. Obligations de Huble
6.1. Respect des instructions
6.1.1. En ce qui concerne les Données Personnelles du Client, Huble se conformera (et s'assurera que tout membre de son personnel se conforme et fera des efforts commercialement raisonnables pour s'assurer que ses Sous-Traitants contractuels se conforment), à la Loi sur la Protection des Données.
6.1.2. Huble collectera, traitera et utilisera les Données Personnelles du Client uniquement dans le cadre des instructions écrites du Client et conformément à la Loi sur la Protection des Données. Si Huble estime qu'une Instruction enfreint la Loi sur la protection des données, elle en informera le Client dans les plus brefs délais.
6.1.3. Si Huble n'est pas en mesure de traiter les Données Personnelles du Client conformément aux Instructions du Client en raison d'une exigence légale, Huble :
6.1.3.1. notifiera rapidement au Client cette exigence légale avant de poursuivre le Traitement ; et
6.1.3.2. cessera tout Traitement (autre que le simple stockage et le maintien de la sécurité des Données à caractère personnel du Client concernées) jusqu'à ce que le Client émette de nouvelles instructions auxquelles nous sommes en mesure de nous conformer.
6.1.4. Si l'article 6.1.3 du présent DPA est invoqué, Huble ne sera pas responsable envers le Client en vertu de l'Accord principal pour tout manquement à l'exécution jusqu'à ce que le Client émette de nouvelles instructions licites.
6.1.5. Huble facilitera les obligations de conformité du Client pour mettre en œuvre des mesures de sécurité en ce qui concerne les Données à caractère personnel du Client (y compris, le cas échéant, les obligations du Client en vertu des articles 32 à 36 (inclus) du GDPR) en : (i) mettant en œuvre et en maintenant les mesures de sécurité décrites dans les termes de nos Politiques de sécurité de l'information ; (ii) se conformant aux termes de la section 6.3 (Violations de données à caractère personnel) du présent RGPD ; (iii) aidant le Client à respecter ses obligations en matière d'évaluation de l'impact sur la protection des données ou de consultation préalable d'une autorité de contrôle ; et (iv) fournissant au Client des informations relatives au Traitement conformément à la section 7 (Audits) du présent RGPD.
6.2. Confidentialité
6.2.1. Huble veillera à ce que tout personnel, qu'il soit employé ou sous contrat en tant que tel, qui est sous l'autorité de Huble et qui est autorisé à Traiter les Données à caractère personnel du Client, soit soumis à des obligations de confidentialité en ce qui concerne les Données à caractère personnel du Client.
6.2.2. L'engagement de confidentialité visé à l'article 6.2.1 est maintenu après la cessation des activités de Traitement auxquelles l'obligation de confidentialité se rapporte.
6.2.3. Cette clause de confidentialité ne s'applique pas lorsque les informations sont divulguées par le Processeur en conformité avec une exigence légale d'une agence gouvernementale ou autrement lorsque la divulgation est requise par la force de la loi applicable telle que spécifiée dans l'Accord principal, à condition toujours que le Processeur doive, dans la mesure du possible tout en se conformant à la loi applicable telle que spécifiée dans l'Accord principal, notifier au Contrôleur de telles exigences avant une telle divulgation et fournir au Contrôleur une opportunité raisonnable de contester l'exigence de divulguer les informations ou de limiter l'étendue de la divulgation.
6.3. Violations de données personnelles
6.3.1. Huble notifiera le Client dès que possible après avoir pris connaissance de toute violation de données personnelles affectant les données personnelles du Client.
6.3.2. À la demande du Client, Huble fournira rapidement au Client toute l'assistance raisonnable pour permettre au Client de notifier à l'Autorité/aux Autorités de contrôle compétente(s) et/ou aux Personnes concernées toute violation de données personnelles pertinente si le Client est tenu de le faire en vertu de la Loi sur la protection des données.
Demandes des personnes concernées
6.4.1. Huble fournira une assistance raisonnable, y compris la mise en œuvre de mesures techniques et organisationnelles raisonnables et appropriées, pour permettre au Client de répondre à toute Personne concernée cherchant à exercer ses droits en vertu de la Loi sur la protection des données (y compris son droit d'accès, de rectification, de restriction, de suppression ou de portabilité des Données à caractère personnel du Client), dans la mesure permise par la loi. Si une telle demande est adressée directement à Huble, Huble en informera rapidement le Client et conseillera aux Personnes concernées de soumettre leur demande au Client. Le Client est seul responsable de la réponse aux demandes des Personnes concernées. Le Client remboursera à Huble tous les frais découlant de cette assistance.
6.4.2. Sans préjudice de la clause 6.2.3, Huble s'engage à obtenir le consentement écrit du Client avant toute demande de divulgation de Données à caractère personnel du Client par une Personne concernée, et lorsque cette demande n'est pas de nature juridique à laquelle Huble doit se conformer.
6.5. Sécurité des données
6.5.1. En tenant compte de l'état de la technique, de la nature et du niveau de sensibilité des Données Personnelles du Client, Huble mettra en œuvre les mesures appropriées pour atteindre les mesures techniques et organisationnelles requises pour protéger de manière adéquate les Données Personnelles du Client contre la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée des Données Personnelles du Client ou l'accès à ces dernières. Ces mesures sont décrites dans l'annexe 1.
6.6. Sous-traitants sous contrat
6.6.1. Le Client autorise Huble à engager des Sous-Traitants pour remplir ses obligations définies dans l'Accord Principal (chacun un " Sous-Traitant d'Infrastructure " ou un " Sous-Traitant Affilié ") conformément à la présente Section 6.6. À ces fins, Huble peut faire appel à des sociétés affiliées à Huble et aux tiers énumérés à l'annexe 2 du présent DPA en tant que Sous-Traitants contractuels.
6.6.2. Si Huble a l'intention d'engager un Sous-Traitant sous contrat autre que les Sous-Traitants sous contrat énumérés à l'Annexe 2 du présent DPA, Huble en informera le Client par écrit (y compris par courrier électronique à l'adresse (aux adresses) électronique(s) du Client enregistrée(s)) et donnera au Client la possibilité de s'opposer à l'engagement proposé du nouveau Sous-Traitant sous contrat dans les 14 (quatorze) jours suivant la notification, faute de quoi Huble aura le droit de nommer le Sous-Traitant sous contrat. Si le Client s'oppose à l'engagement d'un Sous-Traitant sous contrat, cette objection doit être fondée sur des motifs raisonnables (par exemple, si le Client prouve qu'il existe des risques significatifs pour la protection de ses Données à caractère personnel chez le Sous-Traitant sous contrat). Si Huble et le Client ne sont pas en mesure de résoudre ces objections, l'une ou l'autre des Parties peut résilier le Contrat principal conformément à ses dispositions relatives à la résiliation.
6.6.3. Lorsque Huble engage un Sous-Traitant sous contrat, Huble conclura un contrat avec le Sous-Traitant sous contrat qui impose au Sous-Traitant sous contrat les mêmes obligations que celles qui s'appliquent à Huble et au Client en vertu du présent DPA.
6.6.4. Lorsqu'un Sous-Traitant sous contrat est engagé, le Client se voit accorder le droit de surveiller et d'inspecter les activités du Sous-Traitant sous contrat conformément au présent DPA et à la Loi sur la protection des données, y compris d'obtenir des informations de Huble, sur demande écrite, sur la substance du contrat et la mise en œuvre des obligations de protection des données en vertu du contrat avec le Sous-Traitant sous contrat, le cas échéant, en inspectant les documents contractuels pertinents, à condition que l'engagement de Huble avec le Sous-Traitant sous contrat n'interdise pas une telle divulgation. Huble se réserve le droit d'expurger les sections de ces documents contractuels qui sont de nature commercialement sensible.
6.6.5. Les dispositions du présent article s'appliquent mutuellement si Huble engage un Sous-Traitant sous contrat dans un pays qui n'offre pas un niveau de protection adéquat pour les Données à caractère personnel du Client tel que prévu par la Loi sur la protection des données. Dans ce cas, Huble mettra en œuvre des mesures pour assurer un " niveau de protection adéquat ", y compris, mais sans s'y limiter, l'exécution de clauses contractuelles types émises conformément à la Loi sur la protection des données par et entre Huble et le Sous-Traitant sous contrat.
