CLASSES CONTRACTUELLES DE COMMISSION EU (EU SCCs) ET ADDENDUM UK

Ces Clauses contractuelles types et Addendum du Royaume-Uni (ensemble «SCCs») s'appliquent aux transferts de données personnelles soumises à la réglementation 2016/679 («GDPR»), le RGPD du Royaume-Uni, ou la Loi fédérale suisse sur la protection des données, de l'Espace économique européen, le Royaume-Uni ou la Suisse à un pays qui n'est pas soumis à une décision d'adéquation de la part de l'autorité compétente.

‍

Les CCN s'appliquent lorsque de tels transferts se produisent en relation avec l'utilisation de nos logiciels, services, , ou d'autres interactions avec nous, et lorsque aucun autre mécanisme de transfert valide n'est disponible.

‍

Les CCN s’appliquent automatiquement dans la mesure requise pour fournir des garanties appropriées pour le transfert pertinent et sont incorporées par renvoi dans les conditions légales régissant la relation ou l’interaction applicable.

‍

Détermination des rôles

‍

Aux fins des CCN :

‍

Chaque partie agit en tant que contrôleur lorsqu'elle détermine les buts et les moyens du traitement des données personnelles.
Chaque partie agit en tant que processeur où elle traite les données personnelles sur des instructions documentées d'une autre partie.

‍

Le module applicable des CCN est déterminé par les rôles respectifs des parties en ce qui concerne l’activité de traitement spécifique qui donne lieu au transfert pertinent.

‍

Lorsque nous traitons des données personnelles au nom d'un client professionnel, le client professionnel agit en tant qu'exportateur de données et contrôleur, et nous agissons en tant qu'importateur et processeur de données, et le transfert est régi par le Module 2.

Lorsque les deux parties déterminent de façon indépendante les fins et les moyens de traitement, chacune agit en tant que contrôleur, et que le transfert est régi par le Module 1.

‍

Modules applicables

‍

Selon la nature de la relation et les activités de traitement concernées, les transferts de données personnelles peuvent être régis par :

Module 1 : Contrôleur du contrôleur, ou
Module 2 : Contrôler le processeur,

des clauses contractuelles types de la Commission européenne, telles qu’adoptées conformément à la décision de mise en œuvre de la Commission (UE) 2021/914.

‍

Le module applicable ne s'applique que dans la mesure requise pour légitimer le transfert concerné, selon le rôle des parties et les circonstances du traitement.

‍

MODULE 1 : CONTROLLER-À-CONTROLLER

‍

Section I

Clause 1

Objectif et portée

‍

a)L’objectif de ces clauses contractuelles normalisées est d’assurer le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques en ce qui concerne le traitement des données à caractère personnel et la libre circulation de ces données (règlement général sur la protection des données) (1) pour le transfert des données à caractère personnel vers un pays tiers.

‍

b)Les Parties:

(i)les personnes physiques ou juridiques, les autorités publiques, les agences/ies ou tout autre organisme/s (ci-après « entité/ies») qui transfèrent les données personnelles, tel que listé à l'annexe I A (ci-après chaque « exportateur de données »), et

(ii) l'entité/ies dans un pays tiers recevant les données personnelles de l'exportateur de données, directement ou indirectement via une autre entité également partie à ces clauses, comme indiqué à l'annexe I A (ci-après chaque « importateur de données »)

ont accepté ces clauses contractuelles normalisées (ci-après : « Clauses »).

‍

(c)Les présentes clauses s’appliquent en ce qui concerne le transfert de données à caractère personnel tel que précisé à l’annexe I B.

‍

d)L’Annexe aux présentes clauses qui contiennent les annexes auxquelles il est fait référence fait partie intégrante de ces dispositions.

‍

Clause 2

Effet et et invariabilité des Clauses

‍

a)Ces clauses définissent des garanties appropriées, y compris des droits applicables en matière de données et des recours juridiques efficaces, conformément à l'article 46, paragraphe 1, et à l'article 46, paragraphe 2, point c) du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des contrôleurs aux processeurs et/ou aux processeurs, clauses contractuelles normalisées conformément à l'article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu'elles ne soient pas modifiées, sauf pour sélectionner le(s) module(s) approprié(s) ou pour ajouter ou mettre à jour des informations dans l'Annexe. Cela n'empêche pas les Parties d'inclure dans un contrat plus large les clauses contractuelles normalisées prévues dans les présentes clauses et/ou d'ajouter d'autres clauses ou garanties supplémentaires, à condition qu'ils ne contredissent pas, directement ou indirectement, ces clauses ou portent préjudice aux droits ou libertés fondamentaux des personnes concernées.

‍

b)Ces clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.

‍

Clause 3

Bénéficiaires tiers

‍

(a)Les personnes concernées peuvent invoquer et appliquer ces Clauses, en tant que bénéficiaires tiers, contre l’exportateur de données et/ou l’importateur de données, à l’exception suivante:

‍

(i)L'alinéa 1, alinéa 2, alinéa 3, alinéa 6, alinéa 7;

‍

(ii)Article 8.5 (e) et alinéa 8.9b);

‍

(iii) N/A

‍

(iv) Clause 12(a) et d);

‍

(v) Article 13;

‍

(vi)Clause 15.1(c), (d) et (e);

‍

(vii) Clause 16(e);

‍

(viii) Article 18(a) et b).

