Knowledge BaseNewsSupport
DreamHost
Back to Legal Overview

Avenant de Traitement des Données Client

Dernière Mise à Jour:

17 Septembre 2024

Cet Avenant de Traitement des Données ("DPA"), daté du 27 décembre 2022 (la "Date d'Entrée en Vigueur"), est établi et fait partie intégrante du contrat général et de la relation selon les Conditions de Service (et tous les autres accords régissant nos Services) tels que modifiés et complétés de temps à autre (l'"Accord"), entre vous ("Client") et DreamHost ("Société"). Tous les termes en majuscules non définis dans ce DPA auront les significations énoncées dans l'Accord.

Définitions

  • "Affilié" désigne une entité qui contrôle directement ou indirectement, est contrôlée par ou est sous contrôle commun avec une entité.
  • "Accord" a la signification énoncée dans la section d'introduction.
  • "Contrôle" désigne une propriété, un droit de vote ou un intérêt similaire représentant cinquante pour cent (50 %) ou plus des intérêts totaux alors en circulation de l'entité en question. Le terme "Contrôlé" sera interprété en conséquence.
  • "Responsable du Traitement" désigne une entité qui détermine les finalités et les moyens du Traitement des Données à Caractère Personnel.
  • "Données Client" désigne toute Donnée à Caractère Personnel que la Société Traite pour le compte du Client dans le cadre de la fourniture des Services.
  • "Lois Applicables sur la Protection des Données" désigne toutes les lois effectives sur la protection des données et la vie privée applicables au Traitement des Données à Caractère Personnel en vertu de l'Accord, y compris, mais sans s'y limiter, le cas échéant, le RGPD, les Lois Britanniques sur la Protection des Données et le CCPA.
  • "EEE" désigne, aux fins du présent DPA, l'Espace Économique Européen et la Suisse.
  • "RGPD" désigne le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du Traitement des Données à Caractère Personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement Général sur la Protection des Données), et toutes les mises en œuvre nationales applicables.
  • "Clauses Types" désigne les Clauses Contractuelles Types du module pour les Responsables du Traitement aux Sous-traitants telles qu'approuvées par la Commission européenne dans la forme présentée à l'Annexe D, complétées par l'Addendum au Transfert International de Données du Bureau du Commissaire à l'Information du Royaume-Uni.
  • "CCPA" désigne la Loi Californienne sur la Protection de la Vie Privée des Consommateurs de 2018 [Sections 1798.100 - 1798.199 du Code Civil de Californie], telle que modifiée (y compris par la Loi Californienne sur les Droits à la Vie Privée de 2020), et ses règlements d'application.
  • "Données à Caractère Personnel" désigne toute information relative à une personne physique identifiée ou identifiable ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l'identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique.
  • "Violation de Données à Caractère Personnel" désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès aux Données à Caractère Personnel transmises, stockées ou autrement Traitées.
  • "Traitement" désigne toute opération ou ensemble d'opérations effectuées sur des Données à Caractère Personnel ou sur des ensembles de Données à Caractère Personnel, que ce soit ou non par des moyens automatisés, telles que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, diffusion ou autrement mise à disposition, alignement ou combinaison, restriction, effacement ou destruction. "Traiter", "Traite" et "Traité" seront interprétés en conséquence.
  • "Sous-traitant" désigne une entité qui Traite des Données à Caractère Personnel pour le compte d'un Responsable du Traitement.
  • "Services" désigne tout produit ou service fourni par la Société au Client conformément à l'Accord.
  • "Sous-traitant Ultérieur" désigne un tiers engagé par la Société pour aider à remplir ses obligations en ce qui concerne la fourniture des Services conformément à l'Accord ou à ce DPA.
  • "Lois Britanniques sur la Protection des Données" désigne : (i) le Règlement Général sur la Protection des Données du Royaume-Uni ; et (ii) la Loi sur la Protection des Données de 2018.

1. Portée de ce DPA

Ce DPA s'applique lorsque et seulement dans la mesure où la Société Traite des Données Client qui sont soumises aux Lois Applicables sur la Protection des Données pour le compte du Client dans le cadre de la fourniture des Services au Client conformément à l'Accord.

2. Rôles et Portée du Traitement

Rôle des Parties. Entre la Société et le Client, le Client est le Responsable du Traitement des Données Client, et la Société ne Traitera les Données Client qu'en tant que Sous-traitant agissant pour le compte du Client. Dans la mesure où le CCPA est applicable au Traitement des Données Client en vertu de l'Accord, les parties conviennent que le Client est une "entreprise" et la Société est un "fournisseur de services", tels que ces termes sont définis dans le CCPA.

Traitement des Données Client par le Client. Le Client accepte que (i) il se conformera à ses obligations respectives en vertu des Lois Applicables sur la Protection des Données en ce qui concerne son Traitement des Données Client et toutes les instructions de Traitement qu'il émet à la Société ; et (ii) il a fourni un avis et obtenu (ou obtiendra) tous les consentements et droits nécessaires en vertu des Lois Applicables sur la Protection des Données pour que la Société puisse Traiter les Données Client conformément à l'Accord et à ce DPA.

Traitement des Données Client par la Société. La Société ne Traitera les Données Client que pour les finalités décrites dans ce DPA et uniquement conformément aux instructions documentées légitimes du Client. Les parties conviennent que ce DPA et l'Accord définissent les instructions complètes et finales du Client à la Société en relation avec le Traitement des Données Client et le Traitement en dehors de la portée de ces instructions (le cas échéant) nécessitera un accord écrit préalable entre le Client et la Société.

Détails du Traitement. Les détails du Traitement en vertu de l'Accord sont énoncés à l'Annexe A.

Exceptions. Nonobstant toute disposition contraire dans l'Accord (y compris ce DPA), le Client reconnaît que la Société aura le droit d'utiliser et de divulguer des données relatives à l'exploitation, au support et/ou à l'utilisation des Services pour ses fins commerciales légitimes telles que la facturation, la gestion de compte, le support technique, le développement et l'amélioration des produits, et les ventes et le marketing. Dans la mesure où de telles données utilisées uniquement pour les fins commerciales de la Société sont considérées comme des Données à Caractère Personnel en vertu des Lois Applicables sur la Protection des Données, la Société est le Responsable du Traitement de ces données et garantit en conséquence qu'elle Traitera ces données conformément à la Politique de Confidentialité de la Société et aux Lois sur la Protection des Données.

3. Sous-traitement

Sous-traitants Ultérieurs Autorisés. Le Client accepte que la Société puisse engager des Sous-traitants Ultérieurs pour Traiter les Données Client pour le compte du Client. Les Sous-traitants Ultérieurs actuellement engagés par la Société et autorisés par le Client peuvent être consultés dans l'onglet "Profil & Confidentialité" du Panneau de Contrôle de DreamHost (la "Liste des Sous-traitants Ultérieurs").

Obligations des Sous-traitants Ultérieurs. La Société : (i) conclura un accord écrit avec le Sous-traitant Ultérieur imposant des conditions de protection des données qui obligent le Sous-traitant Ultérieur à protéger les Données Client selon la norme requise par les Lois Applicables sur la Protection des Données ; et (ii) restera responsable de sa conformité aux obligations de ce DPA et pour tout acte ou omission du Sous-traitant Ultérieur qui amène la Société à violer l'une de ses obligations en vertu de ce DPA.

Modifications des Sous-traitants Ultérieurs. La Société fournira un avis de toute mise à jour de ses Sous-traitants Ultérieurs au Client en mettant à jour la Liste des Sous-traitants Ultérieurs avec un préavis de cinq (5) jours avant d'utiliser un nouveau Sous-traitant Ultérieur pour fournir les Services. La Liste des Sous-traitants Ultérieurs reflétera la date de "dernière mise à jour" à tout moment. Le Client peut recevoir des notifications par e-mail des modifications apportées à la Liste des Sous-traitants Ultérieurs. Si le Client n'approuve pas un nouveau Sous-traitant Ultérieur après avoir reçu un avis de cet ajout, et que le Client fournit un avis écrit à la Société qui inclut une explication des raisons pour lesquelles le Client n'approuve pas le nouveau Sous-traitant Ultérieur dans la période de cinq (5) jours avant que la Société n'utilise le nouveau Sous-traitant Ultérieur pour fournir les Services, alors le Client peut résilier les Services concernés via un avis écrit à la Société.