6.7. Suppression ou récupération des Données Personnelles du Client
6.7.1. Sauf dans la mesure requise pour se conformer à la Loi sur la protection des données, après la résiliation ou l'expiration de l'Accord principal, Huble supprimera ou retournera, au choix du Client, toutes les Données à caractère personnel du Client (y compris les copies de celles-ci) traitées en vertu de l'Accord principal.
6.7.2. Le Client doit, à la résiliation ou à l'expiration du Contrat Principal et par le biais d'une instruction, stipuler, dans un délai fixé par Huble, si les Données Personnelles du Client doivent être restituées ou supprimées. Tout coût supplémentaire lié à la restitution ou à l'effacement des Données Personnelles Client est à la charge du Client.
7. Les audits
7.1. Le Client peut, sous réserve des conditions de confidentialité de l'Accord principal, avant le début du Traitement, à des intervalles annuels par la suite, ou lorsqu'une Violation de Données à caractère personnel est raisonnablement soupçonnée d'avoir eu lieu, auditer les mesures techniques et organisationnelles prises par Huble en termes de Lois sur la protection des données. A cette fin, le Client peut
7.1.1. obtenir des informations de Huble, démontrant la conformité de Huble avec les termes du présent RGPD ;
7.1.2. demander une attestation ou un certificat par un expert professionnel indépendant concernant les mesures de sécurité de Huble, ou
7.1.3. sur accord préalable raisonnable et en temps utile, pendant les heures de bureau normales et sans interrompre les opérations commerciales, effectuer une inspection sur place des opérations commerciales ou, sous réserve d'engagements de confidentialité appropriés, faire effectuer cette inspection par un tiers qualifié qui ne doit pas être un concurrent de Huble. Le contrôleur imposera des obligations de confidentialité suffisantes à ses auditeurs et sera responsable de cet aspect.
7.2. Huble fournira au Client, sur demande écrite et dans un délai raisonnable, toutes les informations nécessaires aux fins de la présente section 7 du RGPD, dans la mesure où ces informations sont sous le contrôle de Huble et où Huble n'est pas empêché de les divulguer en vertu de la loi applicable, d'une obligation de confidentialité ou de toute autre obligation due à un tiers.
7.3. Le Client doit, ou demandera à ses auditeurs externes, d'envoyer une version préliminaire du rapport d'audit à Huble. Huble a le droit de soumettre ses commentaires dans un délai raisonnable. L'auditeur prend en compte les commentaires de Huble et les inclut dans son rapport final soumis au Client.
7.4. Les frais sont à la charge du Client, à moins qu'une non-conformité ou un manquement grave aux obligations en matière de protection des données ne soit constaté, auquel cas la partie responsable de la violation supportera les frais d'audit. La répartition des coûts est déterminée sur la base de la responsabilité proportionnelle de la non-conformité ou de la violation. Les deux parties coopèrent de bonne foi pour minimiser les frais d'audit tout en garantissant une évaluation approfondie des pratiques en matière de protection des données.
8. Responsabilité
8.1.1. tout non-respect par le Client de la Loi sur la protection des données ;
8.1.2. nonobstant l'article 6.1.1, tout Traitement de Données Personnelles du Client effectué par Huble ou son Sous-Traitant sous contrat conformément aux Instructions données par le Client qui enfreignent la Loi sur la protection des données ; ou
8.1.3. toute violation par le Client de ses obligations en vertu du présent DPA,
sauf dans la mesure où Huble ou tout Sous-Traitant sous contrat est responsable en vertu de l'article 8.2 ci-dessous.
8.2. Huble est responsable de, et doit indemniser (et maintenir indemnisé) le Client en ce qui concerne toute action, procédure, responsabilité, coût, réclamation, perte, dépense (y compris les frais juridiques raisonnables et les paiements sur une base avocat-client), ou demande subie ou encourue par, attribuée contre, ou acceptée d'être payée par, le Client, découlant directement des activités de Traitement des Données Personnelles du Client par Huble qui sont soumises à ce DPA :
8.2.1. uniquement dans la mesure où cela résulte d'une violation par Huble du présent RGPD ;
8.2.2. sous réserve de l'article 8.4 ci-dessous, uniquement dans la mesure où cela résulte d'une violation de Données à caractère personnel par un Sous-traitant sous contrat ou du non-respect par un Sous-traitant sous contrat de la Loi sur la protection des données ; et
8.2.3. pas dans la mesure où cette violation résulte ou est due à une violation du présent DPA par le Client.
8.3. Le Client n'a pas le droit de réclamer à Huble ou à ses Sous-Traitants contractuels les sommes payées en compensation par le Client au titre de tout dommage dans la mesure où le Client est tenu d'indemniser Huble en vertu de l'article 8.1 ci-dessus.
8.4. Nonobstant toute disposition contraire dans le présent DPA, la responsabilité globale maximale de Huble, quelle qu'en soit la cause, en raison d'une violation de Données à caractère personnel chez un Sous-Traitant sous contrat ou du non-respect par un Sous-Traitant sous contrat de la Loi sur la protection des données, sera limitée à 2 (deux) fois le montant payé à Huble pour les Services au cours de la période de 12 (douze) mois précédant la date à laquelle la réclamation a été formulée.
9. Dispositions générales
9.1. Si certaines dispositions de ce DPA sont invalides ou inapplicables, la validité et l'applicabilité des autres dispositions de ce DPA n'en seront pas affectées.
9.2. Le présent DPA s'applique pendant toute la durée du contrat principal, les dispositions restantes s'appliquant en fonction du droit applicable et du contexte.
9.3. Le présent DPA est régi par le droit applicable défini dans l'accord principal.
Pièce 1 : Détails des données personnelles des clients et des activités de traitement
1. Objet du traitement :
L'objet du traitement des données à caractère personnel du client est la fourniture de services conformément à l'accord principal.
2. Nature et finalité du traitement :
La nature et la finalité du traitement concernent la fourniture du service au client, conformément à l'accord principal, au présent DPA et aux instructions du client.
3. Durée du traitement :
Jusqu'à la première des deux dates suivantes : (i) l'expiration/la résiliation de l'accord principal, ou (ii) la date à laquelle le traitement n'est plus nécessaire aux fins de l'exécution par l'une ou l'autre partie de ses obligations au titre de l'accord principal (dans la mesure où cela est applicable).
4. Catégories de personnes concernées :
Les contacts du Client et les autres utilisateurs finaux, y compris les employés du Client, les contractants, les collaborateurs, les clients, les prospects, les fournisseurs et les sous-traitants.
Les personnes concernées comprennent également les personnes qui tentent de communiquer avec les utilisateurs finaux du Client ou de leur transférer des données à caractère personnel.
5. Catégories de données personnelles du client :
-Les informations de contact, dont l'étendue est déterminée et contrôlée par le client à sa seule discrétion.
-Données biographiques, données démographiques, déclarations personnelles, intérêts personnels, historique des achats.
-Détails et historique de l'emploi, données sur les performances des employés.
-Détails des biens ou des services fournis à des particuliers ou à leur profit.
-Données de navigation, historique de navigation et cookies (y compris les informations relatives à l'utilisation du site web).
-les données de courrier électronique, les données d'utilisation du système, les données d'intégration des applications et autres données électroniques soumises, stockées, envoyées ou reçues par les utilisateurs finaux par l'intermédiaire du service d'abonnement HubSpot.
6. Catégories particulières de données à caractère personnel des clients :
Aucune catégorie particulière de données à caractère personnel ne sera traitée. Le Client est tenu d'informer Huble si des catégories spéciales de Données personnelles du Client seront traitées conformément à la section 5.8 du RGPD.