‍

b)L’alinéa a) ne porte pas préjudice aux droits des personnes concernées en vertu du règlement (CE) 2016/679.

‍

Clause 4

Interprétation

‍

a)Lorsque ces clauses utilisent des termes qui sont définis dans le règlement (UE) 2016/679, ces termes ont la même signification que dans ce règlement.

‍

b)Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.

‍

(c)Ces clauses ne sont pas interprétées d’une manière contraire aux droits et obligations prévus dans le règlement (UE) 2016/679.

‍

Clause 5

Hierarchy

‍

En cas de contradiction entre ces clauses et les dispositions des accords connexes entre les Parties, au moment où les présentes Clauses sont convenues ou conclues par la suite, les présentes Clauses prévaut.

‍

Clause 6

Description du ou des transfert(s)

‍

Les détails du ou des transferts(s), et en particulier les catégories de données à caractère personnel qui sont transférées et les finalités pour lesquelles elles sont transférées, sont précisées à l'annexe I.B.

‍

Clause 7

Clause d'amarrage facultative

‍

NON UTILISÉ

‍

SECTION II - OBLIGATIONS DES PARTIES

‍

Clause 8

Protection des données

‍

L'exportateur de données garantit qu'il a déployé des efforts raisonnables pour déterminer si l'importateur de données est capable, par la mise en œuvre de mesures techniques et organisationnelles appropriées, afin de satisfaire à ses obligations en vertu de ces dispositions.

‍

8.1 Limitation d'objectif

‍

L'importateur de données traitera les données à caractère personnel uniquement aux fins spécifiques du transfert, telles qu'énoncées à l'annexe I.B. Il ne peut traiter les données personnelles qu'à une autre fin :

‍

(i) lorsqu’elle a obtenu le consentement préalable de la personne concernée ;

‍

(ii) si nécessaire pour l'établissement, l'exercice ou la défense de revendications juridiques dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou

‍

(iii) si nécessaire afin de protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique.

‍

8.2 Transparence

‍

(a) Afin de permettre aux sujets de données d’exercer efficacement leurs droits conformément à l’Article 10, l'importateur de données doit l'informer, directement ou par l'intermédiaire de l'exportateur de données :

‍

(i) de son identité et de ses coordonnées;

‍

(ii) des catégories de données à caractère personnel traitées ;

‍

(iii) du droit d'obtenir une copie de ces clauses ;

‍

(iv) où il a l'intention de transférer les données personnelles à des tierces parties, du destinataire ou des catégories de destinataires (le cas échéant en vue de fournir des informations significatives), la finalité de ce transfert et du terrain conformément à l'Article 8.7.

‍

b)L’alinéa a) ne s’applique pas lorsque les données dont il est question disposent déjà des informations, y compris lorsque ces informations ont déjà été fournies par l’exportateur de données, ou la fourniture de l'information s'avère impossible ou impliquerait un effort disproportionné pour l'importateur de données. Dans ce dernier cas, l'importateur de données doit, dans la mesure du possible, rendre les informations accessibles au public.

‍

(c)Sur demande, les Parties font une copie de ces Clauses, y compris l’Annexe telle qu’elle est remplie par elle, disponible gratuitement pour les données visées. Dans la mesure nécessaire pour protéger les secrets commerciaux ou autres informations confidentielles, y compris les données personnelles, les Parties peuvent supprimer une partie du texte de l'annexe avant d'en partager une copie, mais doit fournir un résumé significatif lorsque la personne concernée ne serait pas en mesure autrement de comprendre son contenu ou d'exercer ses droits. Sur demande, les Parties communiquent aux personnes concernées les motifs des redditions, dans la mesure du possible, sans révéler les informations retouchées.

‍

(d)Les alinéas a) à c) sont sans préjudice des obligations de l’exportateur de données en vertu des articles13 et 14 du règlement (UE) 2016/679.

‍

8.3 Précision et réduction des données

‍

a)Chaque Partie s’assure que les données à caractère personnel sont exactes et, le cas échéant, mises à jour. L'importateur de données doit prendre toutes les mesures raisonnables pour s'assurer que les données personnelles qui sont inexactes, en tenant compte des finalités du traitement, est effacé ou rectifié sans délai.

‍

b)Si l'une des Parties apprend que les données personnelles qu'elle a transférées ou reçues sont inexactes, ou est devenu obsolète, il en informera l'autre Partie sans délai excessif.

‍

(c)L’importateur de données doit s’assurer que les données personnelles sont adéquates, pertinente et limitée à ce qui est nécessaire par rapport aux finalités du traitement.

‍

8.4 Limitation de stockage

‍

L'importateur de données conservera les données personnelles pour des raisons qui ne sont pas nécessaires pour les fins pour lesquelles elles sont traitées. Elle met en place des mesures techniques ou organisationnelles appropriées pour garantir le respect de cette obligation, y compris l'effacement ou l'anonymisation (2) des données et toutes les sauvegardes à la fin de la période de rétention.