4. Sécurité

Mises à Jour des Mesures de Sécurité. Le Client est responsable de l'examen des informations mises à disposition par la Société concernant la sécurité des données et de la détermination indépendante si les Services répondent aux exigences et obligations légales du Client en vertu des Lois Applicables sur la Protection des Données. Les mesures techniques et organisationnelles minimales de la Société conçues pour protéger les Données Client sont énoncées à l'Annexe B (les "Mesures de Sécurité des Informations"). Le Client reconnaît que les Mesures de Sécurité des Informations sont soumises aux progrès et développements techniques et que la Société peut mettre à jour ou modifier les Mesures de Sécurité des Informations de temps à autre, à condition que ces mises à jour et modifications n'entraînent pas la dégradation de la sécurité globale des Services achetés par le Client.

Personnel. La Société veillera à ce que toute personne autorisée par la Société à Traiter les Données Client (y compris son personnel, ses agents et les Sous-traitants Ultérieurs autorisés) soit soumise à une obligation appropriée de confidentialité (qu'il s'agisse d'un devoir contractuel ou statutaire). De plus, la Société prendra des mesures pour s'assurer que toute personne autorisée par la Société à avoir accès aux Données Client ne Traite pas ces données sauf sur instructions du Client, à moins que cette personne ne soit tenue de Traiter ces données par les Lois Applicables sur la Protection des Données.

Responsabilités du Client Nonobstant ce qui précède, le Client accepte que, sauf disposition contraire de ce DPA, le Client est responsable de son utilisation sécurisée des Services.

Réponse aux Violations de Données à Caractère Personnel. Dès qu'elle prend connaissance d'une Violation de Données à Caractère Personnel, la Société doit en informer le Client sans retard injustifié et fournira en temps utile des informations relatives à la Violation de Données à Caractère Personnel au fur et à mesure qu'elles seront connues ou raisonnablement demandées par le Client. La Société prendra rapidement des mesures raisonnables pour atténuer et, si possible, remédier aux effets de toute Violation de Données à Caractère Personnel.

5. Rapports d'Audit

Le Client reconnaît que la Société est régulièrement auditée pour sa conformité à ce DPA et aux normes de sécurité de la Société. Sur demande écrite raisonnable envoyée à l'adresse de la Société comme indiqué dans la Politique de Confidentialité, la Société fournira un rapport d'audit sommaire ("Rapport") au Client, lequel Rapport sera soumis aux dispositions de confidentialité de tout accord de non-divulgation fourni par la Société pour l'exécution par le Client en relation avec le Rapport. La Société répondra également à toute question d'audit écrite commercialement raisonnable qui lui sera soumise par le Client, à condition que le Client n'exerce pas ce droit plus d'une fois par période de douze (12) mois.

6. Transferts Internationaux

Emplacements des Centres de Données. La Société peut transférer et Traiter les Données Client partout dans le monde où la Société, ses Affiliés ou ses Sous-traitants Ultérieurs maintiennent des opérations de Traitement. La Société fournira à tout moment un niveau de protection adéquat pour les Données Client Traitées, conformément aux exigences des Lois Applicables sur la Protection des Données.

Clauses Types. Dans la mesure où la Société Traite des Données Client protégées par le RGPD ou les Lois Britanniques sur la Protection des Données en vertu de l'Accord et/ou qui proviennent de l'EEE ou du Royaume-Uni, dans un pays qui n'a pas été désigné par la Commission européenne, l'Autorité Fédérale Suisse de Protection des Données ou le Bureau du Commissaire à l'Information du Royaume-Uni (selon le cas) comme offrant un niveau de protection adéquat pour les Données à Caractère Personnel, les parties reconnaissent que la Société sera réputée fournir une protection adéquate (au sens des Lois Applicables sur la Protection des Données) pour ces Données Client en se conformant aux Clauses Types. La Société accepte qu'elle est un "importateur de données" et le Client est l'"exportateur de données" en vertu des Clauses Types (nonobstant le fait que le Client est une entité située en dehors de l'EEE). L'Annexe III des Clauses Types s'applique uniquement en ce qui concerne le transfert de Données Client protégées par les Lois Britanniques sur la Protection des Données en vertu de l'Accord et/ou qui proviennent du Royaume-Uni.

7. Restitution ou Suppression des Données

À la résiliation ou à l'expiration de l'Accord, la Société, sur choix du Client et sur demande authentifiée, restituera ou, dans la mesure techniquement possible, supprimera toutes les Données Client en sa possession ou sous son contrôle. Nonobstant ce qui précède, la Société peut conserver des Données Client ou archiver des Données Client sur ses systèmes de sauvegarde lorsque la Société est tenue par la loi applicable, par une obligation contractuelle ou réglementaire, ou lorsque la Société a des intérêts commerciaux légitimes nécessitant la conservation de tout ou partie des Données Client. La Société isolera et protégera de manière sécurisée ces Données Client de tout Traitement ultérieur, sauf dans la mesure requise par la loi applicable, par une obligation contractuelle ou réglementaire.

8. Coopération

Les Services peuvent fournir au Client un certain nombre de contrôles que le Client peut utiliser pour récupérer, corriger, supprimer ou restreindre les Données Client, que le Client peut utiliser pour l'aider dans le cadre de ses obligations en vertu des Lois Applicables sur la Protection des Données, y compris ses obligations relatives à la réponse aux demandes des personnes concernées ou des autorités de protection des données applicables. Dans la mesure où le Client n'est pas en mesure d'accéder de manière indépendante aux Données Client pertinentes dans les Services, la Société fournira (aux frais du Client) une coopération raisonnable pour aider le Client à répondre à toute demande d'individus ou d'autorités de protection des données applicables concernant le Traitement des Données à Caractère Personnel en vertu de l'Accord. Dans le cas où une telle demande est faite directement à la Société, la Société ne répondra pas à cette communication directement sans l'autorisation préalable du Client, sauf si elle y est légalement contrainte. Si la Société est tenue de répondre à une telle demande, la Société en informera rapidement le Client et lui fournira une copie de la demande, sauf si cela est légalement interdit.

La Société ne divulguera pas les Données Client à un gouvernement ou à un tiers, sauf si cela est nécessaire pour divulguer ces informations avec un ordre valide et contraignant d'une agence d'application de la loi. Si elle est contrainte de divulguer des Données Client à une agence d'application de la loi, la Société donnera au Client un préavis raisonnable de la demande pour permettre au Client de demander une ordonnance de protection ou tout autre recours approprié, sauf si la Société est légalement interdite de le faire.

Dans la mesure où la Société est tenue en vertu des Lois Applicables sur la Protection des Données, la Société fournira (aux frais du Client) les informations raisonnablement demandées concernant les Services pour permettre au Client d'effectuer des évaluations d'impact sur la protection des données ou des consultations préalables avec les autorités de protection des données comme requis par la loi.

9. Clauses CCPA

Dans la mesure où le CCPA est applicable au Traitement des Données Client en vertu de l'Accord, les parties se conformeront à l'Annexe C.

10. Général

Toute réclamation formulée en vertu ou en relation avec ce DPA sera soumise aux conditions générales de la Société (y compris les Conditions de Service) telles que mises à jour sur la page Web Légale, y compris, mais sans s'y limiter, les exclusions et limitations énoncées dans l'Accord. Toute réclamation contre la Société ou ses Affiliés en vertu de ce DPA sera formulée uniquement contre l'entité qui est partie à l'Accord. En aucun cas, une partie ne limitera sa responsabilité en ce qui concerne les droits de protection des données d'un individu en vertu de ce DPA ou autrement. Le Client accepte en outre que toute pénalité réglementaire encourue par la Société en relation avec les Données Client qui résulte de, ou en relation avec, le non-respect par le Client de ses obligations en vertu de ce DPA ou de toute Loi Applicable sur la Protection des Données sera comptabilisée et réduira la responsabilité de la Société en vertu de l'Accord comme si c'était une responsabilité envers le Client en vertu de l'Accord.

