Le présent DPA est conclu entre le Responsable du traitement et le Sous-traitant, et est intégré à l’Accord et régi par ses conditions.
Tout terme commençant par une majuscule et non défini dans le présent DPA aura la signification qui lui est donnée dans l’Accord.
| « Affiliate » | désigne toute entité qui contrôle directement ou indirectement une partie, est contrôlée par elle, ou est sous contrôle commun avec elle. Aux fins de la présente définition, « contrôle » signifie la détention ou le contrôle, direct ou indirect, de plus de 50 % des droits de vote d’une partie ; |
| « Accord » | désigne l’accord conclu entre le Responsable du traitement et le Sous-traitant pour la fourniture des Services ; |
| « CCPA » | désigne le California Consumer Privacy Act de 2018, ainsi que ses règlements d’application, tel que modifié le cas échéant ; |
| « Responsable du traitement » | désigne le Client ; |
| « Loi sur la protection des données » | désigne l’ensemble des lois et réglementations, y compris celles de l’Union européenne, de l’Espace économique européen, de leurs États membres et du Royaume-Uni, ainsi que toute modification, remplacement ou renouvellement, applicables au traitement des Données à caractère personnel, notamment, le cas échéant, les Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2020, le RGPD de l’UE, le RGPD du Royaume-Uni, le UK Data Protection Act 2018, la FADP, le CCPA et toute loi nationale de transposition applicable, ainsi que toute réglementation et législation secondaire relatives au traitement des Données à caractère personnel et à la confidentialité des communications électroniques, telles que modifiées, remplacées ou mises à jour le cas échéant, y compris la directive « Vie privée et communications électroniques » (2002/58/CE) et le Privacy and Electronic Communications (EC Directive) Regulations 2003 (SI 2003/2426) ; |
| « Personne concernée » | a le même sens que dans la Loi sur la protection des données ou désigne un « Consumer » tel que défini par le CCPA ; |
| « DPA » | désigne le présent accord de traitement des données, ainsi que les Annexes A, B et C ; |
| « EEE » | désigne l’Espace économique européen ; |
| « RGPD de l’UE » | désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) ; |
| « FADP » | désigne la nouvelle Loi fédérale suisse sur la protection des données, entrée en vigueur le 1er septembre 2023, telle que modifiée le cas échéant ; |
| « Données à caractère personnel » | a le même sens que dans la Loi sur la protection des données ; |
| « Sous-traitant » | désigne la Société, y compris, le cas échéant, tout « Service Provider » tel que défini par le CCPA ; |
| « Transfert restreint » | désigne : (i) lorsque le RGPD de l’UE s’applique, un transfert de Données à caractère personnel via les Services depuis l’EEE, directement ou par transfert ultérieur, vers tout pays ou destinataire situé en dehors de l’EEE ne faisant pas l’objet d’une décision d’adéquation de la Commission européenne ; et (ii) lorsque le RGPD du Royaume-Uni s’applique, un transfert de Données à caractère personnel via les Services depuis le Royaume-Uni, directement ou par transfert ultérieur, vers tout pays ou destinataire situé en dehors du Royaume-Uni ne bénéficiant pas de règlements d’adéquation au titre de la section 17A du UK Data Protection Act 2018 ; et (iii) un transfert de Données à caractère personnel via les Services depuis la Suisse, directement ou par transfert ultérieur, vers tout pays ou destinataire situé en dehors de l’EEE et/ou de la Suisse ne faisant pas l’objet d’une décision d’adéquation de la Commission européenne ; |
| « Services » | désigne l’ensemble des services, applications logicielles et solutions fournis au Responsable du traitement par le Sous-traitant, tels que prévus et décrits dans l’Accord ; |
| « SCCs » | désigne : (i) lorsque le RGPD de l’UE s’applique, les clauses contractuelles types annexées à la décision d’exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers, publiées à l’adresse https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN (« EU SCCs ») ; et (ii) lorsque le RGPD du Royaume-Uni s’applique, les clauses types de protection des données adoptées conformément à l’article 46(2)(c) du RGPD du Royaume-Uni, telles que figurant à l’Annexe C du présent DPA (« UK SCCs ») ; et (iii) lorsque des Données à caractère personnel sont transférées depuis la Suisse vers un pays situé en dehors de la Suisse ou de l’EEE, les EU SCCs telles que modifiées conformément aux orientations de l’Autorité suisse de protection des données (« Swiss SCCs ») ; |
| « Sous-traitant ultérieur » | désigne tout tiers (y compris les Affiliates du Sous-traitant) engagé directement ou indirectement par le Sous-traitant pour traiter des Données à caractère personnel dans le cadre du présent DPA, pour la fourniture des Services au Responsable du traitement ; |
| « Autorité de contrôle » | désigne un organisme gouvernemental ou un organisme de régulation institué par l’État disposant d’un pouvoir juridique contraignant à l’égard d’une partie ; |
| « RGPD du Royaume-Uni » | désigne le RGPD de l’UE tel qu’il fait partie du droit de l’Angleterre et du Pays de Galles, de l’Écosse et de l’Irlande du Nord en vertu de la section 3 de l’European Union (Withdrawal) Act 2018. |
2.1. Le Sous-traitant a accepté de fournir les Services au Responsable du traitement conformément aux conditions de l’Accord. Dans le cadre de la fourniture des Services, le Sous-traitant traitera les Données du Client pour le compte du Responsable du traitement. Les Données du Client peuvent inclure des Données à caractère personnel. Le Sous-traitant traitera et protégera ces Données à caractère personnel conformément aux conditions du présent DPA.
3.1. Dans le cadre de la fourniture des Services au Responsable du traitement conformément aux conditions de l’Accord, le Sous-traitant ne traitera les Données à caractère personnel que dans la mesure nécessaire pour fournir les Services conformément aux conditions de l’Accord, du présent DPA et aux instructions du Responsable du traitement, telles que documentées dans l’Accord et le présent DPA, et mises à jour le cas échéant.