‍

8.5 Sécurité du traitement

‍

a)L’importateur de données et, lors de la transmission, l’exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données à caractère personnel, y compris la protection contre une violation de la sécurité qui entraîne une destruction accidentelle ou illégale, une perte, une altération, une divulgation non autorisée ou un accès (ci-après « violation de données personnelles »). En évaluant le niveau de sécurité approprié, ils tiennent dûment compte de l'état des choses, des coûts de mise en oeuvre, la nature, la portée, le contexte et le(s) objectif(s) du traitement et les risques liés au traitement des données. Les Parties envisagent notamment d'avoir recours au cryptage ou à la pseudonymisation, y compris lors de la transmission, où les fins de traitement peuvent être remplies de cette manière.

‍

b)Les parties ont convenu des mesures techniques et organisationnelles prévues à l’annexeII. L'importateur de données doit effectuer des contrôles réguliers pour s'assurer que ces mesures continuent d'offrir un niveau de sécurité approprié.

‍

(c)L’importateur de données s’assure que les personnes autorisées à traiter les données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée.

‍

d)En cas de violation de données à caractère personnel concernant les données à caractère personnel traitées par l’importateur de données en vertu de ces dispositions, l'importateur de données doit prendre les mesures appropriées pour lutter contre la violation des données à caractère personnel, y compris les mesures visant à atténuer ses effets indésirables éventuels.

‍

(e)En cas de violation des données à caractère personnel susceptible d’entraîner un risque pour les droits et les libertés des personnes physiques. l'importateur de données notifiera sans délai à la fois l'exportateur de données et l'autorité de contrôle compétente conformément à l'article 13. Cette notification contiendra i) une description de la nature de la violation (incluant, dans la mesure du possible, les catégories et le nombre approximatif de sujets de données et d'enregistrements de données personnelles concernés), ii) ses conséquences probables, iii) les mesures prises ou proposées pour remédier à l'infraction, et iv) les coordonnées d'un point de contact auprès duquel plus d'informations peuvent être obtenues. Dans la mesure où il n'est pas possible pour l'importateur de données de fournir toutes les informations en même temps, il peut le faire dans les phases sans retard supplémentaire inutile.

‍

(f) En cas de violation des données à caractère personnel susceptible d’entraîner un risque élevé pour les droits et les libertés des personnes physiques. l'importateur de données doit également notifier sans délai les sujets concernés de la violation des données à caractère personnel et de sa nature, si nécessaire en coopération avec l'exportateur de données, ainsi que les informations visées au paragraphe (e), points ii) à iv), à moins que l'importateur de données n'ait mis en œuvre des mesures visant à réduire de manière significative le risque pour les droits ou libertés des personnes physiques. ou la notification impliquerait des efforts disproportionnés. Dans ce dernier cas, l'importateur de données doit plutôt émettre une communication publique ou prendre une mesure similaire pour informer le public de la violation des données à caractère personnel.

‍

(g) L'importateur de données doit documenter tous les faits pertinents relatifs à la violation des données à caractère personnel, y compris ses effets et toute mesure corrective prise, et en tenir compte.

‍

8.6 Données sensibles

‍

Lorsque le transfert implique des données personnelles révélant l'origine raciale ou ethnique, des opinions politiques, des croyances religieuses ou philosophiques, ou les membres du syndicat, les données génétiques ou biométriques dans le but d'identifier de manière unique une personne physique, des données concernant la santé ou la vie sexuelle ou l'orientation sexuelle d'une personne, ou des données relatives aux condamnations ou infractions pénales (ci-après les "données sensibles"), l'importateur de données applique des restrictions spécifiques et/ou des garanties supplémentaires adaptées à la nature spécifique des données et aux risques impliqués. Cela peut inclure la restriction du personnel autorisé à accéder aux données personnelles, des mesures de sécurité supplémentaires (telles que la pseudonymisation) et/ou des restrictions supplémentaires en ce qui concerne la divulgation ultérieure.

‍

8.7 Transferts en cours

‍

L'importateur de données ne doit pas divulguer les données personnelles à un tiers situé en dehors de l'Union européenne (3) (dans le même pays que l'importateur de données ou dans un autre pays tiers, ci-après le « transfert en cours ») à moins que le tiers soit ou accepte d’être lié par ces clauses, dans le Module approprié. Sinon, un transfert de données par l'importateur de données ne peut avoir lieu que si :

‍

(i)c’est à un pays qui bénéficie d’une décision d’adéquation conformément à l’article 45 du règlement (UE) 2016/679 qui couvre le transfert continu;

‍

(ii) le tiers garantit par ailleurs des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question;

‍

(iii) le tiers conclut un instrument contraignant avec l’importateur de données garantissant le même niveau de protection des données que les présentes dispositions, et l'importateur de données fournit une copie de ces garanties à l'exportateur de données ;

‍

(iv) il est nécessaire pour l'établissement, l'exercice ou la défense de revendications juridiques dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques;

‍

(v) il est nécessaire de protéger les intérêts vitaux de la personne concernée ou d’une autre personne naturelle ; ou

‍

(vi) lorsque aucune des autres conditions ne s’applique, l'importateur de données a obtenu le consentement explicite de la personne concernée pour un transfert continu dans une situation spécifique, après l'avoir informé de son (dessein), l'identité du destinataire et les risques éventuels d'un tel transfert à lui en raison de l'absence de garanties appropriées en matière de protection des données. Dans ce cas, l'importateur de données en informera l'exportateur de données et, à la demande de ce dernier, doit lui transmettre une copie des informations fournies au sujet des données.