Personne d'autre qu'une partie à ce DPA, ses successeurs et ayants droit autorisés n'aura le droit d'en faire appliquer les termes. Ce DPA sera régi par et interprété conformément aux dispositions de loi applicable et de juridiction dans l'Accord, sauf si les Lois Applicables sur la Protection des Données l'exigent autrement.

Les parties conviennent que ce DPA remplacera tout DPA existant (y compris les Clauses Types (le cas échéant)) que les parties pourraient avoir conclu précédemment en relation avec les Services.

Ce DPA et les Clauses Types prendront fin simultanément et automatiquement avec la résiliation ou l'expiration de l'Accord ; à condition, cependant, que les dispositions exigeant la destruction sécurisée des Données à Caractère Personnel et la conservation des Données à Caractère Personnel pour satisfaire aux exigences légales, contractuelles ou réglementaires survivent à la résiliation ou à l'expiration du DPA pour le temps minimum requis pour satisfaire aux obligations respectives en vertu de ces dispositions.

À l'exception des modifications apportées par ce DPA, l'Accord reste inchangé et en pleine vigueur et effet. En cas de conflit entre ce DPA et l'Accord, ce DPA prévaudra dans la mesure de ce conflit.

Les Annexes de ce DPA sont incorporées dans ce DPA par cette référence. En cas de conflit entre ce DPA et toute Annexe de ce DPA, ce DPA prévaudra dans la mesure de ce conflit. Nonobstant ce qui précède, en cas de conflit entre ce DPA et les Clauses Types, les Clauses Types prévaudront dans la mesure de ce conflit.

Les dispositions de ce DPA sont divisibles. Si une phrase, clause ou disposition est invalide ou inapplicable en tout ou en partie, cette invalidité ou inapplicabilité n'affectera que cette phrase, clause ou disposition, et le reste de ce DPA restera en pleine vigueur et effet.

Annexe A

Détails du Traitement

  1. Objet : L'objet du Traitement en vertu de ce DPA sont les Données Client.
  2. Durée : Entre la Société et le Client, la durée du Traitement en vertu de ce DPA est énoncée à la Section 7 de ce DPA.
  3. Finalité et Nature : La finalité et la nature du Traitement en vertu de ce DPA sont la fourniture des Services au Client et l'exécution des obligations de la Société en vertu de l'Accord (y compris ce DPA) ou autrement convenues par les parties.
  4. Catégories de Personnes Concernées : Le Client peut télécharger des Données à Caractère Personnel lors de l'utilisation des Services, dans la mesure qui peut être déterminée et contrôlée par le Client. Cela peut inclure, mais sans s'y limiter :
    1. Les prospects, clients, partenaires commerciaux, vendeurs ou tiers du Client (qui sont des personnes physiques) ;
    2. Les employés, agents, conseillers, tiers et freelances du Client ;
    3. Les employés ou personnes affiliées de (1) ci-dessus ;
    4. Les utilisateurs autorisés des Services par le Client
  5. Types de Données à Caractère Personnel : Le Client peut télécharger des Données à Caractère Personnel lors de l'utilisation des Services, dans la mesure qui peut être déterminée et contrôlée par le Client. Cela peut inclure, mais sans s'y limiter, les catégories suivantes : nom, adresse, numéro de téléphone, date de naissance, e-mail et autres Données Client.

Annexe B

Mesures de Sécurité des Informations

Les éléments suivants sont considérés comme les exigences minimales de sécurité que la Société a mises en place et qui sont conçues pour protéger les Données Client :

  • Nomination d'un ou plusieurs responsables chargés de coordonner et de surveiller les règles et procédures de technologie de l'information.
  • Politique et procédures documentées régissant l'utilisation du système de technologie de l'information par les employés et les vendeurs.
  • Processus pour identifier et répondre aux incidents de sécurité suspectés ou connus.
  • En interne, les données au repos sont sécurisées par des rôles ou des autorisations de groupe et vérifiées périodiquement pour s'assurer que les personnes n'ont accès qu'aux données dont elles ont besoin pour faire leur travail et que les comptes d'utilisateurs résiliés sont désactivés.
  • Les serveurs sont mis à jour en temps opportun pour s'assurer que les dernières mises à jour de sécurité sont appliquées.
  • Transport Layer Security (TLS) est utilisé partout où c'est applicable pour le trafic web et e-mail. Les e-mails sont également filtrés et scannés plusieurs fois à l'entrée.
  • Des réseaux privés virtuels (VPN) sont utilisés pour chiffrer le trafic entre tous nos emplacements.
  • Les utilisateurs externes utilisent également une connectivité VPN chiffrée pour accéder aux ressources internes et cela est accordé sur une base par utilisateur.
  • Tous les mots de passe stockés sont chiffrés.
  • Les données sont synchronisées entre leur emplacement principal et de sauvegarde quotidiennement.
  • Des auditeurs tiers effectuent des audits informatiques annuels et examinent les politiques et procédures.

Annexe C

Clauses CCPA

Cette Annexe n'est applicable au DPA que dans la mesure où le CCPA est applicable au Traitement des Données Client en vertu de l'Accord. Tels qu'utilisés dans cette Annexe, les termes "Informations Personnelles", "Vendre", "Partager", "Finalité Commerciale" et "Finalité Commerciale" auront les significations données dans le CCPA.

Dans la mesure où les Données Client constituent des Informations Personnelles en vertu de l'Accord :

  • La Société ne Vendra ni ne Partagera aucune Donnée Client ;
  • La Société ne conservera, n'utilisera ou ne divulguera les Données Client pour aucune finalité autre que les Finalités Commerciales spécifiées dans l'Accord, à savoir l'offre de noms de domaine, d'hébergement web et de conception, de services cloud, de services e-mail, y compris pour toute Finalité Commerciale autre que les Finalités Commerciales spécifiées dans l'Accord.
  • La Société ne conservera, n'utilisera ou ne divulguera les Données Client en dehors de la relation commerciale directe entre le Client et la Société.
  • La Société ne combinera pas ces Données Client reçues de, ou au nom du, Client avec des Données Client reçues de, ou au nom de, tout tiers, sauf pour exécuter toute Finalité Commerciale autorisée par le CCPA.
  • La Société se conformera aux obligations applicables en vertu du CCPA et fournira le même niveau de protections aux Données Client que celui requis par le CCPA, y compris en aidant le Client à se conformer aux demandes CCPA des consommateurs.
  • Le Client a le droit de prendre des mesures raisonnables et appropriées pour aider à garantir que la Société utilise les Données Client d'une manière compatible avec les obligations du Client en vertu du CCPA.
  • La Société informera le Client si elle détermine que la Société ne peut plus respecter ses obligations en vertu du CCPA. Si la Société notifie au Client une utilisation non autorisée des Données Client, y compris en vertu de la phrase précédente, la Société aura le droit de prendre des mesures raisonnables et appropriées pour arrêter et remédier à cette utilisation non autorisée.

Annexe D

Clauses Types

SECTION 1

Clause 1

Objet et champ d'application

(a) L'objet de ces clauses contractuelles types est d'assurer la conformité aux exigences du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données)1 pour le transfert de données à caractère personnel vers un pays tiers.

(b) Les Parties :

  • (i) la ou les personnes physiques ou morales, autorités publiques, agences ou autres organismes (ci-après "entité(s)") transférant les données à caractère personnel, tels qu'énumérés à l'Annexe I.A. (ci-après chacun "exportateur de données"), et
  • (ii) la ou les entités dans un pays tiers recevant les données à caractère personnel de l'exportateur de données, directement ou indirectement via une autre entité également Partie à ces Clauses, telles qu'énumérées à l'Annexe I.A. (ci-après chacun "importateur de données") ont accepté ces clauses contractuelles types (ci-après : "Clauses").