3.2. Le Responsable du traitement et le Sous-traitant prendront des mesures afin de garantir que toute personne physique agissant sous l’autorité du Responsable du traitement ou du Sous-traitant et ayant accès à des Données à caractère personnel ne les traite que sur instruction du Responsable du traitement, sauf si une Loi sur la protection des données l’exige.
4.1. Le Sous-traitant ne peut collecter, traiter ou utiliser des Données à caractère personnel que dans le cadre du présent DPA.
4.2. Le Sous-traitant confirme qu’il traitera les Données à caractère personnel pour le compte du Responsable du traitement conformément aux instructions documentées de ce dernier.
4.3. Le Sous-traitant informera sans délai le Responsable du traitement si, de l’avis du Sous-traitant, l’une quelconque des instructions relatives au traitement des Données à caractère personnel fournies par le Responsable du traitement enfreint la Loi sur la protection des données.
4.4. Le Sous-traitant veillera à ce que l’ensemble des employés, agents, dirigeants et sous-traitants impliqués dans le traitement des Données à caractère personnel : (i) soient conscients de la nature confidentielle des Données à caractère personnel et soient contractuellement tenus de les garder confidentielles ; (ii) aient reçu une formation appropriée sur leurs responsabilités en tant que sous-traitant ; et (iii) soient liés par les conditions du présent DPA.
4.5. Le Sous-traitant mettra en œuvre des mesures techniques et organisationnelles appropriées afin de protéger les Données à caractère personnel, en tenant compte de l’état de l’art, des coûts de mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque — de probabilité et de gravité variables — pour les droits et libertés des personnes physiques.
4.6. Le Sous-traitant mettra en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, incluant notamment, le cas échéant : (i) la pseudonymisation et le chiffrement des Données à caractère personnel ; (ii) la capacité à garantir de manière continue la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement ; (iii) la capacité à rétablir la disponibilité des Données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ; (iv) un processus visant à tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement. Lors de l’évaluation du niveau de sécurité approprié, il convient de tenir compte en particulier des risques présentés par le traitement, notamment ceux résultant de la destruction, de la perte, de l’altération, de la divulgation non autorisée ou de l’accès non autorisé, accidentels ou illicites, à des Données à caractère personnel transmises, conservées ou traitées d’une autre manière.
4.7. Les mesures techniques et organisationnelles détaillées à l’Annexe B seront respectées en permanence comme norme de sécurité minimale. Le Responsable du traitement reconnaît et accepte que ces mesures techniques et organisationnelles puissent faire l’objet d’évolutions et de révisions et que le Sous-traitant puisse utiliser des mesures alternatives adaptées à celles détaillées dans les annexes du présent DPA, à condition que ces mesures soient au moins équivalentes aux mesures techniques et organisationnelles prévues à l’Annexe B et appropriées au regard des obligations du Sous-traitant aux clauses 4.5 et 4.6 ci-dessus.
4.8. Le Responsable du traitement reconnaît et accepte que, dans le cadre de la fourniture des Services au Responsable du traitement, il puisse être nécessaire que le Sous-traitant accède aux Données à caractère personnel afin de répondre à des problèmes techniques ou à des questions du Responsable du traitement et d’assurer le bon fonctionnement des Services. Tout accès de ce type par le Sous-traitant sera limité à ces finalités.
4.9. Compte tenu de la nature du traitement et des informations dont dispose le Sous-traitant, le Sous-traitant assistera le Responsable du traitement en mettant en place des mesures techniques et organisationnelles appropriées, dans la mesure du possible, afin de permettre au Responsable du traitement de répondre aux demandes d’exercice des droits des Personnes concernées et de respecter ses obligations en matière de protection des données concernant le traitement des Données à caractère personnel.
4.10. Le Sous-traitant ne peut pas : (i) vendre des Données à caractère personnel ; (ii) conserver, utiliser ou divulguer des Données à caractère personnel à des fins commerciales autres que la fourniture des Services conformément aux conditions de l’Accord ; ou (iii) conserver, utiliser ou divulguer des Données à caractère personnel en dehors des conditions de l’Accord.
5.1. Le Responsable du traitement déclare et garantit que : (i) il respectera le présent DPA et ses obligations au titre de la Loi sur la protection des données ; (ii) il a obtenu toutes les autorisations et permissions nécessaires permettant au Sous-traitant, à ses Affiliates et à ses Sous-traitants ultérieurs d’exercer leurs droits ou d’exécuter leurs obligations au titre du présent DPA ; et (iii) toutes les Affiliates du Responsable du traitement qui utilisent les Services respecteront les obligations du Responsable du traitement prévues au présent DPA.
5.2. Le Responsable du traitement mettra en œuvre des mesures techniques et organisationnelles appropriées afin de protéger les Données à caractère personnel, en tenant compte de l’état de l’art, des coûts de mise en œuvre ainsi que de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque — de probabilité et de gravité variables — pour les droits et libertés des personnes physiques. Le Responsable du traitement mettra en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, incluant notamment, le cas échéant : (i) la pseudonymisation et le chiffrement des Données à caractère personnel ; (ii) la capacité à garantir de manière continue la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement ; (iii) la capacité à rétablir la disponibilité des Données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ; (iv) un processus visant à tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement. Lors de l’évaluation du niveau de sécurité approprié, il convient de tenir compte en particulier des risques présentés par le traitement, notamment ceux résultant de la destruction, de la perte, de l’altération, de la divulgation non autorisée ou de l’accès non autorisé, accidentels ou illicites, à des Données à caractère personnel transmises, conservées ou traitées d’une autre manière.