‍

Tout transfert ultérieur est soumis à la conformité de l'importateur de données avec toutes les autres garanties prévues par ces dispositions, en particulier la limitation des finalités.

‍

8.8 Traitement sous l'autorité de l'importateur de données

‍

L'importateur de données doit s'assurer que toute personne agissant sous son autorité, y compris un processeur, ne traite les données que sur ses instructions.

‍

8.9 Documentation et conformité

‍

a)Chacune des Parties est en mesure de démontrer le respect des obligations qui lui incombent en vertu des présentes dispositions. En particulier, l'importateur de données doit conserver la documentation appropriée des activités de traitement effectuées sous sa responsabilité.

‍

b)L’importateur de données mettra ces documents à la disposition de l’autorité de contrôle compétente sur demande.

‍

Clause 9

Utilisation des sous-processeurs

‍

Non applicable

‍

Clause 10

Droits du sujet des données

‍

a)L'importateur de données, s'il y a lieu avec l'aide de l'exportateur de données, traitera toutes les demandes de renseignements et les demandes reçues de la part d’un sujet concernant le traitement de ses données personnelles et l’exercice de ses droits en vertu des présentes Clauses sans délai et au plus tard dans le mois suivant la réception de la demande ou de la demande. (4) L'importateur de données prend les mesures appropriées pour faciliter ces demandes, demandes et l'exercice des droits en matière de données. Toute information fournie à la personne concernée doit être intelligible et facilement accessible, dans un langage clair et clair.

‍

(b)En particulier, sur demande des données visées par l’importateur de données, il est gratuit :

‍

(i)fournir une confirmation aux données sous réserve de savoir si les données personnelles le concernant sont traitées et, lorsque c'est le cas, une copie des données le concernant et les informations figurant à l'annexe I; si les données personnelles ont été ou seront transférées, fournir des informations sur les destinataires ou les catégories de destinataires (le cas échéant en vue de fournir des informations significatives) auxquelles les données personnelles ont été transférées ou seront transférées, la finalité de ces transferts et de leur mise en œuvre conformément à l'article 8. ; et fournir des informations sur le droit de déposer une plainte auprès d'une autorité de surveillance conformément à l'Article 12(c)(i);

‍

(ii) rectifier les données inexactes ou incomplètes concernant le sujet des données ;

‍

(iii) efface les données à caractère personnel concernant les données concernées si ces données sont traitées ou ont été traitées en violation de l’une de ces clauses garantissant les droits des tiers bénéficiaires, ou si les données concernées retirent le consentement sur lequel le traitement est fondé.

‍

(c)Lorsque l’importateur de données traite les données personnelles à des fins de marketing direct, elle cessera de traiter à ces fins si les données qui lui sont soumises y sont exposées.

‍

(d) L'importateur de données ne doit pas prendre de décision basée uniquement sur le traitement automatisé des données personnelles transférées (ci-après "décision automatisée"), qui produirait des effets légaux concernant le sujet des données ou qui l'affecteraient de manière significative, sauf avec le consentement explicite de la personne concernée ou si elle y est autorisée en vertu des lois du pays de destination, à condition que ces lois établissent des mesures appropriées pour protéger les droits et les intérêts légitimes de la personne concernée. Dans ce cas, l'importateur de données doit, si nécessaire, en coopération avec l'exportateur de données:

‍

(i) informer le sujet des données de la décision automatisée envisagée, des conséquences envisagées et de la logique impliquée ; et

‍

(ii) mettre en œuvre des garanties appropriées, au moins en permettant aux données soumises à la décision exprimer son point de vue et obtenir la revue par un être humain.

‍

(e)Lorsque les requêtes provenant d'un sujet de données sont excessives, en particulier en raison de leur caractère répétitif, l'importateur de données peut soit facturer des frais raisonnables en tenant compte des coûts administratifs liés à l'attribution de la demande ou refuser d'agir sur la demande.

‍

f)L’importateur de données peut refuser la demande d’un sujet de données si ce refus est autorisé par les lois du pays de destination et est nécessaire et proportionné dans une société démocratique pour protéger l’un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679.

‍

(g) Si l'importateur de données a l'intention de refuser la demande d'un sujet de données, elle informe les données dont le motif est le refus et la possibilité de déposer une plainte auprès de l'autorité de contrôle compétente et/ou de demander réparation judiciaire.

‍

Clause 11

Redresser

‍

a)L'importateur de données doit informer les sujets de données dans un format transparent et facilement accessible, par avis individuel ou sur son site Internet, d'un point de contact autorisé à traiter les plaintes. Il traitera rapidement toutes les plaintes qui lui sont adressées par un sujet de données.