(c) Ces Clauses s'appliquent en ce qui concerne le transfert de données à caractère personnel tel que spécifié à l'Annexe I.B.

(d) L'Appendice à ces Clauses contenant les Annexes qui y sont mentionnées fait partie intégrante de ces Clauses.

Clause 2

Effet et invariabilité des Clauses

(a) Ces Clauses établissent des garanties appropriées, y compris des droits opposables pour les personnes concernées et des recours juridiques efficaces, conformément à l'Article 46(1) et à l'Article 46(2)(c) du Règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types conformément à l'Article 28(7) du Règlement (UE) 2016/679, à condition qu'elles ne soient pas modifiées, sauf pour sélectionner le(s) Module(s) approprié(s) ou pour ajouter ou mettre à jour des informations dans l'Appendice. Cela n'empêche pas les Parties d'inclure les clauses contractuelles types énoncées dans ces Clauses dans un contrat plus large et/ou d'ajouter d'autres clauses ou des garanties supplémentaires, à condition qu'elles ne contredisent pas, directement ou indirectement, ces Clauses ou ne portent pas atteinte aux droits ou libertés fondamentaux des personnes concernées.

(b) Ces Clauses sont sans préjudice des obligations auxquelles l'exportateur de données est soumis en vertu du Règlement (UE) 2016/679.

Clause 3

Tiers bénéficiaires

(a) Les personnes concernées peuvent invoquer et faire valoir ces Clauses, en tant que tiers bénéficiaires, contre l'exportateur de données et/ou l'importateur de données, avec les exceptions suivantes :

  • (i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7 ;
  • (ii) Clause 8.1(b), 8.9(a), (c), (d) et (e) ; ;
  • (iii) Clause 9(a), (c), (d) et (e) ;
  • (iv) Clause 12(a), (d) et (f) ;
  • (v) Clause 13 ;
  • (vi) Clause 15.1(c), (d) et (e) ;
  • (vii) Clause 16(e) ;
  • (viii) Clause 18(a) et (b).

(b) Le paragraphe (a) est sans préjudice des droits des personnes concernées en vertu du Règlement (UE) 2016/679.

Clause 4

Interprétation

(a) Lorsque ces Clauses utilisent des termes qui sont définis dans le Règlement (UE) 2016/679, ces termes ont la même signification que dans ce Règlement.

(b) Ces Clauses doivent être lues et interprétées à la lumière des dispositions du Règlement (UE) 2016/679.

(c) Ces Clauses ne doivent pas être interprétées d'une manière qui entre en conflit avec les droits et obligations prévus dans le Règlement (UE) 2016/679.

Clause 5

Hiérarchie

En cas de contradiction entre ces Clauses et les dispositions d'accords connexes entre les Parties, existant au moment où ces Clauses sont convenues ou conclues par la suite, ces Clauses prévaudront.

Clause 6

Description du(des) transfert(s)

Les détails du(des) transfert(s), et en particulier les catégories de données à caractère personnel qui sont transférées et la(les) finalité(s) pour lesquelles elles sont transférées, sont spécifiés à l'Annexe I.B.

Clause 7

Clause d'Amarrage

Non applicable.

SECTION II - OBLIGATIONS DES PARTIES

Clause 8

Garanties en matière de protection des données

L'exportateur de données garantit qu'il a fait des efforts raisonnables pour déterminer que l'importateur de données est en mesure, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire à ses obligations en vertu de ces Clauses.

8.1 Instructions

(a) L'importateur de données ne traitera les données à caractère personnel que sur instructions documentées de l'exportateur de données. L'exportateur de données peut donner ces instructions pendant toute la durée du contrat.

(b) L'importateur de données informera immédiatement l'exportateur de données s'il n'est pas en mesure de suivre ces instructions.

8.2 Limitation des finalités

L'importateur de données ne traitera les données à caractère personnel que pour la(les) finalité(s) spécifique(s) du transfert, telle(s) qu'indiquée(s) à l'Annexe I.B, sauf sur instructions ultérieures de l'exportateur de données.

8.3 Transparence

Sur demande, l'exportateur de données mettra gratuitement à la disposition de la personne concernée une copie de ces Clauses, y compris l'Appendice tel que complété par les Parties. Dans la mesure nécessaire pour protéger les secrets d'affaires ou d'autres informations confidentielles, y compris les mesures décrites à l'Annexe II et les données à caractère personnel, l'exportateur de données peut expurger une partie du texte de l'Appendice à ces Clauses avant d'en partager une copie, mais fournira un résumé significatif lorsque la personne concernée ne serait pas autrement en mesure de comprendre son contenu ou d'exercer ses droits. Sur demande, les Parties fourniront à la personne concernée les raisons des expurgations, dans la mesure du possible sans révéler les informations expurgées. Cette Clause est sans préjudice des obligations de l'exportateur de données en vertu des Articles 13 et 14 du Règlement (UE) 2016/679.

8.4 Exactitude

Si l'importateur de données prend connaissance que les données à caractère personnel qu'il a reçues sont inexactes ou sont devenues obsolètes, il en informera l'exportateur de données sans retard indu. Dans ce cas, l'importateur de données coopérera avec l'exportateur de données pour effacer ou rectifier les données.

8.5 Durée du traitement et effacement ou restitution des données

Le traitement par l'importateur de données n'aura lieu que pendant la durée spécifiée à l'Annexe I.B. Après la fin de la prestation des services de traitement, l'importateur de données, au choix de l'exportateur de données, supprimera toutes les données à caractère personnel traitées pour le compte de l'exportateur de données et certifiera à l'exportateur de données qu'il l'a fait, ou restituera à l'exportateur de données toutes les données à caractère personnel traitées pour son compte et supprimera les copies existantes. Jusqu'à ce que les données soient supprimées ou restituées, l'importateur de données continuera à assurer la conformité à ces Clauses. Dans le cas où les lois locales applicables à l'importateur de données interdisent la restitution ou la suppression des données à caractère personnel, l'importateur de données garantit qu'il continuera à assurer la conformité à ces Clauses et ne traitera les données que dans la mesure et aussi longtemps que requis par cette loi locale. Ceci est sans préjudice de la Clause 14, en particulier l'exigence pour l'importateur de données en vertu de la Clause 14(e) de notifier à l'exportateur de données pendant toute la durée du contrat s'il a des raisons de croire qu'il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences de la Clause 14(a).

8.6 Sécurité du traitement

(a) L'importateur de données et, pendant la transmission, également l'exportateur de données mettront en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, y compris la protection contre une violation de la sécurité entraînant la destruction accidentelle ou illicite, la perte, l'altération, la divulgation non autorisée ou l'accès à ces données (ci-après "violation de données à caractère personnel"). En évaluant le niveau de sécurité approprié, les Parties prendront dûment en compte l'état de la technique, les coûts de mise en œuvre, la nature, la portée, le contexte et la(les) finalité(s) du traitement et les risques encourus pour les personnes concernées. Les Parties envisageront en particulier d'avoir recours au chiffrement ou à la pseudonymisation, y compris pendant la transmission, lorsque la finalité du traitement peut être remplie de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d'attribuer les données à caractère personnel à une personne concernée spécifique resteront, dans la mesure du possible, sous le contrôle exclusif de l'exportateur de données. En se conformant à ses obligations en vertu de ce paragraphe, l'importateur de données mettra au minimum en œuvre les mesures techniques et organisationnelles spécifiées à l'Annexe II. L'importateur de données effectuera des contrôles réguliers pour s'assurer que ces mesures continuent à fournir un niveau de sécurité approprié.