5.3. Le Responsable du traitement reconnaît et accepte que certaines instructions du Responsable du traitement, notamment lorsque le Sous-traitant assiste à des audits, inspections, DPIA ou fournit toute assistance au titre du présent DPA, puissent entraîner des frais supplémentaires. Dans ce cas, le Sous-traitant informera le Responsable du traitement à l’avance des frais applicables pour cette assistance et sera en droit de facturer au Responsable du traitement ses coûts et dépenses raisonnables liés à cette assistance, sauf accord écrit contraire.
6.1. Le Responsable du traitement reconnaît et accepte que le Sous-traitant puisse engager des Sous-traitants ultérieurs dans le cadre de la fourniture des Services.
6.2. Tous les Sous-traitants ultérieurs qui traitent des Données à caractère personnel dans le cadre de la fourniture des Services au Responsable du traitement respecteront les obligations du Sous-traitant prévues au présent DPA.
6.3. Le Responsable du traitement autorise le Sous-traitant à recourir aux Sous-traitants ultérieurs figurant dans la liste des Sous-traitants ultérieurs publiée à l’adresse : https://multiply.cloud/en/legal-resources/ pour traiter les Données à caractère personnel. Pendant la durée du présent DPA, le Sous-traitant fournira au Responsable du traitement un préavis de 30 jours, par email, de toute modification de la liste des Sous-traitants ultérieurs avant d’autoriser tout nouveau Sous-traitant ultérieur ou tout Sous-traitant ultérieur de remplacement à traiter des Données à caractère personnel dans le cadre de la fourniture des Services.
6.4. Le Responsable du traitement peut s’opposer à l’utilisation d’un nouveau Sous-traitant ultérieur ou d’un Sous-traitant ultérieur de remplacement en notifiant rapidement le Sous-traitant par écrit dans les quinze (15) jours suivant la réception de l’avis du Sous-traitant. Si le Responsable du traitement s’oppose à un nouveau Sous-traitant ultérieur ou à un Sous-traitant ultérieur de remplacement, il peut résilier l’Accord concernant les Services qui ne peuvent pas être fournis par le Sous-traitant sans l’utilisation de ce nouveau Sous-traitant ultérieur ou Sous-traitant ultérieur de remplacement. Le Sous-traitant remboursera au Responsable du traitement tous les frais prépayés couvrant le reste de la durée de l’Accord à compter de la date effective de résiliation concernant ces Services résiliés.
6.5. Tous les Sous-traitants ultérieurs qui traitent des Données à caractère personnel respecteront les obligations du Sous-traitant prévues au présent DPA. Avant que le Sous-traitant ultérieur concerné n’effectue toute activité de traitement relative aux Données à caractère personnel, le Sous-traitant devra : (i) désigner chaque Sous-traitant ultérieur au moyen d’un contrat écrit comportant des obligations substantiellement identiques à celles du Sous-traitant dans le présent DPA et opposables au Sous-traitant ultérieur par le Sous-traitant ; et (ii) s’assurer que chaque Sous-traitant ultérieur respecte l’ensemble de ces obligations.
6.6. Le Responsable du traitement accepte que le Sous-traitant et ses Sous-traitants ultérieurs puissent procéder à des Transferts restreints de Données à caractère personnel afin de fournir les Services au Responsable du traitement conformément à l’Accord. Le Sous-traitant confirme que ces Sous-traitants ultérieurs : (i) sont situés dans un pays tiers ou territoire reconnu par la Commission européenne ou, le cas échéant, par une Autorité de contrôle, comme offrant un niveau de protection adéquat ; ou (ii) ont conclu les SCCs applicables avec le Sous-traitant ; ou (iii) ont mis en place d’autres garanties appropriées légalement reconnues.
7.1. Les parties conviennent que, lorsqu’un transfert de Données à caractère personnel intervient entre le Responsable du traitement et le Sous-traitant, ou du Sous-traitant vers un Sous-traitant ultérieur, et que ce transfert constitue un Transfert restreint, il sera soumis aux SCCs applicables.
7.2. Les parties conviennent que les EU SCCs s’appliqueront aux Transferts restreints depuis l’EEE. Les EU SCCs seront réputées conclues (et intégrées par référence au présent DPA) et complétées comme suit :
7.3. Les parties conviennent que les EU SCCs, telles que modifiées à la clause 7.2 ci-dessus, seront adaptées comme indiqué ci-dessous lorsque la FADP s’applique à un Transfert restreint :
Le Préposé fédéral suisse à la protection des données et à la transparence (« FDPIC ») sera la seule Autorité de contrôle pour les Transferts restreints exclusivement soumis à la FADP ; Les Transferts restreints soumis à la fois à la FADP et au RGPD de l’UE seront traités par l’Autorité de contrôle de l’UE désignée à l’Annexe A du présent DPA ; Le terme « État membre » ne doit pas être interprété de manière à exclure les Personnes concernées en Suisse de la possibilité d’intenter une action pour faire valoir leurs droits dans leur lieu de résidence habituelle (Suisse), conformément à la clause 18(c) des EU SCCs ; Lorsque les Transferts restreints sont exclusivement soumis à la FADP, toutes les références au RGPD dans les EU SCCs doivent être comprises comme des références à la FADP ; Lorsque les Transferts restreints sont soumis à la fois à la FADP et au RGPD de l’UE, toutes les références au RGPD dans les EU SCCs doivent être comprises comme des références à la FADP dans la mesure où les Transferts restreints sont soumis à la FADP ; Les Swiss SCCs protègent également les Données à caractère personnel des personnes morales jusqu’à l’entrée en vigueur de la FADP révisée. 7.4. Les parties conviennent que les UK SCCs s’appliqueront aux Transferts restreints depuis le Royaume-Uni et que les UK SCCs seront réputées conclues (et intégrées au présent DPA par référence), comme indiqué à l’Annexe C du présent DPA.
7.5. En cas de contradiction, directe ou indirecte, entre une disposition du présent DPA et des SCCs, les dispositions des SCCs applicables prévaudront sur les conditions du DPA.