‍

b)En cas de litige entre un sujet de données et une des Parties en ce qui concerne le respect de ces dispositions, cette Partie déploie tous ses efforts pour résoudre la question à l'amiable en temps opportun. Les Parties se tiennent mutuellement informées de ces différends et, le cas échéant, collaborent pour les résoudre.

‍

(c)Lorsque les données concernées invoquent un droit de bénéficiaire tiers conformément à la clause 3, l'importateur de données accepte la décision des données visées à :

‍

(i) déposer une plainte auprès de l'autorité de contrôle de l'État membre de sa résidence habituelle ou de son lieu de travail, ou l'autorité de contrôle compétente conformément à l'article 13 ;

‍

(ii) renvoyer le différend devant les tribunaux compétents au sens de la clause 18.

‍

d)Les Parties acceptent que la personne concernée puisse être représentée par un organisme sans but lucratif, organisation ou association dans les conditions prévues à l'article 80, paragraphe 1, du règlement (UE) 2016/679.

‍

(e)L’importateur de données se conforme à une décision contraignante en vertu du droit applicable de l’UE ou des États membres.

‍

f)L’importateur de données accepte que le choix fait par la personne concernée ne porte pas préjudice à ses droits substantiels et procéduraux de demander des recours conformément aux lois applicables.

‍

Clause 12

Responsabilité

‍

(a)Chaque Partie est responsable envers l’autre Partie/ies de tout dommage qu’elle causera à l’autre Partie/ies par quelque violation que ce soit de ces Clauses.

‍

b)Chaque Partie est responsable de l’objet, et les données concernées ont droit à une indemnisation, pour tout dommage matériel ou non matériel que la Partie provoque les données concernées en violant les droits du tiers bénéficiaire en vertu de ces dispositions. C'est sans préjudice de la responsabilité de l'exportateur de données en vertu du règlement (UE) 2016/679.

‍

(c)Dans les cas où plusieurs Parties sont responsables de tout dommage causé à la personne concernée par une violation de ces Conditions, toutes les Parties responsables sont conjointement et séparément responsables et les données concernées ont le droit d'intenter une action en justice contre l'une ou l'autre de ces Parties.

‍

d)Les Parties conviennent que si une Partie est tenue responsable en vertu de l’alinéa c), elle a le droit de demander à l'autre Parte/ies la partie de l'indemnisation qui lui correspond / leur responsabilité pour le dommage.

‍

(e)L'importateur de données ne peut pas invoquer la conduite d'un processeur ou d'un sous-processeur pour échapper à sa propre responsabilité.

‍

Clause 13

Surveillance

‍

a)L'autorité de contrôle de l'un des États membres dans lesquels les données dont les données personnelles sont transférées en vertu de ces clauses en relation avec l'offre de biens ou de services, ou dont le comportement est contrôlé, sont situés, comme indiqué à l'annexe I. , agira en tant qu'autorité de contrôle compétente.

‍

b)L’importateur de données accepte de se soumettre à la juridiction et de coopérer avec l’autorité de contrôle compétente dans le cadre de toute procédure visant à garantir le respect de ces dispositions. En particulier, l'importateur de données accepte de répondre aux demandes, soumettre des audits et se conformer aux mesures adoptées par l'autorité de surveillance, y compris des mesures correctives et compensatoires. Elle fournit à l'autorité de contrôle la confirmation écrite que les mesures nécessaires ont été prises.

‍

SECTION III - LOCALES LOIS ET OBLIGATIONS EN CAS D'ACCÈS PAR AUTORISATIONS PUBLIQUES

‍

Clause 14

Lois et pratiques locales affectant le respect des clauses

‍

a)Les Parties garantissent qu’elles n’ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données personnelles par l’importateur de données, y compris toute exigence de divulgation de données personnelles ou de mesures autorisant l'accès des autorités publiques, empêche l'importateur de données de remplir ses obligations en vertu de ces dispositions. Cela repose sur la compréhension que les lois et pratiques qui respectent l'essence des droits et libertés fondamentaux et qui ne dépassent pas ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l'un des objectifs énumérés à l'article 23, paragraphe 1, du règlement (UE) 2016/679, ne sont pas en contradiction avec ces dispositions.

‍

b)Les Parties déclarent qu’en fournissant la garantie prévue à l’alinéa a), elles ont pris dûment en considération en particulier les éléments suivants:

‍

(i) les circonstances spécifiques du transfert, y compris la longueur de la chaîne de traitement, le nombre d'acteurs impliqués et les canaux de transmission utilisés ; les transferts prévus à l'avance; le type de destinataire; la finalité du traitement; les catégories et le format des données personnelles transférées; le secteur économique dans lequel se déroule le transfert; l'emplacement de stockage des données transférées;

‍

(ii) les lois et pratiques du pays tiers de destination- y compris celles exigeant la divulgation de données aux autorités publiques ou autorisant l’accès de ces autorités - pertinentes compte tenu des circonstances spécifiques du transfert, et les limitations et garanties applicables (5);

‍

(iii) toutes les garanties contractuelles, techniques ou organisationnelles pertinentes mises en place pour compléter les garanties prévues par ces dispositions, y compris les mesures appliquées lors de la transmission et au traitement des données personnelles dans le pays de destination.