7. Description des mesures techniques et organisationnelles mises en œuvre par Huble :
Huble mettra en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, y compris notamment :
-la pseudonymisation et le cryptage des données à caractère personnel lorsque cela est possible ;
-la capacité à assurer en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de Traitement ;
-la capacité à rétablir la disponibilité et l'accès aux données à caractère personnel en temps voulu en cas d'incident physique ou technique ; et
-un processus permettant de tester, d'évaluer et d'apprécier régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du Traitement.
En outre, les politiques de sécurité de l'information suivantes s'appliqueront au traitement des données personnelles des clients :
- La politique d'utilisation acceptable (" PUA ") du Huble Digital Group : L'objectif de la PUA est de définir l'utilisation acceptable des systèmes informatiques au sein du Huble Digital Group. Ces règles sont en place pour protéger les informations du Huble Digital Group contre la perte ou le vol, l'accès non autorisé, la divulgation, la copie, l'utilisation, la modification ou la destruction.
-Politique de classification et de traitement de l'information ("ICHP") : Huble Digital Group a la responsabilité de protéger les informations qu'il détient et traite en utilisant des contrôles appropriés à la sensibilité des informations concernées. Ce n'est qu'en classant les informations selon un schéma documenté que le niveau de protection adéquat peut être appliqué. L'ICHP définit les détails du système à adopter et les critères appliqués pour décider du niveau de protection à appliquer à une information donnée. Les employés seront responsables des données et des informations du Huble Digital Group et de l'atténuation des risques d'atteinte à la sécurité de l'information. La classification des informations et des documents conformément à la présente ICHP déterminera la manière dont le document sera traité, publié, déplacé et stocké - et garantira ainsi la mise en place des protections appropriées.
-Politique de sécurité de l'information ("PSI") : La PSI définit le paysage de la sécurité de l'information, y compris les politiques, les procédures, les cadres et les contrôles techniques et administratifs du Huble Digital Group, de sorte qu'ils permettent à l'organisation de fonctionner sans heurts et en conformité avec les normes ISO/IEC:27001.
-Politique de gestion des documents : Les informations documentées dans le cadre du système de gestion de la sécurité de l'information ("ISMS") établi par Huble Digital Group doivent être contrôlées de manière à répondre à la fois aux exigences de l'entreprise et aux normes internationales reconnues qui sont établies et maintenues dans le cadre de cette politique.
-Politique d'authentification à deux facteurs ("TFAP") : La politique d'authentification à deux facteurs ("TFAP") établit les exigences pour les individus dans le cadre du SGSI d'utiliser des méthodes d'authentification à deux facteurs sur tous les systèmes centraux tels que définis dans la politique et tous les autres systèmes utilisés dans le cadre de l'emploi ou de la prestation de services à Huble Digital Group, le cas échéant.
Pour les transferts vers des sous-traitants sous contrat, les mesures techniques et organisationnelles spécifiques à prendre par les sous-traitants sous contrat pour pouvoir fournir une assistance au responsable du traitement et, pour les transferts d'un sous-traitant vers des sous-traitants sous contrat, à l'exportateur de données :
Lorsque Huble engage un Sous-Traitant sous contrat en vertu du présent DPA, Huble et le Sous-Traitant sous contrat doivent conclure un accord avec des conditions de protection des données substantiellement similaires à celles contenues dans le présent DPA.
Huble doit s'assurer que l'accord conclu avec chaque Sous-Traitant sous contrat lui permet de remplir ses obligations respectives à l'égard du Client. En plus de mettre en œuvre des mesures techniques et organisationnelles pour protéger les Données Personnelles du Client, un Sous-Traitant sous contrat doit :
-notifier Huble en cas de violation de Données à caractère personnel ;
-supprimer les Données Personnelles du Client sur instruction de Huble conformément aux Instructions du Client à Huble ;
-ne pas engager d'autres Sous-Traitants sous contrat sans l'autorisation de Huble ; et
-ne pas traiter les Données Personnelles du Client d'une manière qui entre en conflit avec les instructions du Client à Huble.
8. Fréquence des transferts :
Les Données Personnelles sont transférées conformément aux Instructions du Client à Huble pour traiter les Données Personnelles du Client dans le cadre de la fourniture des Services en vertu de l'Accord Principal.
9. Traitement ultérieur :
Huble n'effectuera pas de traitement ultérieur des Données à caractère personnel du Client. Le traitement est limité à ce qui est strictement nécessaire à la fourniture des Services.
10. Rôles de contrôle :
Exportateur de données : le Client, agissant en tant que Contrôleur ou Responsable de traitement au sens de l'article 4.1 du présent DPA.
Importateur de données : Huble, agissant en tant que sous-traitant ou soustraitant au sens de la section 4.1 du présent DPA.
Pièce 2 : Liste des sous-traitants
Pièce 3 : Termes spécifiques à la juridiction
1. Espace économique européen
1.1. Aux fins du présent DPA :
1.1.1 " CCN UE 2021 " désigne les clauses contractuelles adoptées par la décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en application du règlement (UE) 2016/679 du Parlement européen et du Conseil.
1.1.2. " Transfert restreint de données à caractère personnel de l'EEE " désigne tout transfert de données à caractère personnel du Client soumises au GDPR qui font l'objet d'un Traitement ou sont destinées à être traitées après leur transfert vers un Pays tiers de l'EEE ou une organisation internationale dans un Pays tiers de l'EEE, y compris le stockage de données sur des serveurs étrangers.
1.1.3. "EEE" désigne l'Espace économique européen, composé des États membres de l'Union européenne, ainsi que de l'Islande, du Liechtenstein et de la Norvège.
1.1.4. "Pays tiers de l'EEE" : un pays situé en dehors de l'EEE.
1.2. En ce qui concerne tout Transfert Restreint de Données Personnelles EEE du Client à Huble dans le cadre de ce DPA et de l'Accord Principal, les mécanismes suivants, dans l'ordre de préséance, s'appliqueront :
1.2.1. une décision d'adéquation adoptée par la Commission européenne en vertu de l'article 45 du GDPR qui prévoit que le pays tiers de l'EEE, un territoire, ou un ou plusieurs secteurs déterminés au sein de ce pays tiers de l'EEE, ou l'organisation internationale en question vers laquelle les Données à caractère personnel du Client doivent être transférées assure un niveau adéquat de protection des données ;
1.2.2. les CSC de l'UE 2021, dans la mesure où leur utilisation constitue une "garantie appropriée" en vertu de l'article 46 du GDPR et de la loi sur la protection des données ; ou
1.2.3. tout autre mécanisme légal de transfert de données, tel que prévu par le GDPR.
1.3. CCN de l'UE 2021 :
1.3.1. Le présent DPA incorpore par référence les CCAP UE 2021. Les parties sont réputées avoir accepté, exécuté et signé les CCAP UE 2021 dans leur intégralité, y compris leurs annexes.
1.3.2. Le contenu des annexes I et II des CCAP UE 2021 figure à l'annexe 1 du présent DPA. Le contenu de l'annexe III des CCAP UE 2021 figure à la pièce 3 du présent DPA. L'annexe 1 de la présente pièce complète les CCAP UE 2021 comme indiqué dans celle-ci.
1.3.3. Les modules suivants des CCAP UE 2021 s'appliquent comme indiqué ci-dessous :
1.3.3.1. Module 2 des CCAP UE 2021 (Contrôleur vers Processeur) dans la mesure où le Client, agissant en tant qu'"exportateur de données", est le Contrôleur, et Huble, agissant en tant qu'"importateur de données", est le Processeur, conformément à la section 4.1 du présent RGPD.
1.3.3.2. Module 3 des CCAP UE 2021 (sous-traitant à sous-traitant secondaire) dans la mesure où le Client, agissant en tant qu'"exportateur de données", est le sous-traitant, et Huble, agissant en tant qu'"importateur de données", est le sous-traitant secondaire, conformément à la section 4.1 du présent DPA.
1.3.4. Les parties conviennent de faire les choix suivants conformément aux CCAP de l'UE 2021 :
1.3.4.1. Les parties choisissent de ne pas inclure la clause 7 (clause d'amarrage) des CCAP UE 2021.
1.3.4.2. Les parties choisissent l'"option 2 : autorisation générale" et le délai prévu à la section 6.6.2 du présent DPA aux fins de la clause 9 des CCAP de l'UE 2021.