8.1. Le Responsable du traitement peut demander la rectification, la suppression, le blocage et/ou la mise à disposition des Données à caractère personnel pendant ou après la résiliation de l’Accord. Le Responsable du traitement reconnaît et accepte que le Sous-traitant traitera la demande dans la mesure où elle est licite et s’efforcera raisonnablement d’y répondre conformément à ses procédures opérationnelles standard, dans la mesure du possible.
8.2. Si le Sous-traitant reçoit une demande d’une Personne concernée relative aux Données à caractère personnel, le Sous-traitant renverra la Personne concernée vers le Responsable du traitement, sauf interdiction légale. Le Responsable du traitement remboursera au Sous-traitant l’ensemble des coûts engagés au titre d’une assistance raisonnable fournie pour traiter une demande de Personne concernée. Si le Sous-traitant est légalement tenu de répondre à la Personne concernée, le Responsable du traitement coopérera pleinement avec le Sous-traitant, le cas échéant.
9.1. Le Sous-traitant mettra à la disposition du Responsable du traitement toutes les informations raisonnablement nécessaires pour démontrer le respect de ses obligations en matière de traitement et permettra la réalisation d’audits et d’inspections, et y contribuera.
9.2. Tout audit réalisé au titre du présent DPA consistera en l’examen des rapports, certificats et/ou extraits les plus récents établis par un auditeur indépendant soumis à des obligations de confidentialité similaires à celles prévues par l’Accord. Si la fourniture de ces éléments n’est pas jugée suffisante, de l’avis raisonnable du Responsable du traitement, celui-ci pourra réaliser un audit plus approfondi qui devra être : (i) aux frais du Responsable du traitement ; (ii) limité, dans sa portée, à des sujets spécifiques au Responsable du traitement et convenus à l’avance ; (iii) réalisé pendant les heures normales d’ouverture du Sous-traitant et moyennant un préavis raisonnable d’au moins 4 semaines, sauf si un problème matériel identifiable est survenu ; et (iv) réalisé de manière à ne pas perturber l’activité quotidienne du Sous-traitant.
9.3. La présente clause ne modifie ni ne limite les droits d’audit du Responsable du traitement ; elle vise uniquement à clarifier les procédures applicables à tout audit réalisé en vertu de ces droits.
10.1. Le Sous-traitant notifiera le Responsable du traitement sans retard injustifié après avoir eu connaissance de (et, en tout état de cause, dans les 72 heures suivant la découverte) toute violation de sécurité entraînant la destruction, la perte, l’altération ou la divulgation non autorisée, accidentelle ou illicite, ou l’accès non autorisé à des Données à caractère personnel (« Violation de Données à caractère personnel »).
10.2. En cas de Violation de Données à caractère personnel, le Sous-traitant prendra toutes les mesures commercialement raisonnables pour sécuriser les Données à caractère personnel, limiter les effets de la Violation de Données à caractère personnel et aider le Responsable du traitement à satisfaire à ses obligations au titre du droit applicable.
11.1. Le Sous-traitant informera rapidement le Responsable du traitement de toute demande ou réclamation concernant le traitement des Données à caractère personnel qui affecte négativement le Responsable du traitement, sauf si une telle notification n’est pas permise par le droit applicable ou par une décision de justice pertinente.
11.2. Le Sous-traitant peut effectuer des copies des Données à caractère personnel et/ou conserver des Données à caractère personnel afin de respecter toute exigence légale ou réglementaire, y compris, notamment, des obligations de conservation.
11.3. Le Sous-traitant assistera raisonnablement le Responsable du traitement afin de lui permettre de satisfaire à son obligation de réaliser des analyses d’impact relatives à la protection des données (DPIA), en tenant compte de la nature du traitement et des informations dont dispose le Sous-traitant.
11.4. Le Responsable du traitement notifiera le Sous-traitant, dans un délai raisonnable, de toute modification des lois, codes ou règlements applicables en matière de protection des données susceptibles d’affecter les obligations contractuelles du Sous-traitant. Le Sous-traitant répondra dans un délai raisonnable concernant toute modification à apporter aux conditions du présent DPA ou aux mesures techniques et organisationnelles afin de maintenir la conformité. Si le Sous-traitant n’est pas en mesure de prendre en compte les modifications nécessaires, le Responsable du traitement pourra résilier la ou les parties des Services à l’origine de la non-conformité. Dans la mesure où d’autres parties des Services fournis ne sont pas affectées par ces modifications, la fourniture de ces Services restera inchangée.
11.5. Le Responsable du traitement et le Sous-traitant et, le cas échéant, leurs représentants, coopéreront, sur demande, avec une Autorité de contrôle dans l’exécution de leurs obligations respectives au titre du présent DPA et de la Loi sur la protection des données.
12.1. Les limitations de responsabilité prévues par l’Accord s’appliquent à toute réclamation formulée en raison d’une violation des conditions du présent DPA.
12.2. Les parties conviennent que le Sous-traitant sera responsable de toute violation du présent DPA causée par les actes, omissions ou négligences de ses Sous-traitants ultérieurs, dans la même mesure que s’il exécutait directement les services de chaque Sous-traitant ultérieur en vertu des conditions du DPA, sous réserve des limitations de responsabilité prévues par l’Accord.
12.3. Les parties conviennent que le Responsable du traitement sera responsable de toute violation du présent DPA causée par les actes, omissions ou négligences de ses Affiliates, comme si ces actes, omissions ou négligences avaient été commis par le Responsable du traitement lui-même.
12.4. Le Responsable du traitement ne pourra pas obtenir réparation plus d’une fois au titre d’un même préjudice.
13.1. Le Sous-traitant ne traitera les Données à caractère personnel que pendant la durée du DPA. Le présent DPA prendra effet à la Date d’entrée en vigueur de l’Accord et prendra fin automatiquement lors de la résiliation ou de l’expiration de l’Accord.