‍

(c)L’importateur de données garantit que, dans la réalisation de l’évaluation en vertu de l’alinéa b), elle a fait de son mieux pour fournir à l'exportateur de données des informations pertinentes et convient qu'elle continuera à coopérer avec l'exportateur de données pour garantir le respect de ces dispositions.

‍

d)Les parties conviennent de documenter l’évaluation prévue à l’alinéa b) et de la mettre à la disposition de l’autorité de contrôle compétente sur demande.

‍

(e)L'importateur de données accepte d'informer immédiatement l'exportateur de données si, après avoir accepté ces clauses et pour la durée du contrat, elle a des raisons de croire qu'elle est ou est devenue assujettie à des lois ou des pratiques qui ne sont pas conformes aux exigences du paragraphe (a), y compris à la suite d'une modification des lois du pays tiers ou d'une mesure (comme une demande de divulgation) indiquant l'application de ces lois dans la pratique qui n'est pas conforme aux exigences de l'alinéa a).

‍

(f)Suite à une notification conformément à l'alinéa e), ou si l'exportateur de données a des raisons de croire que l'importateur de données ne peut plus remplir ses obligations en vertu de ces dispositions, l'exportateur de données doit rapidement identifier les mesures appropriées (e. Les mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) qui seront adoptées par l’exportateur de données et/ou l’importateur de données pour faire face à la situation. L'exportateur de données suspendra le transfert de données s'il estime qu'aucune protection appropriée pour ce transfert ne peut être garantie, ou si l’autorité de contrôle compétente lui a demandé de le faire. Dans ce cas, l'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement des données à caractère personnel aux termes des présentes Conditions. Si le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la Partie concernée, sauf si les Parties en ont convenu autrement. Lorsque le contrat est résilié conformément à la présente clause, l'alinéa 16d) et e) s'appliquent.

‍

Clause 15

Obligations de l'importateur de données en cas d'accès par les autorités publiques

‍

Notification 15.1

‍

a)L’importateur de données accepte d’informer l’exportateur de données et, dans la mesure du possible, le sujet des données rapidement (si nécessaire avec l'aide de l'exportateur de données) si :

‍

(i) reçoit une demande juridiquement contraignante d'une autorité publique, y compris des autorités judiciaires, en vertu des lois du pays de destination pour la divulgation des données à caractère personnel transférées conformément à ces dispositions; une telle notification doit inclure des informations sur les données personnelles demandées, l'autorité requérante, la base juridique de la demande et la réponse fournie ; ou

‍

(ii) prend connaissance de tout accès direct des autorités publiques aux données à caractère personnel transférées en vertu de ces clauses conformément aux lois du pays de destination ; une telle notification doit inclure toutes les informations disponibles pour l'importateur.

‍

b)Si l’importateur de données est interdit d’informer l’exportateur de données et/ou les données visées par les lois du pays de destination, l'importateur de données accepte de faire tout ce qui est en son pouvoir pour obtenir une dérogation à l'interdiction, en vue de communiquer le plus d'informations possible, le plus rapidement possible. L'importateur de données s'engage à documenter ses efforts afin de pouvoir les démontrer à la demande de l'exportateur de données.

‍

(c)Lorsque les lois du pays de destination le permettent, l'importateur de données accepte de fournir à l'exportateur de données, à intervalles réguliers pour la durée du contrat, avec autant d'informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, type de données demandées, requérant autorité/ies, si les demandes ont été contestées et le résultat de ces défis, etc. .

‍

d)L’importateur de données s’engage à conserver les informations conformément aux alinéas a) à c) pendant la durée du contrat et à les mettre à la disposition de l’autorité de contrôle compétente sur demande.

‍

(e)Les alinéas a) à c) sont sans préjudice de l’obligation de l’importateur de données en vertu de l’alinéa 14e) et de l’alinéa 16 d’informer rapidement l’exportateur de données lorsqu’il n’est pas en mesure de se conformer aux présentes dispositions.

‍

15.2 Examen de la légalité et de la minimisation des données

‍

a)L'importateur de données accepte d'examiner la légalité de la demande de divulgation, en particulier si elle reste dans les compétences attribuées à l'autorité publique requérante, et de contester la demande si, après une évaluation minutieuse, il conclut qu'il y a des raisons raisonnables de considérer que la demande est illégale en vertu des lois du pays de destination, les obligations applicables en vertu du droit international et des principes de la courtoisie internationale. L'importateur de données poursuit, dans les mêmes conditions, des possibilités d'appel. Lorsque vous défiez une demande, l'importateur de données sollicite des mesures provisoires en vue de suspendre les effets de la demande jusqu'à ce que l'autorité judiciaire compétente ait statué sur ses mérites. Il ne divulguera pas les données personnelles demandées tant que cela ne sera pas exigé par les règles de procédure applicables. Ces exigences sont sans préjudice des obligations de l'importateur de données en vertu de l'article 14(e).

‍

b)L'importateur de données accepte de documenter son évaluation juridique et toute contestation à la demande de divulgation et, dans la mesure permise par les lois du pays de destination, mettez la documentation à la disposition de l’exportateur de données. Elle le mettra également à la disposition de l'autorité de contrôle compétente sur demande.