1.3.4.3. En ce qui concerne la clause 11 des CSC UE 2021, les parties conviennent de ne pas accorder le droit de déposer un litige auprès d'un organisme indépendant de règlement des litiges.
1.3.4.4. En ce qui concerne la clause 13 des CCAP UE 2021 :
1.3.4.4.1. lorsque le client est établi dans l'EEE, l'autorité de contrôle compétente est l'autorité du pays de l'EEE dans lequel le client est établi ;
1.3.4.4.2. lorsque le client n'est pas établi dans l'EEE, mais a désigné un représentant dans l'EEE conformément à l'article 27, paragraphe 1, du RGPD, l'autorité de contrôle compétente est l'autorité du pays de l'EEE dans lequel ce représentant a été désigné ; ou
1.3.4.4.3. lorsque le client n'est pas établi dans l'EEE et n'a pas désigné de représentant dans un pays de l'EEE conformément à l'article 27, paragraphe 1, du GDPR, l'autorité de contrôle de l'un des pays de l'EEE dans lequel se trouve la personne concernée dont les données à caractère personnel du client sont transférées en vertu des CCAP de l'UE 2021, en relation avec l'offre de biens ou de services qui leur est faite, ou dont le comportement est surveillé, agira en tant qu'autorité de contrôle compétente.
1.3.4.5. En ce qui concerne la clause 17 des CCAP UE 2021, les parties choisissent l'"option 2". En conséquence, les CCAP UE 2021 sont régis par le droit de l'État membre de l'UE dans lequel le client est établi. Lorsque ce droit ne prévoit pas de droits de tiers bénéficiaires, les CCAP UE 2021 sont régis par le droit de la République d'Irlande.
1.3.4.6. En ce qui concerne la clause 18 des CCAP UE 2021, les parties conviennent que tout litige découlant des CCAP UE 2021 sera résolu par les tribunaux de la République d'Irlande.
2. Allemagne
2.1. Aux fins du présent DPA :
2.1.1. La "loi sur la protection des données", telle que définie à la section 2 du présent DPA, comprend la loi fédérale sur la protection des données (BDSG) du 30 juin 2017 Loi relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, telle que modifiée de temps à autre, le cas échéant.
3. Belgique
3.1. Aux fins du présent DPA :
3.1.1. Par "société affiliée", on entend toute entité qui contrôle directement ou indirectement l'entité concernée, qui est contrôlée par elle ou qui est sous contrôle commun avec elle. Aux fins de la présente définition, on entend par "contrôle" la propriété ou le contrôle direct ou indirect de plus de 50 % des droits de vote de l'entité concernée ou le pouvoir d'exercer une influence décisive sur la gestion de cette entité.
3.1.2. La "loi sur la protection des données", telle que définie à la section 2 du présent DPA, comprend la loi belge du 30 juillet 2018 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, telle que modifiée de temps à autre, le cas échéant.
4. Royaume-Uni
Aux fins du présent DPA :
4.1. La "loi sur la protection des données", telle que définie à la section 2 du présent DPA, comprend la loi britannique sur la protection des données.
4.1.1. "Addendum britannique" : l'addendum sur le transfert international de données aux clauses contractuelles types de l'UE 2021, publié par le commissaire à l'information du Royaume-Uni, version B1.0. en vigueur au 21 mars 2022, tel que modifié de temps à autre.
4.1.2. Un "pays tiers britannique" est un pays situé en dehors du Royaume-Uni.
4.1.3. " Transfert restreint de Données à caractère personnel du Royaume-Uni " désigne tout transfert de Données à caractère personnel du Client soumises au GDPR du Royaume-Uni qui font l'objet d'un Traitement ou qui sont destinées à être traitées après leur transfert vers un Pays tiers du Royaume-Uni ou une organisation internationale dans un Pays tiers du Royaume-Uni, y compris le stockage de données sur des serveurs étrangers.
4.1.4. "Loi sur la protection des données du Royaume-Uni" désigne le GDPR, tel qu'il fait partie du droit interne en Angleterre et au Pays de Galles, et en Irlande du Nord en vertu de l'article 3 de la loi de 2018 sur l'Union européenne (retrait) (y compris tel que modifié ou amendé par les lois du Royaume-Uni ou d'une partie du Royaume-Uni de temps à autre) (le "GDPR britannique") et la loi sur la protection des données de 2018, telle qu'elle peut être modifiée de temps à autre.
4.1.5. En ce qui concerne tout Transfert restreint de Données à caractère personnel britanniques du Client à Huble dans le cadre du présent DPA et de l'Accord principal, les mécanismes suivants, dans l'ordre de préséance, s'appliqueront :
4.2.1. une décision d'adéquation adoptée conformément à l'article 45 du GDPR britannique qui prévoit que le pays tiers britannique, un territoire, ou un ou plusieurs secteurs spécifiés au sein de ce pays tiers britannique, ou l'organisation internationale en question vers laquelle les Données à caractère personnel du Client doivent être transférées assure un niveau adéquat de protection des données ;
4.2.2. les CSC UE 2021, en utilisant l'addendum britannique, dans la mesure où leur utilisation constitue une "garantie appropriée" en vertu de l'article 46 du GDPR britannique et de la loi britannique sur la protection des données ; ou
4.2.3. tout autre mécanisme légal de transfert de données, tel que prévu par la loi britannique sur la protection des données.
4.3. CCN de l'UE 2021 :
4.3.1. Le présent DPA incorpore par référence les CCAP UE 2021. Les parties sont réputées avoir accepté, exécuté et signé les CCAP UE 2021 dans leur intégralité, y compris leurs annexes.
4.3.2. Le contenu des annexes I et II des CCAP UE 2021 et les tableaux de l'addendum britannique figurent à l'annexe 1 du présent DPA. Le contenu de l'annexe III des CCAP UE 2021 figure à l'annexe 3 du présent DPA. complète les CCAP UE 2021 comme indiqué dans ce document.
4.3.3. Les modules suivants des CCAP UE 2021 s'appliquent comme indiqué ci-dessous :
4.3.3.1. Module 2 des CCAP UE 2021 (Responsable du traitement vers Sous-traitant) dans la mesure où le Client, agissant en tant qu'"exportateur de données", est le Responsable du traitement, et Huble, agissant en tant qu'"importateur de données", est le Sous-traitant, conformément à la section 4.1 du présent DPA.
4.3.3.2. Module 3 des CCAP UE 2021 (sous-traitant à sous-traitant secondaire) dans la mesure où le Client, agissant en tant qu'"exportateur de données", est le sous-traitant, et Huble, agissant en tant qu'"importateur de données", est le sous-traitant secondaire, conformément à la section 4.1 du présent DPA.
4.4. Les parties conviennent de faire les choix suivants conformément aux CCAP UE 2021 et à l'addendum britannique :
4.4.1. Les parties choisissent de ne pas inclure la clause 7 (clause d'amarrage) des CCAP UE 2021.
4.4.2. les parties choisissent l'"option 2 : autorisation générale" et le délai prévu à la section 6.6.2 du présent DPA aux fins de la clause 9 des CCAP UE 2021.
4.4.3. En ce qui concerne la clause 11 des CCAP UE 2021, les parties conviennent de ne pas accorder le droit de déposer un litige auprès d'un organisme indépendant de règlement des litiges.
5. Californie
5.1. Aux fins du présent DPA :
5.1.1. "Loi californienne sur la protection des données" comprend le California Consumer Privacy Act de 2018, le projet de loi 375 de l'Assemblée de la Chambre des représentants de Californie, une loi visant à ajouter le titre 1.81.5 (commençant par la section 1798.100) à la partie 4 de la division 3 du Code civil, y compris les règlements du California Consumer Privacy Act (collectivement, le "CCPA"), et le California Privacy Rights Act de 2020 (le "CPRA").
5.1.2. "Contrôleur" (tel que défini dans le présent DPA) comprend "Entreprise" tel que défini dans la loi californienne sur la protection des données.
5.1.3. La "loi sur la protection des données" (telle que définie dans le présent DPA) comprend la loi californienne sur la protection des données.