(b) L'importateur de données n'accordera l'accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire pour la mise en œuvre, la gestion et le suivi du contrat. Il veillera à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

(c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l'importateur de données au titre de ces Clauses, l'importateur de données prendra des mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L'importateur de données notifiera également à l'exportateur de données sans retard indu après avoir pris connaissance de la violation. Cette notification contiendra les coordonnées d'un point de contact où des informations supplémentaires peuvent être obtenues, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données à caractère personnel concernés), ses conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris, le cas échéant, des mesures pour en atténuer les éventuels effets négatifs. Lorsque, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, la notification initiale contiendra les informations alors disponibles et les informations supplémentaires seront, au fur et à mesure qu'elles deviennent disponibles, fournies par la suite sans retard indu.

(d) L'importateur de données coopérera avec l'exportateur de données et l'aidera à permettre à l'exportateur de données de se conformer à ses obligations en vertu du Règlement (UE) 2016/679, notamment pour notifier l'autorité de contrôle compétente et les personnes concernées affectées, en tenant compte de la nature du traitement et des informations dont dispose l'importateur de données.

8.7 Données sensibles

Lorsque le transfert implique des données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, des données génétiques ou des données biométriques aux fins d'identifier de manière unique une personne physique, des données concernant la santé ou la vie sexuelle ou l'orientation sexuelle d'une personne, ou des données relatives aux condamnations pénales et aux infractions (ci-après "données sensibles"), l'importateur de données appliquera les restrictions spécifiques et/ou les garanties supplémentaires décrites à l'Annexe I.B.

8.8 Transferts ultérieurs

L'importateur de données ne divulguera les données à caractère personnel à un tiers que sur instructions documentées de l'exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé hors de l'Union européenne 2 (dans le même pays que l'importateur de données ou dans un autre pays tiers, ci-après "transfert ultérieur") que si le tiers est ou accepte d'être lié par ces Clauses, dans le cadre du Module approprié, ou si:

  1. le transfert ultérieur est vers un pays bénéficiant d'une décision d'adéquation conformément à l'Article 45 du Règlement (UE) 2016/679 qui couvre le transfert ultérieur;
  2. le tiers garantit autrement des garanties appropriées conformément aux Articles 46 ou 47 du Règlement (UE) 2016/679 en ce qui concerne le traitement en question;
  3. le transfert ultérieur est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques; ou
  4. le transfert ultérieur est nécessaire afin de protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique.

Tout transfert ultérieur est soumis au respect par l'importateur de données de toutes les autres garanties en vertu de ces Clauses, en particulier la limitation des finalités.

8.9 Documentation et conformité

a) L'importateur de données traitera rapidement et de manière adéquate les demandes de l'exportateur de données qui concernent le traitement en vertu de ces Clauses.

(b) Les Parties doivent être en mesure de démontrer le respect de ces Clauses. En particulier, l'importateur de données conservera une documentation appropriée sur les activités de traitement effectuées pour le compte de l'exportateur de données.

(c) L'importateur de données mettra à la disposition de l'exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans ces Clauses et, à la demande de l'exportateur de données, permettra et contribuera aux audits des activités de traitement couvertes par ces Clauses, à des intervalles raisonnables ou s'il y a des indications de non-conformité. Pour décider d'un examen ou d'un audit, l'exportateur de données peut prendre en compte les certifications pertinentes détenues par l'importateur de données.

(d) L'exportateur de données peut choisir de mener l'audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent inclure des inspections dans les locaux ou les installations physiques de l'importateur de données et doivent, le cas échéant, être effectués avec un préavis raisonnable.

(e) Les Parties mettront les informations visées aux paragraphes (b) et (c), y compris les résultats de tout audit, à la disposition de l'autorité de contrôle compétente sur demande.

Clause 9

Utilisation de sous-traitants ultérieurs

(a) AUTORISATION ÉCRITE GÉNÉRALE L'importateur de données dispose de l'autorisation générale de l'exportateur de données pour l'engagement de sous-traitant(s) ultérieur(s) à partir d'une liste convenue. L'importateur de données informera spécifiquement l'exportateur de données par écrit de tout changement prévu à cette liste par l'ajout ou le remplacement de sous-traitants ultérieurs au moins cinq (5) jours à l'avance, donnant ainsi à l'exportateur de données suffisamment de temps pour pouvoir s'opposer à ces changements avant l'engagement du(des) sous-traitant(s) ultérieur(s). L'importateur de données fournira à l'exportateur de données les informations nécessaires pour permettre à l'exportateur de données d'exercer son droit d'opposition.

(b) Lorsque l'importateur de données engage un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques (pour le compte de l'exportateur de données), il le fera au moyen d'un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l'importateur de données en vertu de ces Clauses, y compris en termes de droits de tiers bénéficiaires pour les personnes concernées3. Les Parties conviennent qu'en se conformant à cette Clause, l'importateur de données remplit ses obligations en vertu de la Clause 8.8. L'importateur de données veillera à ce que le sous-traitant ultérieur se conforme aux obligations auxquelles l'importateur de données est soumis conformément à ces Clauses.

(c) L'importateur de données fournira, à la demande de l'exportateur de données, une copie de cet accord de sous-traitance ultérieure et de toute modification ultérieure à l'exportateur de données. Dans la mesure nécessaire pour protéger les secrets d'affaires ou d'autres informations confidentielles, y compris les données à caractère personnel, l'importateur de données peut expurger le texte de l'accord avant d'en partager une copie.

(d) L'importateur de données restera pleinement responsable envers l'exportateur de données de l'exécution des obligations du sous-traitant ultérieur en vertu de son contrat avec l'importateur de données. L'importateur de données notifiera à l'exportateur de données tout manquement du sous-traitant ultérieur à remplir ses obligations en vertu de ce contrat.

(e) L'importateur de données conviendra d'une clause de tiers bénéficiaire avec le sous-traitant ultérieur selon laquelle - dans le cas où l'importateur de données a effectivement disparu, a cessé d'exister en droit ou est devenu insolvable - l'exportateur de données aura le droit de résilier le contrat de sous-traitance ultérieure et d'ordonner au sous-traitant ultérieur d'effacer ou de restituer les données à caractère personnel.

Clause 10

Droits des personnes concernées

(a) L'importateur de données notifiera rapidement à l'exportateur de données toute demande qu'il a reçue d'une personne concernée. Il ne répondra pas lui-même à cette demande, sauf s'il a été autorisé à le faire par l'exportateur de données.

(b) L'importateur de données aidera l'exportateur de données à remplir ses obligations de répondre aux demandes des personnes concernées pour l'exercice de leurs droits en vertu du Règlement (UE) 2016/679. À cet égard, les Parties définiront à l'Annexe II les mesures techniques et organisationnelles appropriées, en tenant compte de la nature du traitement, par lesquelles l'assistance sera fournie, ainsi que la portée et l'étendue de l'assistance requise.

(c) En remplissant ses obligations en vertu des paragraphes (a) et (b), l'importateur de données se conformera aux instructions de l'exportateur de données.

Clause 11

Recours

(a) L'importateur de données informera les personnes concernées, dans un format transparent et facilement accessible, par un avis individuel ou sur son site web, d'un point de contact autorisé à traiter les plaintes. Il traitera rapidement toute plainte qu'il reçoit d'une personne concernée.

(b) En cas de litige entre une personne concernée et l'une des Parties concernant le respect de ces Clauses, cette Partie fera de son mieux pour résoudre le problème à l'amiable en temps opportun. Les Parties se tiendront mutuellement informées de ces litiges et, le cas échéant, coopéreront pour les résoudre.

(c) Lorsque la personne concernée invoque un droit de tiers bénéficiaire conformément à la Clause 3, l'importateur de données acceptera la décision de la personne concernée de :

  1. déposer une plainte auprès de l'autorité de contrôle de l'État membre de sa résidence habituelle ou de son lieu de travail, ou de l'autorité de contrôle compétente conformément à la Clause 13 ;
  2. porter le litige devant les tribunaux compétents au sens de la Clause 18.

(d) Les Parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l'Article 80(1) du Règlement (UE) 2016/679.

(e) L'importateur de données se conformera à une décision qui est contraignante en vertu du droit applicable de l'UE ou d'un État membre.