‍

(c)L'importateur de données accepte de fournir la quantité minimale d'information autorisée lorsqu'il répond à une demande de divulgation, selon une interprétation raisonnable de la demande.

‍

SECTION IV - PROVISIONS FINALES

‍

Clause 16

Non-respect des clauses et résiliation

‍

a)L’importateur de données informe rapidement l’exportateur de données s’il n’est pas en mesure de se conformer à ces dispositions, pour quelque raison que ce soit.

‍

b)Dans le cas où l'importateur de données enfreindrait ces clauses ou ne serait pas en mesure de se conformer à ces dispositions, l’exportateur de données suspendra le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que la conformité soit de nouveau assurée ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14(f).

‍

(c)L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement des données à caractère personnel aux termes des présentes dispositions, où:

‍

(i)l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données conformément au paragraphe b) et le respect de ces clauses n’est pas rétabli dans un délai raisonnable et en tout cas dans un délai d’un mois après la suspension;

‍

(ii) l’importateur de données est en violation substantielle ou persistante de ces clauses ; ou

‍

(iii) l’importateur de données ne se conforme pas à une décision contraignante d’un tribunal ou d’une autorité de surveillance compétente concernant ses obligations en vertu de ces dispositions.

‍

Dans ces cas, elle informe l'autorité de contrôle compétente de cette non-conformité. Lorsque le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la Partie concernée, sauf si les Parties en ont convenu autrement.

‍

(d)Les données à caractère personnel qui ont été transférées avant la résiliation du contrat conformément à l’alinéa c) seront immédiatement retournées à l’exportateur de données ou supprimées dans leur intégralité. Il en va de même pour les copies des données. L'importateur de données certifie la suppression des données à l'exportateur de données. Tant que les données ne seront pas supprimées ou retournées, l'importateur de données continuera à veiller au respect de ces dispositions. En cas de lois locales applicables à l'importateur de données qui interdisent le retour ou la suppression des données personnelles transférées, l'importateur de données garantit qu'il continuera à assurer la conformité avec ces clauses et ne traitera les données que dans la mesure et aussi longtemps que la loi locale l'exige.

‍

(e)Chacune des parties peut révoquer son accord à être lié par ces clauses lorsque (i) la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679, qui couvre le transfert des données à caractère personnel auxquelles s’appliquent ces clauses ; ou (ii) Le règlement (UE) 2016/679 fait partie du cadre juridique du pays vers lequel les données personnelles sont transférées. Cela est sans préjudice des autres obligations qui s'appliquent au traitement en question en vertu du règlement (UE) 2016/679.

‍

Cause 17

Droit de gouvernance

‍

Ces clauses sont régies par la loi de l'un des États membres de l'UE, à condition que cette loi autorise les droits des tiers bénéficiaires. Les parties conviennent que ce sera la loi de l'Irlande.

‍

Clause 18

Choix des forums et juridictions

‍

a)Tout litige découlant de ces clauses est résolu par les tribunaux d’un État membre de l’UE.

‍

b)Les parties conviennent que ce sont les tribunaux d’Irlande.

‍

(c)Une personne concernée peut également intenter une action en justice contre l’exportateur de données et/ou l’importateur de données devant les tribunaux de l’État membre de sa résidence habituelle.

‍

d)Les Parties acceptent de se soumettre à la juridiction de ces tribunaux.

‍

APPENDANT

ANNEX I
‍

R. LISTE DE PARTIES

Exportateur de données : [Identité et coordonnées de l'exportateur de données et, le cas échéant, de son agent de protection des données et/ou de son représentant dans l'Union européenne]

‍

Nom : Voir la première partie de l'annexe 1.

‍

Adresse: Voir la partie 1 de l'annexe 1

Le nom, le poste et les coordonnées de la personne de contact : Voir la partie 1 de l'annexe 1

‍

Activités relatives aux données transférées en vertu de ces dispositions: Voir la partie 1 de l'annexe 1

Signature et date : Les parties conviennent que l'exécution de l'accord concerné constituera l'exécution de ces CCN par les deux parties où aucun autre mécanisme de transfert valide n'est disponible.

Rôle (contrôleur/processeur) : Voir la Partie 1 du Schedule 1

‍

Data importer(s): [Identity and contact details of the data importer(s), including any contact person with responsibility for data protection]

Nom: Voir la première partie de l'annexe 1

Adresse: Voir la première partie de l'annexe 1

Le nom, le poste et les coordonnées de la personne de contact : Voir la partie 1 de l'annexe 1

Activités relatives aux données transférées en vertu de ces dispositions: Voir la partie 1 de l'annexe 1

Rôle (contrôleur/processeur) : Voir la Partie 1 du Schedule 1

‍

B. DESCRIPTION DE TRANSFERT

‍

Catégories de sujets dont les données personnelles sont transférées

Voir la partie 2 de l'annexe 1.

‍

Catégories de données personnelles transférées

Voir la partie 2 de l'annexe 1.

‍

Les données sensibles transférées (le cas échéant) et les restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques impliqués. comme par exemple une limitation de but stricte, restrictions d'accès (y compris l'accès uniquement pour le personnel ayant suivi une formation spécialisée), tenir un registre de l'accès aux données, des restrictions pour les transferts en cours ou des mesures de sécurité additionnelles.