14.1. Au choix du Responsable du traitement, et sur réception d’une demande écrite reçue dans les 30 jours suivant la fin de la fourniture des Services, le Sous-traitant supprimera ou restituera les Données à caractère personnel au Responsable du traitement. En tout état de cause, le Sous-traitant supprimera toutes les copies des Données à caractère personnel présentes dans ses systèmes dans un délai d’un (1) an à compter de la date effective de résiliation de l’Accord ou de la désactivation du compte du Responsable du traitement, sauf si le droit applicable ou les règlements applicables exigent la conservation des Données à caractère personnel après la résiliation.
15.1. Le présent DPA constitue l’intégralité de l’accord entre les parties concernant son objet.
15.2. Si une disposition du présent DPA est invalide ou devient invalide, l’effet juridique des autres dispositions n’en sera pas affecté. Une disposition valide sera réputée convenue, se rapprochant le plus possible de l’intention commerciale des parties, et remplacera la disposition invalide. Il en ira de même en cas d’omission.
15.3. Sous réserve de toute disposition contraire des SCCs, le présent DPA est régi par le droit de l’Angleterre et du Pays de Galles. Les tribunaux d’Angleterre auront compétence exclusive pour régler tout litige découlant du présent DPA.
15.4. Les parties conviennent que le présent DPA est intégré à l’Accord et régi par ses conditions.
Liste des parties, description du traitement et du transfert des Données à caractère personnel, Autorité de contrôle compétente
A. Liste des parties
| désigne le Client. | |
| Adresse : | Telle qu’indiquée pour le Client dans l’Accord. |
| Nom, fonction et coordonnées de la personne de contact : | Tels que fournis par le Client dans son compte et utilisés à des fins de notification et de facturation. |
| Tels que fournis par le Client dans son compte et utilisés à des fins de notification et de facturation. | Utilisation des Services. |
| Signature et date : | En concluant l’Accord, l’Exportateur est réputé avoir signé les SCCs intégrées au présent DPA, y compris leurs annexes, à compter de la Date d’entrée en vigueur de l’Accord. |
| Rôle : | Responsable du traitement. |
| Nom du représentant (le cas échéant) : | Tout représentant au Royaume-Uni ou dans l’UE désigné dans la politique de confidentialité de l’Exportateur. |
| désigne Multiply Software Limited. | |
| Adresse : | 2 Leman Street, London, E1W 9US, Royaume-Uni |
| Nom, fonction et coordonnées de la personne de contact : | Julien Demoor Chief Executive Officer
|
| Activités pertinentes liées aux données transférées au titre des SCCs : | La fourniture de solutions de cloud computing à l’Exportateur, dans le cadre desquelles l’Importateur traite des Données à caractère personnel sur instruction de l’Exportateur, conformément aux conditions de l’Accord. |
| Signature et date : | En concluant l’Accord, l’Exportateur est réputé avoir signé les SCCs intégrées au présent DPA, y compris leurs annexes, à compter de la Date d’entrée en vigueur de l’Accord. |
| Rôle : | Sous-traitant. |
| Catégories de Personnes concernées : | Employés, agents, conseillers, consultants, freelances du Responsable du traitement (personnes physiques). Utilisateurs, Affiliates et autres participants autorisés par le Responsable du traitement à accéder aux Services ou à les utiliser conformément aux conditions de l’Accord. |
| Catégories de Données à caractère personnel : | Catégories de Données à caractère personnel : Le Responsable du traitement peut transmettre des Données à caractère personnel aux Services, dont l’étendue est déterminée et contrôlée par le Responsable du traitement. Les Données à caractère personnel incluent notamment, sans s’y limiter :
|
| Données sensibles : | Aucune donnée sensible ne sera traitée ni transférée et aucune donnée sensible ne doit figurer dans le contenu des emails ni dans leurs pièces jointes. |
| Fréquence du traitement et du transfert (p. ex., transfert ponctuel ou continu) : | En continu, pendant toute la durée de l’Accord. |
| Nature du traitement : | Les opérations de traitement incluent notamment, sans s’y limiter :
|
| Finalité(s) du transfert des données et du traitement ultérieur : | Les Données à caractère personnel sont transférées à des sous-traitants qui doivent traiter une partie des Données à caractère personnel afin de fournir leurs services au Sous-traitant, dans le cadre des Services fournis par le Sous-traitant au Responsable du traitement. |
| Durée de conservation des Données à caractère personnel ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée : | Sauf accord écrit contraire, pendant la durée de l’Accord, sous réserve de la clause 14 du DPA. |
| Pour les transferts vers des (Sous-)traitants, préciser également l’objet, la nature et la durée du traitement : | La liste des Sous-traitants ultérieurs publiée à l’adresse : https://multiply.cloud/en/sub-processor-list/ précise les Données à caractère personnel traitées par chaque Sous-traitant ultérieur ainsi que les services fournis par chacun d’eux. |
| Identifier l’/les autorité(s) de contrôle compétente(s) (p. ex. conformément à la clause 13 des SCCs) | Lorsque le RGPD de l’UE s’applique, l’Autorité irlandaise de protection des données – Data Protection Commission (DPC). Lorsque le RGPD du Royaume-Uni s’applique, l’Information Commissioner’s Office du Royaume-Uni (ICO). Lorsque la FADP s’applique, le Préposé fédéral suisse à la protection des données et à la transparence (FDPIC). |
Annexe B
Mesures techniques et organisationnelles de sécurité
(Y compris les mesures techniques et organisationnelles visant à garantir la sécurité des données)
Ci-dessous figure une description des mesures techniques et organisationnelles mises en œuvre par le Sous-traitant (y compris les certifications pertinentes) afin d’assurer un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.