(f) L'importateur de données accepte que le choix fait par la personne concernée ne portera pas préjudice à ses droits substantiels et procéduraux de chercher des recours conformément aux lois applicables.

Clause 12

Responsabilité

(a) Chaque Partie est responsable envers l'autre Partie/les autres Parties pour tout dommage qu'elle cause à l'autre Partie/aux autres Parties par toute violation de ces Clauses.

(b) L'importateur de données est responsable envers la personne concernée, et la personne concernée a le droit de recevoir une indemnisation, pour tout dommage matériel ou immatériel que l'importateur de données ou son sous-traitant ultérieur cause à la personne concernée en violant les droits de tiers bénéficiaires en vertu de ces Clauses.

(c) Nonobstant le paragraphe (b), l'exportateur de données est responsable envers la personne concernée, et la personne concernée a le droit de recevoir une indemnisation, pour tout dommage matériel ou immatériel que l'exportateur de données ou l'importateur de données (ou son sous-traitant ultérieur) cause à la personne concernée en violant les droits de tiers bénéficiaires en vertu de ces Clauses. Ceci est sans préjudice de la responsabilité de l'exportateur de données et, lorsque l'exportateur de données est un sous-traitant agissant pour le compte d'un responsable du traitement, de la responsabilité du responsable du traitement en vertu du Règlement (UE) 2016/679 ou du Règlement (UE) 2018/1725, selon le cas.

(d) Les Parties conviennent que si l'exportateur de données est tenu responsable en vertu du paragraphe (c) pour des dommages causés par l'importateur de données (ou son sous-traitant ultérieur), il aura le droit de réclamer à l'importateur de données la partie de l'indemnisation correspondant à la responsabilité de l'importateur de données pour le dommage.

(e) Lorsque plus d'une Partie est responsable de tout dommage causé à la personne concernée en raison d'une violation de ces Clauses, toutes les Parties responsables sont solidairement responsables et la personne concernée a le droit d'intenter une action en justice contre n'importe laquelle de ces Parties.

(f) Les Parties conviennent que si l'une des Parties est tenue responsable en vertu du paragraphe (e), elle aura le droit de réclamer à l'autre Partie/aux autres Parties la partie de l'indemnisation correspondant à sa/leur responsabilité pour le dommage.

(g) L'importateur de données ne peut pas invoquer la conduite d'un sous-traitant ultérieur pour éviter sa propre responsabilité.

Clause 13

Surveillance

(a) [Lorsque l'exportateur de données est établi dans un État membre de l'UE :] L'autorité de contrôle chargée de veiller au respect par l'exportateur de données du Règlement (UE) 2016/679 en ce qui concerne le transfert de données, telle qu'indiquée à l'Annexe I.C, agira en tant qu'autorité de contrôle compétente.

[Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du Règlement (UE) 2016/679 conformément à son Article 3(2) et a désigné un représentant conformément à l'Article 27(1) du Règlement (UE) 2016/679 :] L'autorité de contrôle de l'État membre dans lequel le représentant au sens de l'Article 27(1) du Règlement (UE) 2016/679 est établi, telle qu'indiquée à l'Annexe I.C, agira en tant qu'autorité de contrôle compétente.

[Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du Règlement (UE) 2016/679 conformément à son Article 3(2) sans toutefois devoir désigner un représentant conformément à l'Article 27(2) du Règlement (UE) 2016/679 :] L'autorité de contrôle de l'un des États membres dans lesquels les personnes concernées dont les données à caractère personnel sont transférées en vertu de ces Clauses en relation avec l'offre de biens ou de services, ou dont le comportement est surveillé, sont situées, telle qu'indiquée à l'Annexe I.C, agira en tant qu'autorité de contrôle compétente.

(b) L'importateur de données accepte de se soumettre à la juridiction et de coopérer avec l'autorité de contrôle compétente dans toutes procédures visant à assurer le respect de ces Clauses. En particulier, l'importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l'autorité de contrôle, y compris les mesures correctrices et compensatoires. Il fournira à l'autorité de contrôle une confirmation écrite que les actions nécessaires ont été prises.

SECTION III - LOIS LOCALES ET OBLIGATIONS EN CAS D'ACCÈS PAR LES AUTORITÉS PUBLIQUES

Clause 14

Lois et pratiques locales affectant le respect des Clauses

(a) Les Parties garantissent qu'elles n'ont aucune raison de croire que les lois et pratiques dans le pays tiers de destination applicables au traitement des données à caractère personnel par l'importateur de données, y compris toute exigence de divulgation de données à caractère personnel ou mesures autorisant l'accès par les autorités publiques, empêchent l'importateur de données de remplir ses obligations en vertu de ces Clauses. Ceci est basé sur la compréhension que les lois et pratiques qui respectent l'essence des droits et libertés fondamentaux et ne vont pas au-delà de ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l'un des objectifs énumérés à l'Article 23(1) du Règlement (UE) 2016/679, ne sont pas en contradiction avec ces Clauses.

(b) Les Parties déclarent qu'en fournissant la garantie du paragraphe (a), elles ont tenu dûment compte en particulier des éléments suivants :

  • (i) les circonstances spécifiques du transfert, y compris la longueur de la chaîne de traitement, le nombre d'acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées ;
  • (ii) les lois et pratiques du pays tiers de destination, y compris celles qui exigent la divulgation de données aux autorités publiques ou qui autorisent l'accès par ces autorités, pertinentes à la lumière des circonstances spécifiques du transfert, et les limitations et garanties applicables4 ;
  • (iii) toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par ces Clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.

(c) L'importateur de données garantit que, en effectuant l'évaluation en vertu du paragraphe (b), il a fait ses meilleurs efforts pour fournir à l'exportateur de données des informations pertinentes et accepte qu'il continuera à coopérer avec l'exportateur de données pour assurer le respect de ces Clauses.

(d) Les Parties conviennent de documenter l'évaluation en vertu du paragraphe (b) et de la mettre à la disposition de l'autorité de contrôle compétente sur demande.

(e) L'importateur de données accepte de notifier rapidement à l'exportateur de données si, après avoir accepté ces Clauses et pendant la durée du contrat, il a des raisons de croire qu'il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences du paragraphe (a), y compris à la suite d'un changement dans les lois du pays tiers ou d'une mesure (telle qu'une demande de divulgation) indiquant une application de ces lois dans la pratique qui n'est pas conforme aux exigences du paragraphe (a).

(f) Suite à une notification conformément au paragraphe (e), ou si l'exportateur de données a autrement des raisons de croire que l'importateur de données ne peut plus remplir ses obligations en vertu de ces Clauses, l'exportateur de données identifiera rapidement les mesures appropriées (par exemple, des mesures techniques ou organisationnelles pour assurer la sécurité et la confidentialité) que l'exportateur de données et/ou l'importateur de données doivent adopter pour remédier à la situation. L'exportateur de données suspendra le transfert de données s'il considère qu'aucune garantie appropriée pour un tel transfert ne peut être assurée, ou s'il en reçoit l'instruction de l'autorité de contrôle compétente. Dans ce cas, l'exportateur de données aura le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel en vertu de ces Clauses. Si le contrat implique plus de deux Parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la Partie concernée, à moins que les Parties n'en aient convenu autrement. Lorsque le contrat est résilié en vertu de cette Clause, la Clause 16(d) et (e) s'appliquera.

Clause 15

Obligations de l'importateur de données en cas d'accès par les autorités publiques

15.1 Notification

(a) L'importateur de données accepte de notifier rapidement à l'exportateur de données et, dans la mesure du possible, à la personne concernée (si nécessaire avec l'aide de l'exportateur de données) si :

  • (i) il reçoit une demande juridiquement contraignante d'une autorité publique, y compris les autorités judiciaires, en vertu des lois du pays de destination pour la divulgation de données à caractère personnel transférées conformément à ces Clauses ; cette notification doit comprendre des informations sur les données à caractère personnel demandées, l'autorité demandeuse, la base juridique de la demande et la réponse fournie ; ou
  • (ii) il a connaissance d'un accès direct par les autorités publiques aux données à caractère personnel transférées conformément à ces Clauses en vertu des lois du pays de destination ; cette notification doit comprendre toutes les informations dont dispose l'importateur.