5.1.4. La "personne concernée" (telle que définie dans le présent DPA) comprend le "consommateur" tel que défini dans la loi californienne sur la protection des données.
5.1.5. Les "données personnelles" (telles que définies dans le présent DPA) comprennent les "informations personnelles" telles que définies dans la loi californienne sur la protection des données.
5.1.6. Les termes "Business Purpose", "Commercial Purpose", "Sell" et "Share" ont la signification qui leur est attribuée dans la loi californienne sur la protection des données.
5.2. Le Client divulgue les Données Personnelles du Client à Huble uniquement dans un but commercial valable, et pour permettre à Huble d'exécuter les Services en vertu de l'Accord Principal.
5.3. Dans la mesure où Huble traite les Données Personnelles du Client soumises à la CCPA, Huble se conformera aux obligations de la CCPA dans le cadre de l'exécution de l'Accord Principal. A cet égard, Huble s'engage à ne pas vendre ou partager les Données Personnelles Client, à ne pas conserver, utiliser ou divulguer les Données Personnelles Client autrement qu'en fournissant les Services ou comme autorisé par le CCPA, et à ne pas conserver, utiliser ou divulguer les Données Personnelles Client sauf dans les cas autorisés par l'Accord Principal.
5.4. Huble certifie qu'il se conformera aux restrictions décrites dans la section 3 de la présente Annexe.
6. Afrique du Sud
Aux fins du présent DPA :
6.1.1. Les "règles d'entreprise contraignantes" (aux fins de la présente section 4) ont la signification qui leur est attribuée à la section 72(2)(a) de la POPIA.
6.1.2. Le "contrôleur" (tel que défini dans le présent DPA) comprend une "partie responsable" telle que définie dans la POPIA.
6.1.3. La "loi sur la protection des données" (telle que définie dans le présent DPA) comprend la loi sud-africaine sur la protection des informations personnelles 4 de 2012 ("POPIA").
6.1.4. Les "données personnelles" (telles que définies dans le présent DPA) comprennent les "informations personnelles" telles que définies dans la POPIA.
6.1.5. Le "Processeur" (tel que défini dans le présent DPA) comprend un "Opérateur" tel que défini dans la POPIA.
6.1.6. " Transfert restreint de Données à caractère personnel SA " désigne tout transfert de Données à caractère personnel du Client soumises à la LOPPSI qui font l'objet d'un Traitement ou qui sont destinées à être traitées après leur transfert vers un Pays tiers SA ou une organisation internationale dans un Pays tiers SA, y compris le stockage de données sur des serveurs étrangers.
6.1.7. "Pays tiers d'Afrique du Sud" désigne un pays situé en dehors de la République d'Afrique du Sud.
6.2. En ce qui concerne tout Transfert Restreint de Données Personnelles SA du Client à Huble dans le cadre de ce DPA et de l'Accord Principal, les mécanismes suivants, dans l'ordre de préséance, s'appliqueront :
6.2.1. La Loi sur la protection des données à laquelle Huble est soumise, qui soutient effectivement les principes de traitement raisonnable des Données à caractère personnel qui sont substantiellement similaires aux conditions de traitement licite des Données à caractère personnel relatives à une Personne concernée, et qui comprend des dispositions substantiellement similaires à la Section 72 de la POPIA, concernant tout transfert ultérieur de Données à caractère personnel (aux fins de la présente Section 4.2.1 de la présente Pièce, les Parties conviennent que les transferts vers les entités de Huble au sein de l'EEE, qui sont soumises au GDPR et les entités de Huble au sein du Royaume-Uni, qui sont soumises à la Loi sur la protection des données du Royaume-Uni, sont conformes à ce mécanisme) ;
6.2.2. si elles sont mises en œuvre par Huble, les Règles d'entreprise contraignantes conformément aux dispositions de l'article 72(1)(a) de la LOPPSI ;
6.2.3. les termes de ce DPA, en tant qu'accord contraignant entre les Parties pour soutenir effectivement les principes de traitement raisonnable des Données à caractère personnel qui sont substantiellement similaires aux conditions de traitement licite des Données à caractère personnel relatives à une Personne concernée, et qui inclut des dispositions substantiellement similaires à la Section 72 de la POPIA, concernant tout transfert ultérieur de Données à caractère personnel ; ou
6.2.4. tout autre mécanisme légal de transfert de données, tel que prévu par la LOPPSI.
7. Singapour
7.1. Aux fins du présent DPA :
7.1.1. "MCC de l'ANASE" : les clauses contractuelles types de l'ANASE, telles qu'approuvées le 22 janvier 2021 par l'Association des nations de l'Asie du Sud-Est.
7.1.2. "Règles d'entreprise contraignantes" (aux fins de la présente section 5) a la signification qui lui est attribuée à la section 11(3) du RGPD.
7.1.3. La "loi sur la protection des données" (telle que définie dans le présent DPA) comprend la loi de 2012 sur la protection des données de Singapour et la réglementation de 2021 sur la protection des données de Singapour (le "SDPR" et, collectivement, le "SDPA").
7.1.4. "Processeur" (tel que défini dans le présent DPA) comprend un "intermédiaire de données" tel que défini dans le SDPA.
7.1.5. "Transfert restreint de données à caractère personnel de Singapour" désigne tout transfert de données à caractère personnel du Client soumises à la LPDS qui font l'objet d'un traitement ou sont destinées à être traitées après leur transfert vers un pays tiers de Singapour ou une organisation internationale dans un pays tiers de Singapour, y compris le stockage de données sur des serveurs étrangers.
7.1.6. "Pays tiers de Singapour" désigne un pays situé en dehors de la République de Singapour.
7.2. En ce qui concerne tout Transfert restreint de Données personnelles de Singapour du Client à Huble dans le cadre de ce DPA et de l'Accord principal, les mécanismes suivants, dans l'ordre de préséance, s'appliqueront :
7.2.1. La Loi sur la protection des données à laquelle Huble est soumise, permet des obligations juridiquement exécutoires pour fournir aux Données personnelles transférées une norme qui est au moins comparable à la protection en vertu du DPA (aux fins de la présente Section 5.2.1 de la présente Pièce, les Parties conviennent que les transferts vers les entités Huble au sein de l'EEE, qui sont soumises au GDPR et les entités Huble au sein du Royaume-Uni, qui sont soumises à la Loi sur la protection des données du Royaume-Uni, sont conformes à ce mécanisme) ;
7.2.2. si elles sont mises en œuvre par Huble, les Règles d'entreprise contraignantes conformément aux dispositions de l'article 11(3) de la SDPA ;
7.2.3. les MCC de l'ASEAN, incorporés par référence dans le présent DPA, tels qu'ils figurent à l'annexe 2 de la présente pièce ; ou
7.2.4. tout autre mécanisme légal de transfert de données, tel que prévu dans la LPDS.
8. Canada
Aux fins du présent DPA :
8.1. La "loi sur la protection des données" (telle que définie dans le présent DPA) comprend la loi fédérale canadienne sur la protection des renseignements personnels et les documents électroniques ("LPRPDE").
8.2. Le "Sous-traitant contractuel" (tel que défini dans le présent DPA) comprend une "Organisation tierce" telle que définie dans la LPRPDE.
8.3. Les "données à caractère personnel" (telles que définies dans le présent DPA) comprennent les "informations à caractère personnel" telles que définies dans la LPRPDE.
8.4. La "violation de données à caractère personnel" (telle que définie dans le présent DPA) comprend une "violation des garanties de sécurité" telle que définie dans la LPRPDE.
9. Généralités
Dans les cas où les CCAP de l'UE 2021 ou les CCP de l'ANASE s'appliquent, et en cas de conflit entre les conditions du présent DPA et les conditions des CCAP de l'UE 2021 ou des CCP de l'ANASE, les conditions des CCAP de l'UE 2021 ou des CCP de l'ANASE prévaudront.