Le cas échéant, la présente Annexe B servira d’annexe II aux SCCs.
| Mesure | Description |
| Mesures de pseudonymisation et de chiffrement des Données à caractère personnel | Aux fins de contrôle des transferts, une technologie de chiffrement est utilisée. L’adéquation d’une technologie de chiffrement est évaluée au regard de l’objectif de protection. Les données archivées du Responsable du traitement sont chiffrées au repos à l’aide d’un chiffrement AES 256 bits. Les données en transit sont protégées par Transport Layer Security (« TLS »). |
| Mesures visant à garantir en continu la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement | L’accès aux données nécessaires à l’exécution de la tâche concernée est assuré, au sein des systèmes et applications, au moyen d’un concept de rôles et d’autorisations correspondant. Conformément aux principes du « moindre privilège » et du « besoin d’en connaître », chaque rôle ne dispose que des droits nécessaires à l’exécution de la tâche par la personne concernée. Afin de maintenir le contrôle d’accès aux données, une technologie de chiffrement de pointe est appliquée aux Données à caractère personnel elles-mêmes lorsque cela est jugé approprié pour protéger des données sensibles en fonction du risque. |
| Processus de test, d’analyse et d’évaluation réguliers de l’efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement | Le Sous-traitant réalise plusieurs audits internes. Le Sous-traitant s’efforce d’automatiser les audits ; la majorité de la surveillance de son infrastructure est donc automatisée, fonctionne 24 h/24 et 7 j/7 et s’appuie sur différents référentiels (CIS, NEST, etc.). Le Sous-traitant fait réaliser un audit externe de sécurité et de conformité une fois par année civile. |
| Mesures d’identification et d’autorisation des utilisateurs | L’accès à distance aux systèmes de traitement des données n’est possible qu’au moyen du tunnel VPN sécurisé du Sous-traitant. Une fois que les utilisateurs s’authentifient sur le tunnel VPN sécurisé, l’autorisation est ensuite effectuée via un nom d’utilisateur unique et un mot de passe fournis à un service d’annuaire centralisé. Toutes les tentatives d’accès, réussies ou non, sont enregistrées et surveillées. |
| Mesures de protection des données pendant la transmission | Les données en transit sont protégées par Transport Layer Security (« TLS »). |
| Mesures de protection des données pendant le stockage | Les Données à caractère personnel sont conservées uniquement en interne et sur des serveurs de centres de données tiers. Les données archivées du Responsable du traitement sont chiffrées au repos à l’aide d’un chiffrement, et les données en transit sont protégées par Transport Layer Security (« TLS »). |
| Mesures de gouvernance et de gestion internes de l’informatique et de la sécurité informatique | Les employés sont instruits de ne collecter, traiter et utiliser des Données à caractère personnel que dans le cadre et aux fins de leurs missions (p. ex., fourniture de services). Sur le plan technique, la capacité multi-clients inclut une séparation des fonctions ainsi qu’une séparation appropriée des environnements de test et de production. Les Données à caractère personnel du Responsable du traitement sont stockées de manière à être logiquement séparées des données des autres clients. |
| Mesures garantissant la minimisation des données | Si les Données à caractère personnel ne sont plus nécessaires aux finalités pour lesquelles elles ont été traitées, elles sont supprimées sans délai. Il convient de noter qu’à chaque suppression, les Données à caractère personnel sont d’abord verrouillées puis définitivement supprimées après un certain délai. Cette mesure vise à éviter les suppressions accidentelles ou d’éventuels dommages intentionnels. |
| Mesures garantissant la qualité des données | Toutes les données détenues par le Sous-traitant sont fournies par le Responsable du traitement. Le Sous-traitant n’évalue pas la qualité des données fournies par le Responsable du traitement. Le Sous-traitant met à disposition, au sein de son produit, des outils de reporting afin d’aider le Responsable du traitement à comprendre et valider les données stockées. |
| Mesures garantissant une conservation limitée des données | Le Sous-traitant utilise un schéma de classification des données pour toutes les données qu’il stocke, et sa politique de conservation précise la durée de conservation de chaque type de données. Lorsqu’un enregistrement contenant des Données à caractère personnel est supprimé, il est définitivement retiré de nos bases de données actives. Les données sont conservées dans nos sauvegardes jusqu’à leur remplacement par des sauvegardes plus récentes conformément à la politique de conservation des données. |
| Mesures garantissant la responsabilisation | Le Sous-traitant réexamine en interne ses politiques de sécurité de l’information deux fois par an afin de s’assurer qu’elles restent pertinentes et qu’elles sont respectées. Tous les employés qui manipulent des données sensibles doivent reconnaître les politiques de sécurité de l’information. Ces employés reçoivent une nouvelle formation sur les politiques de sécurité de l’information une fois par an. Une politique disciplinaire est en place pour les employés qui ne respectent pas les politiques de sécurité de l’information. |
| Mesures à prendre par le (Sous-)traitant afin de pouvoir fournir une assistance au Responsable du traitement (et, pour les transferts d’un Sous-traitant vers un Sous-traitant ultérieur, à l’Exportateur de données). | Le transfert de Données à caractère personnel à un tiers (p. ex. clients, sous-traitants, prestataires de services) n’est effectué que si un contrat correspondant existe, et uniquement pour des finalités spécifiques. Si des Données à caractère personnel sont transférées hors de l’EEE, le Sous-traitant veille à ce qu’un niveau adéquat de protection des données existe dans le lieu ou l’organisation de destination, conformément aux exigences de l’Union européenne en matière de protection des données, par exemple en utilisant des contrats fondés sur les EU SCCs. |
Annexe C
Addendum relatif aux transferts internationaux de données aux clauses contractuelles types de la Commission européenne
VERSION B1.0, en vigueur le 21 mars 2022
Le présent Addendum a été émis par l’Information Commissioner pour les Parties effectuant des Transferts restreints. L’Information Commissioner estime qu’il fournit des Garanties appropriées pour les Transferts restreints lorsqu’il est conclu sous la forme d’un contrat juridiquement contraignant.