(b) Si l'importateur de données est interdit de notifier l'exportateur de données et/ou la personne concernée en vertu des lois du pays de destination, l'importateur de données accepte de faire de son mieux pour obtenir une dérogation à l'interdiction, en vue de communiquer autant d'informations que possible, aussi rapidement que possible. L'importateur de données accepte de documenter ses meilleurs efforts afin de pouvoir les démontrer à la demande de l'exportateur de données.

(c) Lorsque cela est permis par les lois du pays de destination, l'importateur de données accepte de fournir à l'exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d'informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, la ou les autorités demandeuses, si les demandes ont été contestées et le résultat de ces contestations, etc.).

(d) L'importateur de données accepte de conserver les informations conformément aux paragraphes (a) à (c) pendant la durée du contrat et de les mettre à la disposition de l'autorité de contrôle compétente sur demande.

(e) Les paragraphes (a) à (c) sont sans préjudice de l'obligation de l'importateur de données en vertu de la Clause 14(e) et de la Clause 16 d'informer rapidement l'exportateur de données lorsqu'il n'est pas en mesure de se conformer à ces Clauses.

15.2 Examen de la légalité et minimisation des données

(a) L'importateur de données accepte d'examiner la légalité de la demande de divulgation, en particulier si elle reste dans les limites des pouvoirs accordés à l'autorité publique demandeuse, et de contester la demande si, après une évaluation attentive, il conclut qu'il existe des motifs raisonnables de considérer que la demande est illégale en vertu des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L'importateur de données, dans les mêmes conditions, poursuivra les possibilités de recours. Lors de la contestation d'une demande, l'importateur de données cherchera des mesures provisoires en vue de suspendre les effets de la demande jusqu'à ce que l'autorité judiciaire compétente se soit prononcée sur son bien-fondé. Il ne divulguera pas les données à caractère personnel demandées tant qu'il n'y sera pas obligé en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations de l'importateur de données en vertu de la Clause 14(e).

(b) L'importateur de données accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure permise par les lois du pays de destination, de mettre la documentation à la disposition de l'exportateur de données. Il la mettra également à la disposition de l'autorité de contrôle compétente sur demande.

(c) L'importateur de données accepte de fournir le minimum d'informations autorisé lors de la réponse à une demande de divulgation, sur la base d'une interprétation raisonnable de la demande.

SECTION IV - DISPOSITIONS FINALES

Clause 16

Non-respect des Clauses et résiliation

(a) L'importateur de données informera rapidement l'exportateur de données s'il n'est pas en mesure de respecter ces Clauses, pour quelque raison que ce soit.

(b) Dans le cas où l'importateur de données est en violation de ces Clauses ou n'est pas en mesure de se conformer à ces Clauses, l'exportateur de données suspendra le transfert de données à caractère personnel à l'importateur de données jusqu'à ce que le respect soit à nouveau assuré ou que le contrat soit résilié. Ceci est sans préjudice de la Clause 14(f).

(c) L'exportateur de données aura le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel en vertu de ces Clauses, lorsque :

  • (i) l'exportateur de données a suspendu le transfert de données à caractère personnel à l'importateur de données conformément au paragraphe (b) et que le respect de ces Clauses n'est pas rétabli dans un délai raisonnable et en tout état de cause dans un délai d'un mois après la suspension ;
  • (ii) l'importateur de données est en violation substantielle ou persistante de ces Clauses ; ou
  • (iii) l'importateur de données ne se conforme pas à une décision contraignante d'un tribunal compétent ou d'une autorité de contrôle concernant ses obligations en vertu de ces Clauses.

Dans ces cas, il informera l'autorité de contrôle compétente de ce non-respect. Lorsque le contrat implique plus de deux Parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la Partie concernée, à moins que les Parties n'en aient convenu autrement.

(d) Les données à caractère personnel qui ont été transférées avant la résiliation du contrat conformément au paragraphe (c) seront, au choix de l'exportateur de données, immédiatement renvoyées à l'exportateur de données ou supprimées dans leur intégralité. Il en sera de même pour toute copie des données. L'importateur de données certifiera la suppression des données à l'exportateur de données. Jusqu'à ce que les données soient supprimées ou renvoyées, l'importateur de données continuera à assurer le respect de ces Clauses. Dans le cas de lois locales applicables à l'importateur de données qui interdisent le renvoi ou la suppression des données à caractère personnel transférées, l'importateur de données garantit qu'il continuera à assurer le respect de ces Clauses et ne traitera les données que dans la mesure et aussi longtemps que requis par cette loi locale.

(e) Chaque Partie peut révoquer son accord d'être liée par ces Clauses lorsque (i) la Commission européenne adopte une décision conformément à l'Article 45(3) du Règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel ces Clauses s'appliquent ; ou (ii) le Règlement (UE) 2016/679 devient partie du cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations applicables au traitement en question en vertu du Règlement (UE) 2016/679.

Clause 17

Droit applicable

Ces Clauses sont régies par le droit d'un des États membres de l'UE, à condition que ce droit permette les droits de tiers bénéficiaires. Les Parties conviennent que ce sera le droit de la République d'Irlande.

Clause 18

Choix du forum et juridiction

(a) Tout litige découlant de ces Clauses sera résolu par les tribunaux d'un État membre de l'UE.

(b) Les Parties conviennent que ce seront les tribunaux de la République d'Irlande.

(c) Une personne concernée peut également intenter une action en justice contre l'exportateur de données et/ou l'importateur de données devant les tribunaux de l'État membre dans lequel elle a sa résidence habituelle.

(d) Les Parties acceptent de se soumettre à la juridiction de ces tribunaux.

Notes de bas de page

1 Lorsque l'exportateur de données est un sous-traitant soumis au Règlement (UE) 2016/679 agissant pour le compte d'une institution ou d'un organisme de l'Union en tant que responsable du traitement, le recours à ces Clauses lors de l'engagement d'un autre sous-traitant (sous-traitement) non soumis au Règlement (UE) 2016/679 assure également le respect de l'Article 29(4) du Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données, et abrogeant le Règlement (CE) n° 45/2001 et la Décision n° 1247/2002/CE (JO L 295 du 21.11.2018, p. 39), dans la mesure où ces Clauses et les obligations en matière de protection des données telles qu'établies dans le contrat ou autre acte juridique entre le responsable du traitement et le sous-traitant conformément à l'Article 29(3) du Règlement (UE) 2018/1725 sont alignées. Ce sera notamment le cas lorsque le responsable du traitement et le sous-traitant s'appuient sur les clauses contractuelles types incluses dans la Décision 2021/915.

2 L'Accord sur l'Espace Économique Européen (Accord EEE) prévoit l'extension du marché intérieur de l'Union européenne aux trois États de l'EEE : l'Islande, le Liechtenstein et la Norvège. La législation de l'Union sur la protection des données, y compris le Règlement (UE) 2016/679, est couverte par l'Accord EEE et a été incorporée à l'Annexe XI de celui-ci. Par conséquent, toute divulgation par l'importateur de données à un tiers situé dans l'EEE ne constitue pas un transfert ultérieur aux fins de ces Clauses.

3 Cette exigence peut être satisfaite par l'adhésion du sous-traitant ultérieur à ces Clauses dans le cadre du Module approprié, conformément à la Clause 7.