Annexe 1 à la pièce 3 : Mesures supplémentaires
La présente Annexe 1 à la Pièce 3 (l'" Annexe ") prévoit des garanties et des recours supplémentaires pour les Personnes concernées dont les Données à caractère personnel des clients sont transférées à Huble en vertu des CSC UE 2021. La présente Annexe complète les CCAP UE 2021 et en fait partie intégrante, mais ne constitue pas une variation ou une modification des CCAP UE 2021.
1. Applicabilité de la présente annexe
1.1 La présente Annexe ne s'applique qu'aux Transferts internationaux restreints lorsque les CSC UE 2021 s'appliquent à ces Transferts internationaux restreints conformément au présent Addendum et à ses annexes.
2. Définitions
2.1. Aux fins d'interprétation de la présente annexe, les termes suivants ont la signification indiquée ci-dessous :
2.2. Les termes "importateur de données" et "exportateur de données" ont la même signification que celle qui leur est attribuée dans l'annexe 1, lue avec l'annexe 3.
2.3. "Demande de divulgation" : toute demande émanant d'une autorité chargée de l'application de la loi ou d'une autre autorité gouvernementale ayant autorité et compétence sur l'importateur de données, en vue de la divulgation des données à caractère personnel du client traitées dans le cadre du présent DPA.
2.4. "EO 12333" : le décret 12333 des États-Unis.
2.5. "FISA" : la loi américaine sur la surveillance du renseignement étranger (Foreign Intelligence Surveillance Act).
2.6. "Transferts internationaux restreints" : un transfert restreint de données à caractère personnel de l'EEE ou un transfert restreint de données à caractère personnel du Royaume-Uni, tels que définis dans la pièce 3.
2.7. "Arrêt Schrems II" désigne l'arrêt de la Cour européenne de justice dans l'affaire C-311/18, Commissaire à la protection des données contre Facebook Ireland Limited et Maximilian Schrems.
3. Applicabilité des lois de surveillance à l'importateur de données et à ses sous-traitants sous contrat
3.1. Lois de surveillance américaines
3.1.1. L'importateur de données déclare et garantit qu'à la date d'entrée en vigueur de la présente DPA, il n'a reçu aucune ordonnance de sécurité nationale du type décrit aux paragraphes 150 à 202 de l'arrêt Schrems II.
3.1.2. L'importateur de données déclare qu'il croit raisonnablement qu'il ne peut être tenu de fournir des informations, des installations ou une assistance de quelque type que ce soit en vertu de la section 702 de la FISA pour les raisons suivantes :
3.1.2.1. Aucun tribunal n'a jugé que l'importateur de données était une entité habilitée à recevoir une procédure judiciaire en vertu de la section 702 de la FISA : (i) un "fournisseur de services de communication électronique" au sens de l'article 50 U.S.C. § 1881(b)(4) ; ou (ii) une entité appartenant à l'une des catégories d'entités décrites dans cette définition.
3.1.2.2. Si l'importateur de données devait être jugé admissible au traitement en vertu de la section 702 de la FISA, ce qu'il ne croit pas être le cas, il n'est pas non plus le type de fournisseur admissible à la collecte UPSTREAM en vertu de la section 702 de la FISA, comme le décrivent les paragraphes 62 et 179 de l'arrêt Schrems II.
3.1.2.3. Le décret 12333 ne permet pas au gouvernement des États-Unis d'ordonner ou d'exiger que l'importateur de données fournisse de l'aide pour la collecte massive de renseignements, et l'importateur de données ne prendra aucune mesure en vertu du décret 12333 des États-Unis.
3.2. Dispositions générales concernant les lois de surveillance applicables à l'importateur de données
3.2.1. Les Parties garantissent qu'elles n'ont aucune raison de croire que les lois et pratiques du pays tiers de destination des Données à caractère personnel du Client applicables au Traitement des Données à caractère personnel du Client par l'Importateur de données, y compris toute exigence de divulgation des Données à caractère personnel du Client ou les mesures autorisant l'accès par les autorités publiques, empêchent l'Importateur de données de remplir ses obligations en vertu des CCN de l'UE 2021 (le cas échéant).
3.2.2. L'Importateur de Données surveille toute évolution juridique ou politique qui pourrait entraîner son incapacité à respecter ses obligations au titre des CCAP UE 2021 et de la présente Annexe, et informe rapidement l'Exportateur de Données de ces changements et évolutions. Dans la mesure du possible, l'exportateur de données l'informe de ces changements et développements avant leur mise en œuvre.
4. Obligations de l'importateur de données liées aux demandes de divulgation
4.1. Si l'importateur de données reçoit une demande de divulgation, il doit :
4.1.1. Informer rapidement (et, si possible, avant de divulguer les données personnelles du client transférées à l'autorité publique) l'exportateur de données de la demande de divulgation et, si possible, la personne concernée, à moins que la loi ne l'interdise, ou, s'il lui est interdit d'informer l'exportateur de données, déployer tous les efforts légaux pour obtenir le droit de renoncer à l'interdiction de communiquer les informations relatives à la demande de divulgation à l'exportateur de données dans les meilleurs délais. Il s'agit notamment d'informer l'autorité publique requérante de l'incompatibilité de la demande de divulgation avec les garanties prévues par les CCN de l'UE 2021 et du conflit d'obligations qui en résulte pour l'importateur de données, et de documenter cette communication.
4.1.2. Demander à l'autorité publique qui a émis la demande de divulgation de réorienter sa demande vers l'exportateur de données afin de contrôler la conduite de la divulgation.
4.1.3. Déployer tous les efforts légaux pour contester la demande de divulgation sur la base d'éventuelles lacunes juridiques en vertu des lois de la partie requérante ou de tout conflit pertinent avec le droit de l'Union européenne ou le droit applicable des États membres de l'EEE ou toute autre loi sur la protection des données et exiger que l'autorité publique vise à obtenir ces informations par le biais d'une coopération avec les organismes gouvernementaux dans chaque juridiction (par exemple en utilisant un autre traité ou mécanisme établi pour permettre l'échange d'informations entre gouvernements).
4.1.4. Demander des mesures provisoires en vue de suspendre les effets de la demande de divulgation jusqu'à ce qu'une juridiction compétente ait statué sur le fond.
4.1.5. Ne pas divulguer les données à caractère personnel du client demandées tant que les règles de procédure applicables ne l'exigent pas.
4.1.6. Fournir le minimum d'informations autorisé pour répondre à la demande, sur la base d'une interprétation raisonnable de la demande.
4.1.7. Documenter toutes les mesures prises par l'importateur de données en rapport avec la demande de divulgation.
4.2. Aux fins de la présente section, les efforts légitimes ne comprennent pas les actions qui entraîneraient des sanctions civiles ou pénales telles que l'outrage au tribunal en vertu des lois de la juridiction concernée.
5. Informations sur les demandes de données à caractère personnel émanant d'autorités publiques
5.1. L'importateur de données s'engage à fournir à l'exportateur de données des informations suffisamment détaillées sur toutes les demandes de données à caractère personnel émanant d'autorités publiques que l'importateur de données a reçues au cours d'une période déterminée (le cas échéant), en particulier dans les domaines du renseignement, de l'application de la loi, du contrôle administratif et réglementaire applicables aux données transférées, et comprenant des informations sur les demandes reçues, les données demandées, l'organisme demandeur, la base juridique de la divulgation et la mesure dans laquelle l'importateur de données a divulgué les données à caractère personnel demandées. L'importateur de données peut choisir les moyens de fournir ces informations.
6. Portes dérobées
6.1. L'importateur de données certifie que :
6.1.1. Il n'a pas délibérément créé de portes dérobées ou de programmes similaires pour les agences gouvernementales qui pourraient être utilisés pour accéder aux systèmes de l'importateur de données ou aux données à caractère personnel des clients soumises aux CSC de l'UE 2021.
6.1.2. L'importateur de données n'a pas délibérément créé ou modifié ses processus commerciaux de manière à faciliter l'accès des autorités gouvernementales aux données à caractère personnel des clients ou aux systèmes.
6.1.3. La législation nationale ou la politique gouvernementale n'exige pas de l'importateur de données qu'il crée ou maintienne des portes dérobées ou qu'il facilite l'accès aux données à caractère personnel ou aux systèmes des clients.