Partie 1 : Tableaux
Tableau 1 : Parties
| Date de début | La date indiquée à l’annexe I des EU SCCs approuvées. | - |
| Les Parties | Exportateur (qui envoie le Transfert restreint) | Importateur (qui reçoit le Transfert restreint) |
| Détails des Parties | Dénomination sociale complète :. Adresse principale : Numéro d’enregistrement officiel (le cas échéant) (numéro de société ou identifiant similaire) : | Dénomination sociale complète : Adresse principale : Numéro d’enregistrement officiel (le cas échéant) (numéro de société ou identifiant similaire) : |
| Contact clé | Nom complet (facultatif) : Intitulé du poste : Coordonnées, y compris email : | Nom complet (facultatif) : Intitulé du poste : Coordonnées, y compris email : |
| Signature (si requise aux fins de la section 2) | - | - |
Tableau 2 : SCCs sélectionnées, modules et clauses sélectionnées
| EU SCCs de l’Addendum | les EU SCCs approuvées, y compris les informations de l’appendice, et uniquement avec les modules, clauses ou dispositions optionnelles suivantes des EU SCCs approuvées mises en vigueur aux fins du présent Addendum : | ||||
| Module | Module en vigueur | Clause 11 (Option) | Clause 9a Autorisation générale | Clause 9a (Délai) | Les données à caractère personnel reçues de l’Importateur sont-elles combinées à des données à caractère personnel collectées par l’Exportateur ? |
| 1 | false | non utilisé | - | - | - |
| 2 | true | non utilisé | true | 30 jours | - |
| 3 | true | non utilisé | true | 30 jours | - |
| 4 | oui/non | non utilisé | - | - | oui/non |
Tableau 3 : Informations de l’appendice
« Informations de l’appendice » désigne les informations qui doivent être fournies pour les modules sélectionnés, telles qu’énoncées dans l’appendice des EU SCCs approuvées (à l’exclusion des Parties), et qui, pour le présent Addendum, figurent dans :
| Annexe 1A : Liste des Parties : telle qu’indiquée à l’annexe I des EU SCCs approuvées |
| Annexe 1B : Description du transfert : telle qu’indiquée à l’annexe I des EU SCCs approuvées |
| Annexe II : Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à garantir la sécurité des données : telles qu’indiquées à l’annexe II des EU SCCs approuvées |
Tableau 4 : Mettre fin au présent Addendum lorsque l’Addendum approuvé change
| Mettre fin au présent Addendum lorsque l’Addendum approuvé change | Quelles Parties peuvent mettre fin au présent Addendum comme indiqué à la section 19 : Importateur Exportateur |
Partie 2 : Clauses obligatoires
Conclusion du présent Addendum
Interprétation du présent Addendum
| Addendum | Le présent Addendum relatif aux transferts internationaux de données, composé du présent Addendum intégrant les EU SCCs de l’Addendum. |
| EU SCCs de l’Addendum | La ou les version(s) des EU SCCs approuvées auxquelles le présent Addendum est annexé, telles qu’indiquées au tableau 2, y compris les Informations de l’appendice. |
| Informations de l’appendice | Telles qu’indiquées au tableau 3. |
| Garanties appropriées | Le niveau de protection des données à caractère personnel et des droits des personnes concernées exigé par les lois du Royaume-Uni sur la protection des données lorsque vous effectuez un Transfert restreint en vous fondant sur des clauses types de protection des données au titre de l’article 46(2)(d) du RGPD du Royaume-Uni. |
| Addendum approuvé | Le modèle d’Addendum publié par l’ICO et présenté au Parlement conformément à l’article s119A du Data Protection Act 2018 le 2 février 2022, tel que révisé au titre de la section 18. |
| EU SCCs approuvées | Les clauses contractuelles types figurant à l’annexe de la décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021. |
| ICO | L’Information Commissioner. |
| Transfert restreint | Un transfert relevant du chapitre V du RGPD du Royaume-Uni. |
| Royaume-Uni | Le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord. |
| Lois du Royaume-Uni sur la protection des données | L’ensemble des lois relatives à la protection des données, au traitement des données à caractère personnel, à la vie privée et/ou aux communications électroniques en vigueur au Royaume-Uni, telles que modifiées le cas échéant, y compris le RGPD du Royaume-Uni et le Data Protection Act 2018. |
| RGPD du Royaume-Uni | Tel que défini à la section 3 du Data Protection Act 2018. |
4. Le présent Addendum doit toujours être interprété d’une manière cohérente avec les Lois du Royaume-Uni sur la protection des données et de façon à permettre l’exécution de l’obligation des Parties de fournir des Garanties appropriées.
Si les dispositions incluses dans les EU SCCs de l’Addendum modifient les SCCs approuvées d’une manière non autorisée par les EU SCCs approuvées ou l’Addendum approuvé, ces modifications ne seront pas intégrées au présent Addendum et la disposition équivalente des EU SCCs approuvées s’y substituera.
En cas d’incohérence ou de conflit entre les Lois du Royaume-Uni sur la protection des données et le présent Addendum, les Lois du Royaume-Uni sur la protection des données prévalent.
Si le sens du présent Addendum n’est pas clair ou s’il existe plusieurs interprétations possibles, l’interprétation la plus conforme aux Lois du Royaume-Uni sur la protection des données s’applique.
Toute référence à une loi (ou à une disposition spécifique d’une loi) vise cette loi (ou cette disposition) telle qu’elle est susceptible d’évoluer dans le temps. Cela inclut les cas où cette loi (ou cette disposition) a été consolidée, réédictée et/ou remplacée après la conclusion du présent Addendum.
Hiérarchie
Bien que la clause 5 des EU SCCs approuvées prévoie que les EU SCCs approuvées prévalent sur tous les accords liés entre les parties, les parties conviennent que, pour les Transferts restreints, l’ordre de priorité prévu à la section 10 prévaudra.