4 En ce qui concerne l'impact de ces lois et pratiques sur le respect de ces Clauses, différents éléments peuvent être pris en compte dans le cadre d'une évaluation globale. Ces éléments peuvent inclure une expérience pratique pertinente et documentée avec des cas antérieurs de demandes de divulgation de la part des autorités publiques, ou l'absence de telles demandes, couvrant une période suffisamment représentative. Cela se réfère en particulier aux registres internes ou à d'autres documents, rédigés de manière continue conformément à la diligence raisonnable et certifiés au niveau de la direction générale, à condition que ces informations puissent être légalement partagées avec des tiers. Lorsque cette expérience pratique est utilisée pour conclure que l'importateur de données ne sera pas empêché de se conformer à ces Clauses, elle doit être étayée par d'autres éléments pertinents et objectifs, et il appartient aux Parties d'examiner attentivement si ces éléments ensemble ont un poids suffisant, en termes de fiabilité et de représentativité, pour soutenir cette conclusion. En particulier, les Parties doivent tenir compte du fait que leur expérience pratique est corroborée et non contredite par des informations accessibles au public ou autrement accessibles, fiables sur l'existence ou l'absence de demandes dans le même secteur et/ou l'application de la loi dans la pratique, telles que la jurisprudence et les rapports d'organes de surveillance indépendants.

APPENDICE

ANNEXE I

A. LISTE DES PARTIES

Exportateur(s) de données : [Identité et coordonnées du ou des exportateurs de données et, le cas échéant, de son/leur délégué à la protection des données et/ou représentant dans l'Union européenne]

Nom : [Nom du client tel qu'il figure dans le compte DreamHost]

Adresse : [Adresse du client telle qu'elle figure dans le compte DreamHost]

Nom, fonction et coordonnées de la personne de contact : [Client tel que défini ci-dessus]

Activités pertinentes pour les données transférées en vertu de ces Clauses : Comme décrit dans cet Appendice, le DPA et l'Accord.

Signature et date : [Tel qu'enregistré numériquement lors de la création du compte et tel que lié par les Conditions de Service]

Rôle (responsable du traitement/sous-traitant) : Responsable du traitement.

Importateur(s) de données : [Identité et coordonnées du ou des importateurs de données, y compris toute personne de contact responsable de la protection des données]

Nom : DreamHost

Adresse : PMB #327, 417 Associated Rd., Brea, CA 92821-5802

Nom, fonction et coordonnées de la personne de contact :

À l'attention de : Responsable de la Protection des Données

E-mail : privacypolicy@dreamhost.com

Activités pertinentes pour les données transférées en vertu de ces Clauses : Comme décrit dans cet Appendice, le DPA et l'Accord.

Signature et date : [Tel qu'enregistré numériquement lors de la création du compte et tel que lié par les Conditions de Service]

Rôle (responsable du traitement/sous-traitant) : Sous-traitant.

B. DESCRIPTION DU TRANSFERT

Catégories de personnes concernées dont les données à caractère personnel sont transférées

Tel qu'indiqué à l'Annexe A de ce DPA.

Catégories de données à caractère personnel transférées

Tel qu'indiqué à l'Annexe A de ce DPA.

Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que, par exemple, la limitation stricte de la finalité, les restrictions d'accès (y compris l'accès uniquement pour le personnel ayant suivi une formation spécialisée), la tenue d'un registre d'accès aux données, les restrictions pour les transferts ultérieurs ou les mesures de sécurité supplémentaires. Tel qu'indiqué à l'Annexe A de ce DPA.

Fréquence du transfert (par exemple, si les données sont transférées sur une base ponctuelle ou continue).

Sur une base continue selon les besoins pour fournir les Services.

Nature du traitement

Tel qu'indiqué à l'Annexe A de ce DPA.

Finalité(s) du transfert de données et traitement ultérieur

Tel qu'indiqué à l'Annexe A de ce DPA.

Période pendant laquelle les données à caractère personnel seront conservées, ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période

Tel qu'indiqué à la Section 7 de ce DPA.

Pour les transferts à des sous-traitants (ultérieurs), préciser également l'objet, la nature et la durée du traitement Tel qu'indiqué dans l'Accord, afin de fournir les Services, pour la durée de l'Accord.

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

Identifier la ou les autorités de contrôle compétentes conformément à la Clause 13

[À compléter en fonction des opérations de l'exportateur de données]

ANNEXE II

MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES POUR ASSURER LA SÉCURITÉ DES DONNÉES

Description des mesures techniques et organisationnelles mises en œuvre par le(s) importateur(s) de données (y compris toute certification pertinente) pour assurer un niveau de sécurité approprié, en tenant compte de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

Tel qu'indiqué à l'Annexe B de ce DPA.

Pour les transferts à des sous-traitants (ultérieurs), décrire également les mesures techniques et organisationnelles spécifiques que le sous-traitant (ultérieur) doit prendre pour être en mesure de fournir une assistance au responsable du traitement et, pour les transferts d'un sous-traitant à un sous-traitant ultérieur, à l'exportateur de données

Tel qu'indiqué à l'Annexe B de ce DPA.

ANNEXE III

ADDENDUM ROYAUME-UNI

Cet Addendum a été émis par le Commissaire à l'Information pour les Parties effectuant des Transferts Restreints. Le Commissaire à l'Information considère qu'il fournit des Garanties Appropriées pour les Transferts Restreints lorsqu'il est conclu en tant que contrat juridiquement contraignant.

Partie 1 : Tableaux

Tableau 1 : Parties

Date de début

la Date d'Entrée en Vigueur.

Les Parties

Exportateur (qui envoie le Transfert Restreint)

Importateur (qui reçoit le Transfert Restreint)

Coordonnées des PartiesTel qu'indiqué à l'Annexe I ci-dessus.Tel qu'indiqué à l'Annexe I ci-dessus.
Contact PrincipalTel qu'indiqué à l'Annexe I ci-dessus.Tel qu'indiqué à l'Annexe I ci-dessus.

Tableau 2 : CCT UE sélectionnées, Modules et Clauses sélectionnées

CCT UE de l'Addendum

☒ La version des CCT UE approuvées auxquelles cet Addendum est annexé, détaillée ci-dessous, y compris les Informations de l'Appendice :


Date : la Date d'Entrée en Vigueur.


Référence (le cas échéant) : N/A.


Autre identifiant (le cas échéant) : N/A.


Ou


☐ les CCT UE approuvées, y compris les Informations de l'Appendice et avec uniquement les modules, clauses ou dispositions facultatives suivants des CCT UE approuvées mis en vigueur aux fins du présent Addendum :

ModuleModule en fonctionnementClause 7 (Clause d'Amarrage)Clause 11 (Option)Clause 9a (Autorisation Préalable ou Autorisation Générale)Clause 9a (Délai)

Les données à caractère personnel reçues de l'Importateur sont-elles combinées avec des données à caractère personnel collectées par l'Exportateur ?

1
2XNon sélectionné.Non sélectionné.Autorisation Générale.Cinq (5) jours.
3
4

Tableau 3 : Informations de l'Appendice

"Informations de l'Appendice" désigne les informations qui doivent être fournies pour les modules sélectionnés telles qu'elles figurent dans l'Appendice des CCT UE approuvées (autres que les Parties), et qui pour cet Addendum sont énoncées dans :

Annexe 1A : Liste des Parties : Tel qu'indiqué à l'Annexe I ci-dessus.
Annexe 1B : Description du Transfert : Tel qu'indiqué à l'Annexe I ci-dessus.

Annexe II : Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles pour assurer la sécurité des données : Tel qu'indiqué à l'Annexe II ci-dessus.

Annexe III : Liste des Sous-traitants (Modules 2 et 3 uniquement) : N/A.

Tableau 4 : Fin de cet Addendum lorsque l'Addendum Approuvé Change

Fin de cet Addendum lorsque l'Addendum Approuvé change

Quelles Parties peuvent mettre fin à cet Addendum comme indiqué à la Section :
☐ Importateur
☐ Exportateur
☒ aucune Partie

Partie 2 : Clauses Obligatoires

Clauses Obligatoires

Partie 2 : Clauses Obligatoires de l'Addendum Approuvé, étant le modèle d'Addendum B.1.0 émis par l'ICO et présenté au Parlement conformément à l'article s119A de la Loi sur la Protection des Données de 2018 le 2 février 2022, tel qu'il est révisé en vertu de la Section 18 de ces Clauses Obligatoires.