6.2. L'exportateur de données a le droit de résilier le contrat moyennant un préavis écrit de 30 jours à l'importateur de données dans les cas où l'importateur de données ne révèle pas l'existence d'une porte dérobée ou d'une programmation similaire ou de processus commerciaux manipulés ou d'une exigence de mise en œuvre de l'un d'entre eux ou n'informe pas rapidement l'exportateur de données dès qu'il a connaissance de leur existence.
7. Informations sur les interdictions légales
7.1. L'importateur de données fournit à l'exportateur de données des informations sur les interdictions légales imposées à l'importateur de données de fournir des informations en vertu de la présente annexe. L'importateur de données peut choisir les moyens de fournir ces informations.
8. Mesures supplémentaires visant à empêcher les autorités d'accéder aux données personnelles des clients
8.1. Nonobstant l'application des mesures de sécurité énoncées dans le présent DPA, l'importateur de données mettra en œuvre les mesures techniques, organisationnelles, administratives et physiques suivantes conçues pour protéger les données à caractère personnel des clients transférées :
8.1.1. Cryptage des données à caractère personnel du client transférées en transit à l'aide du protocole Transport Layer Security (TLS) version 1.2 ou supérieure avec un cryptage minimum de 128 bits ;
8.1.2. Le cryptage au repos dans les applications logicielles utilisées par Data Importer en utilisant au minimum AES-256 ;
8.1.3. Surveillance active et enregistrement de l'activité du réseau et de la base de données en vue de détecter d'éventuels événements liés à la sécurité, y compris des intrusions ;
8.1.4. Analyse et surveillance régulières de toutes les applications logicielles et de tous les systèmes informatiques non autorisés afin de déceler les vulnérabilités de Data Importer ;
8.1.5. Restriction de l'accès physique et logique aux systèmes informatiques qui traitent les Données à caractère personnel des clients transférées aux personnes officiellement autorisées ayant un besoin identifié de cet accès ;
8.1.6. Protection par pare-feu des points de connectivité externes dans l'architecture du réseau de l'importateur de données ;
8.1.7. l'application rapide de correctifs aux vulnérabilités connues et exploitables dans les applications logicielles et les systèmes informatiques utilisés par l'importateur de données ; et
8.1.8. Des politiques internes établissant que :
8.1.8.1. Lorsque la loi interdit à l'importateur de données de notifier à l'exportateur de données ou à la personne concernée une demande ou un ordre émanant d'une autorité publique concernant des données à caractère personnel du client transférées, l'importateur de données tient compte des lois d'autres juridictions et s'efforce de demander que les exigences de confidentialité soient levées pour lui permettre de notifier les autorités de contrôle compétentes ;
8.1.8.2. L'importateur de données doit exiger un document officiel et signé, délivré conformément aux lois applicables du tiers demandeur, avant d'examiner une demande d'accès aux données à caractère personnel du client transférées ;
8.1.8.3. L'importateur de données examinera chaque demande pour en vérifier la validité juridique et, dans le cadre de cette procédure, rejettera toute demande que l'importateur de données considère comme non valable ;
8.1.8.4. Si l'importateur de données est légalement tenu de se conformer à un ordre, il répondra aussi étroitement que possible à la demande spécifique ; et
8.1.8.5. Si l'importateur de données reçoit une demande de coopération volontaire de la part des autorités publiques, les données à caractère personnel du client transmises en texte clair ne peuvent être fournies aux autorités publiques qu'avec l'accord exprès de l'exportateur de données.
9. Incapacité à se conformer à la présente annexe et aux CCAP de l'UE 2021
9.1. Si l'Importateur de données détermine qu'il n'est plus en mesure de respecter ses engagements contractuels en vertu de la présente Annexe, l'Exportateur de données peut rapidement suspendre le transfert des Données à caractère personnel du client et/ou résilier l'Accord principal moyennant un préavis écrit de 30 jours.
9.2. Si l'Importateur de données détermine qu'il n'est plus en mesure de se conformer aux CSC UE 2021 ou à la présente Annexe, l'Importateur de données renvoie ou supprime les Données à caractère personnel du Client reçues en conformité avec les CSC UE 2021. S'il n'est pas possible de renvoyer ou de supprimer les Données à caractère personnel du Client reçues, l'Importateur de données doit crypter les données de manière sécurisée sans nécessairement attendre les instructions de l'Exportateur de données.
9.3. L'Importateur de données fournit à l'Exportateur de données des indications suffisantes pour lui permettre d'exercer son droit de suspendre ou de mettre fin au transfert des Données à caractère personnel du client et/ou de résilier le contrat moyennant un préavis écrit de 30 jours.
10. Résiliation
La présente Annexe prend automatiquement fin en ce qui concerne le Traitement des Données à caractère personnel du Client transférées en application des CSC UE 2021 si la Commission européenne ou un régulateur compétent approuve un mécanisme de transfert différent qui serait applicable aux Transferts internationaux restreints couverts par les CSC UE 2021 (et si ce mécanisme ne s'applique qu'à certains des transferts de données, la présente Annexe prendra fin uniquement en ce qui concerne ces transferts) et qui n'exige pas les garanties supplémentaires énoncées dans la présente Annexe.
Annexe 2 à l'illustration 3 : MCC de l'ANASE
Module 1 : Dispositions contractuelles pour les transferts de contrôleur à processeur
1. Définitions
1.1. "Loi AMS" : Toutes les lois écrites d'un État membre de l'ANASE relatives à la protection des données (ou qui sont, au minimum, pertinentes pour le transfert de données personnelles) auxquelles l'exportateur de données ou l'importateur de données (ou les deux) sont soumis.
1.2. "Violation des données" : Toute perte ou utilisation non autorisée, copie, modification, divulgation ou destruction de données à caractère personnel transférées dans le cadre du présent contrat, ou tout accès à ces données.
1.3. "Exportateur de données" : La partie qui transfère des données à caractère personnel à l'importateur de données en vertu du présent contrat.
1.4. "Importateur de données" : La partie qui reçoit des données à caractère personnel de l'importateur de données en vue de leur traitement dans le cadre du présent contrat.
1.5. "Sous-traitant de données" : Toute personne physique ou morale qui peut être engagée par l'Importateur de données pour aider l'Exportateur de données à traiter les données à caractère personnel pour le compte de l'Exportateur de données.
1.6. "Autorité d'exécution" : Toute autorité publique habilitée par la loi AMS applicable à mettre en œuvre et à faire respecter la loi AMS applicable.
1.7. "Données personnelles" : Toute information relative à une personne physique identifiée ou identifiable ("personne concernée") transférée dans le cadre du présent contrat.
1.8. "Traitement" : Toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel ou sur des ensembles de données à caractère personnel, que ce soit ou non par des moyens automatisés, y compris, par exemple, la collecte, l'utilisation et la divulgation de données à caractère personnel.
2. Obligations de l'exportateur de données
L'exportateur de données garantit, déclare et s'engage à ce que :
2.1. Les données personnelles ont été collectées, utilisées, divulguées et transférées à l'importateur de données dans le cadre du présent contrat conformément à la législation AMS applicable. En l'absence d'une telle loi, lorsque cela est raisonnable et réalisable, la personne concernée a été informée et a donné son consentement aux fins de la collecte, de l'utilisation, de la divulgation et/ou du transfert de ses données personnelles.
2.2. Toutes les données à caractère personnel transférées en vertu du présent contrat sont exactes et complètes dans la mesure nécessaire aux fins identifiées par l'exportateur de données afin de se conformer à la clause 2.1.
2.3. L'exportateur de données met en œuvre des mesures techniques et opérationnelles adéquates pour garantir la sécurité des données à caractère personnel pendant leur transmission à l'importateur de données.
2.4. L'Exportateur de données répondra aux demandes des Personnes concernées ou des Autorités d'exécution concernant le Traitement des données personnelles par l'Importateur de données comme l'exige le Droit de l'AMS applicable, y compris les demandes d'accès ou de correction des données personnelles, à moins que les Parties n'aient convenu par écrit que l'Importateur de données y réponde, et que cette délégation soit autorisée par le Droit de l'AMS applicable. Les réponses à ces demandes de renseignements et requêtes sont apportées dans un délai raisonnable ou dans le délai et de la manière requis, le cas échéant, par le droit de l'AMS applicable.