En cas d’incohérence ou de conflit entre l’Addendum approuvé et les EU SCCs de l’Addendum (le cas échéant), l’Addendum approuvé prévaut sur les EU SCCs de l’Addendum, sauf lorsque (et dans la mesure où) les conditions incohérentes ou conflictuelles des EU SCCs de l’Addendum offrent une protection plus élevée aux personnes concernées, auquel cas ces conditions prévalent sur l’Addendum approuvé.
Lorsque le présent Addendum intègre des EU SCCs de l’Addendum conclues pour protéger des transferts soumis au Règlement général sur la protection des données (UE) 2016/679, les Parties reconnaissent que rien dans le présent Addendum n’affecte ces EU SCCs de l’Addendum.
Intégration et modifications des EU SCCs
a. ensemble, elles s’appliquent aux transferts de données effectués par l’exportateur de données vers l’importateur de données, dans la mesure où les Lois du Royaume-Uni sur la protection des données s’appliquent au traitement de l’exportateur de données lors de ce transfert, et elles fournissent des Garanties appropriées pour ces transferts ;
b. les sections 9 à 11 prévalent sur la clause 5 (Hiérarchie) des EU SCCs de l’Addendum ; et
c. le présent Addendum (y compris les EU SCCs de l’Addendum qu’il intègre) est (1) régi par le droit de l’Angleterre et du Pays de Galles et (2) tout litige en découlant est tranché par les tribunaux d’Angleterre et du Pays de Galles, sauf si le droit et/ou les tribunaux d’Écosse ou d’Irlande du Nord ont été expressément choisis par les Parties.
Sauf si les Parties ont convenu de modifications alternatives répondant aux exigences de la section 12, les dispositions de la section 15 s’appliquent.
Aucune modification des EU SCCs approuvées, autre que pour répondre aux exigences de la section 12, ne peut être apportée.
Les modifications suivantes des EU SCCs de l’Addendum (aux fins de la section 12) sont apportées :
a. Les références aux « Clauses » désignent le présent Addendum, intégrant les EU SCCs de l’Addendum ;
b. À la clause 2, supprimer les mots :
« and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679 » ;
c. La clause 6 (Description of the transfer(s)) est remplacée par :
« The details of the transfers(s) and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred) are those specified in Annex I.B where UK Data Protection Laws apply to the data exporter’s processing when making that transfer. » ;
d. La clause 8.7(i) du module 1 est remplacée par :
« it is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer » ;
e. La clause 8.8(i) des modules 2 et 3 est remplacée par :
« the onward transfer is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer; »
f. Les références à « Regulation (EU) 2016/679 », « Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) » et « that Regulation » sont toutes remplacées par « UK Data Protection Laws ». Les références à des articles spécifiques de « Regulation (EU) 2016/679 » sont remplacées par l’article ou la section équivalente des Lois du Royaume-Uni sur la protection des données ;
g. Les références au Règlement (UE) 2018/1725 sont supprimées ;
h. Les références à « European Union », « Union », « EU », « EU Member State », « Member State » et « EU or Member State » sont toutes remplacées par « UK » ;
i. La référence à « Clause 12(c)(i) » à la clause 10(b)(i) du module 1 est remplacée par « Clause 11(c)(i) » ;
j. La clause 13(a) et la partie C de l’annexe I ne sont pas utilisées ;
k. Les termes « competent supervisory authority » et « supervisory authority » sont tous deux remplacés par « Information Commissioner » ;
l. À la clause 16(e), le paragraphe (i) est remplacé par :
« the Secretary of State makes regulations pursuant to Section 17A of the Data Protection Act 2018 that cover the transfer of personal data to which these clauses apply; » ;
m. La clause 17 est remplacée par :
« These Clauses are governed by the laws of England and Wales. » ;
n. La clause 18 est remplacée par :
« Any dispute arising from these Clauses shall be resolved by the courts of England and Wales. A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of any country in the UK. The Parties agree to submit themselves to the jurisdiction of such courts. » ; et
o. Les notes de bas de page des EU SCCs approuvées ne font pas partie de l’Addendum, à l’exception des notes 8, 9, 10 et 11.
Modifications du présent Addendum
Les Parties peuvent convenir de modifier les clauses 17 et/ou 18 des EU SCCs de l’Addendum afin de faire référence au droit et/ou aux tribunaux d’Écosse ou d’Irlande du Nord.
Si les Parties souhaitent modifier le format des informations incluses dans la Partie 1 : Tableaux de l’Addendum approuvé, elles peuvent le faire en convenant de la modification par écrit, à condition que la modification ne réduise pas les Garanties appropriées.
De temps à autre, l’ICO peut publier un Addendum approuvé révisé qui :
a. apporte des modifications raisonnables et proportionnées à l’Addendum approuvé, notamment la correction d’erreurs dans l’Addendum approuvé ; et/ou
b. reflète des changements des Lois du Royaume-Uni sur la protection des données ; L’Addendum approuvé révisé précisera la date de début à partir de laquelle les modifications de l’Addendum approuvé prennent effet et indiquera si les Parties doivent revoir le présent Addendum, y compris les Informations de l’appendice. Le présent Addendum est automatiquement modifié comme indiqué dans l’Addendum approuvé révisé, à compter de la date de début précisée.
a. de ses coûts directs d’exécution de ses obligations au titre de l’Addendum ; et/ou
b. de son risque au titre de l’Addendum,
et, dans l’un ou l’autre cas, si cette Partie a d’abord pris des mesures raisonnables pour réduire ces coûts ou risques afin qu’ils ne soient pas substantiels et disproportionnés, alors cette Partie peut mettre fin au présent Addendum à l’issue d’un délai de préavis raisonnable, en fournissant un avis écrit précisant ce délai à l’autre Partie avant la date de début de l’Addendum approuvé révisé.
Wow ! Multiply a
augmenté les victoires Buy Box à 80 %, augmenté les ventes de 32 % et augmenté les profits là où nous n'avons pas de concurrence. Essai terminé, maintenant pleinement inscrit. Merci beaucoup !
Commencez en quelques clics !
Débloquez les outils dont vous avez besoin