3. Obligations de l'importateur de données
L'importateur de données garantit, déclare et s'engage à ce que :
3.1. L'importateur de données traitera les données à caractère personnel uniquement conformément aux instructions de l'exportateur de données et aux fins décrites dans l'annexe 1 du DPA.
3.2. L'Importateur de données ne divulguera ni ne transférera les Données à caractère personnel qu'il reçoit de l'Exportateur de données à une autre personne, Autorité de contrôle ou entité juridique, y compris à des Sous-traitants de données, à moins qu'il n'ait notifié à l'Exportateur de données une telle divulgation ou un tel transfert par écrit, et qu'il n'ait donné à l'Exportateur de données une possibilité raisonnable de s'y opposer.
3.3. L'Importateur de données accepte qu'avant toute divulgation ou transfert de Données à caractère personnel à des tiers, y compris à des Sous-traitants de données, l'Importateur de données s'assure que le tiers est soumis et lié par les obligations de l'Importateur de données à l'égard de l'Exportateur de données.
3.4. L'Importateur de données communique et renvoie rapidement à l'Exportateur de données toutes les demandes de renseignements et les requêtes des personnes concernées concernant les données personnelles transférées par l'Exportateur de données, y compris les demandes d'accès ou de correction des données personnelles.
3.5. À la fin du présent contrat ou à l'achèvement du Traitement requis en vertu du présent contrat, l'Importateur de données doit, au choix de l'Exportateur de données, soit restituer à l'Exportateur de données les Données à caractère personnel en sa possession en vertu du présent contrat, soit cesser de conserver ces Données à caractère personnel d'une manière approuvée par l'Exportateur de données. L'importateur de données accepte de le confirmer par écrit à l'exportateur de données une fois que des mesures ont été prises pour cesser de conserver ces données à caractère personnel.
3.6. L'Importateur de données met en place des mesures techniques, administratives, opérationnelles et physiques raisonnables et appropriées, conformes aux Lois AMS applicables, afin de protéger la confidentialité, l'intégrité et la disponibilité des Données à caractère personnel, en particulier contre les risques de violation des données.
3.7. Si l'Importateur de données a connaissance d'une violation de données affectant des données personnelles en sa possession ou sous son contrôle, ou en la possession ou sous le contrôle d'un importateur d'une divulgation ou d'un transfert ultérieur de données personnelles, il en informe l'Exportateur de données dans les plus brefs délais.
3.8. L'importateur de données notifie et consulte sans délai l'exportateur de données au sujet de toute enquête concernant la collecte, l'utilisation, le transfert, la divulgation, la sécurité ou l'élimination des données à caractère personnel transférées en vertu du présent contrat, à moins que la loi ne l'interdise.
3.9. L'importateur de données fournit une assistance rapide à l'exportateur de données sur demande aux fins de la clause 2.4 ; et lorsque l'importateur de données a accepté par écrit, de répondre aux demandes de renseignements et aux demandes des personnes concernées ou des autorités chargées de l'application concernant son traitement des données personnelles lorsqu'il est notifié par l'exportateur de données.
Composants commerciaux
4. Choix de la loi ; litiges :
4.1. Le présent contrat sera interprété conformément aux lois de la République de Singapour.
4.2. En cas de conflit ou d'incohérence entre les clauses du présent contrat et la législation de l'AMS, la législation applicable de l'AMS prévaudra.
Résiliation du contrat
6.1. Dans le cas où
6.1.1. le transfert de données personnelles à l'importateur de données a été temporairement suspendu par l'exportateur de données pendant plus de 60 jours conformément à la clause 5.1 ;
6.1.2. le respect du présent contrat par l'importateur de données le mettrait en infraction avec les obligations qui lui incombent en vertu de la législation du pays dans lequel il traite les données à caractère personnel ;
6.1.3. l'Importateur de données est en violation matérielle de toute obligation en vertu de ce contrat ;
6.1.4. l'Importateur de données cesse ses activités volontairement ou involontairement, annonce son intention de cesser ses activités ou transfère la totalité ou la quasi-totalité de ses actifs à une entité non affiliée, l'Exportateur de données, sans préjudice de tout autre droit qu'il peut avoir à l'encontre de l'Importateur de données, a le droit de résilier le présent contrat. Dans les cas couverts par (6.1.1) ou (6.1.2), l'importateur de données peut également résilier le présent contrat.
6.2. Dans le cas où :
6.2.1. le respect de ce contrat par l'Exportateur de données le mettrait en infraction avec ses obligations en vertu de la loi ;
6.2.2. l'Exportateur de données est en violation matérielle de toute obligation en vertu du présent contrat ;
6.2.3. l'exportateur de données cesse ses activités volontairement ou involontairement, annonce son intention de cesser ses activités ou transfère la totalité ou la quasi-totalité de ses actifs à une entité non affiliée, alors l'importateur de données, sans préjudice de tout autre droit qu'il peut avoir à l'encontre de l'exportateur de données, a le droit de résilier le présent contrat. Dans les cas couverts par (6.2.1) ci-dessus, l'Exportateur de données peut également résilier le présent contrat.
6.3. Les Parties conviennent que la résiliation du présent contrat à tout moment, en toutes circonstances et pour quelque raison que ce soit ne les dispense pas des obligations du présent contrat concernant la restitution ou la suppression des Données à caractère personnel transférées.
7. Modification du contrat
7.1. Les Parties peuvent, par accord écrit, adopter ou modifier le présent contrat lorsqu'il est conforme aux principes énoncés dans le Cadre de l'ANASE sur la protection des données à caractère personnel, ou lorsqu'il est requis par le droit applicable de l'AMS. Cela n'empêche pas les parties d'ajouter ou de modifier des clauses, par accord écrit, en fonction de leurs accords commerciaux ou d'affaires.
8. Description du transfert
8.1. Les détails du transfert et les données à caractère personnel concernées sont précisés dans l'annexe 1 du DPA.
Conditions supplémentaires pour les recours individuels
Cette section contient les dispositions supplémentaires et doit être lue comme faisant partie du contrat ci-joint entre les parties. Les mots et expressions définis dans ces conditions supplémentaires ont la même signification dans le contrat. En cas d'incohérence entre les présentes conditions supplémentaires et le contrat, les présentes conditions supplémentaires prévalent.
Recours individuels :
1.1 Les parties reconnaissent que le droit de la République de Singapour confère aux personnes concernées le droit de faire respecter les garanties et engagements de protection des données du présent contrat en tant que tiers bénéficiaires. Les parties conviennent que le présent contrat respectera les droits des personnes concernées en vertu du droit de la République de Singapour.
1.2. Les personnes concernées peuvent se retourner contre l'exportateur de données (clauses 2.1 et 2.4) en tant que tiers bénéficiaires.
1.3. Les personnes concernées peuvent se retourner contre l'importateur de données (clause 3.4).
1.4. Les personnes concernées peuvent se retourner contre les sous-traitants ultérieurs (clauses 2.1, 2.4 et 3.4) lorsque l'exportateur de données et l'importateur de données ont cessé leurs activités, cessé d'exister en droit ou transféré la totalité ou la quasi-totalité de leurs actifs à une entité non associée, de sorte que cette dernière a assumé les obligations légales de l'exportateur de données par contrat ou par effet de la loi.
1.5. Dans la mesure autorisée par le droit applicable de l'AMS, les personnes concernées peuvent obtenir une indemnisation en cas de violation du présent contrat par l'importateur de données et/ou l'exportateur de données (conformément au droit applicable de l'AMS ou, si ce droit est muet sur l'attribution de l'indemnisation, par l'importateur de données et l'exportateur de données, à parts égales).
1.6. Les Parties ne s'opposent pas à ce qu'une personne concernée soit représentée par un autre organe si la personne concernée le souhaite expressément et si cette représentation est autorisée par le droit applicable.