Voir la partie 2 de l'annexe 1.

‍

La fréquence du transfert (par exemple, si les données sont transférées sur une base unique ou continue).

Voir la partie 2 de l'annexe 1.

‍

Nature de la transformation

Voir la partie 2 de l'annexe 1.

‍

Objectif(s) du transfert de données et du traitement ultérieur

Voir la partie 2 de l'annexe 1.

‍

La période pendant laquelle les données personnelles seront conservées ou, si ce n'est pas possible, les critères utilisés pour déterminer cette période

Voir la partie 2 de l'annexe 1.

‍

Pour les transferts aux (sous-traitants), spécifiez également le sujet, la nature et la durée du traitement

Voir la partie 5 de l'annexe 1.

‍

C. AUTORITÉ SUPPLÉMENTAIRE COMPÉTENTE

‍

Identifier l'autorité de contrôle compétente conformément à l'article 13.

Voir la partie 3 de l'annexe 1.

‍

ANNEX II

MEASURES TECHNIQUES ET ORGANISATIONALES Y COMPRIS LES MEASURES TECHNIQUES ET ORGANISATIONALES POUR ASSURER LA SÉCURITÉ DES DONNÉES

‍

Voir la partie 4 de l'annexe 1.

‍

MODULE 2 : CONTROLLER-À-PROCESSOR

‍

Section I

‍

Clause 1

Objectif et portée

‍

a)L’objectif de ces clauses contractuelles standard est d’assurer le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques en ce qui concerne le traitement des données à caractère personnel et la libre circulation de ces données (règlement général sur la protection des données) (6) pour le transfert de données vers un pays tiers.

‍

b)Les Parties:

‍

(i)les personnes physiques ou juridiques, les autorités publiques, les agences/ies ou tout autre organisme/ies (ci-après « entité/ies») qui transfèrent les données personnelles, telles qu’elles sont énumérées à l’annexe I. (ci-après chaque « exportateur de données ») et

‍

(ii) l'entité/ies dans un pays tiers recevant les données personnelles de l'exportateur de données, directement ou indirectement, via une autre entité, également Partie à ces dispositions, telle qu'elle est énumérée à l'annexe I. (ci-après chaque « importateur de données »)

‍

ont accepté ces clauses contractuelles normalisées (ci-après : « Clauses »).

‍

(c)Ces clauses s’appliquent en ce qui concerne le transfert de données à caractère personnel tel que précisé à l’annexe I.B.

‍

d)L’Annexe aux présentes clauses qui contiennent les annexes auxquelles il est fait référence fait partie intégrante de ces dispositions.

‍

Clause 2

Effet et et invariabilité des Clauses

‍

b)Ces clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.

‍

Clause 3

Bénéficiaires tiers

‍

(i)L'alinéa 1, alinéa 2, alinéa 3, alinéa 6, alinéa 7;

‍

(ii)Article 8.1(b), 8.9(a), (c), (d) et (e);

‍

(iii) Article 9(a), (c), (d) et (e);

‍

(iv) Clause 12(a), (d) et (f);

‍

(v) Article 13;

‍

(vi)Clause 15.1(c), (d) et (e);

‍

(vii) Clause 16(e);

‍

(viii) Article 18(a) et b).

‍

b)L’alinéa a) est sans préjudice des droits des personnes concernées par le règlement (CE) 2016/679.

‍

Clause 4

Interprétation

‍

a)Lorsque ces clauses utilisent des termes qui sont définis dans le règlement (UE) 2016/679, ces termes ont la même signification que dans ce règlement.

‍

b)Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.

‍

(c)Ces clauses ne sont pas interprétées d’une manière contraire aux droits et obligations prévus dans le règlement (UE) 2016/679.

‍

Clause 5

Hierarchy

‍

Clause 6

Description du ou des transfert(s)

‍

Clause 7

Clause d'amarrage optionnelle

‍

NON UTILISÉ

‍

SECTION II - OBLIGATIONS DES PARTIES

‍

Clause 8

Protection des données

‍

8.1 Instructions

‍

(a) L'importateur de données ne traitera les données personnelles que sur les instructions documentées de l'exportateur de données. L'exportateur de données peut donner ces instructions tout au long du contrat.

‍

b)L’importateur de données informe immédiatement l’exportateur de données s’il n’est pas en mesure de suivre ces instructions.

‍

8.2 Limitation d'objectif

‍

L'importateur de données traitera les données à caractère personnel uniquement aux fins spécifiques du transfert, telles qu'énoncées à l'annexe I. , sauf sur d'autres instructions de l'exportateur de données.

‍

8.3 Transparence

‍

Sur demande, l'exportateur de données fera une copie de ces clauses, y compris l’Annexe remplie par les Parties, accessible gratuitement aux données visées. Dans la mesure nécessaire pour protéger les secrets commerciaux ou d'autres informations confidentielles, y compris les mesures décrites à l'annexe II et les données personnelles, l'exportateur de données peut supprimer une partie du texte de l'annexe à ces Clauses avant d'en partager une copie, mais doit fournir un résumé significatif lorsque la personne concernée ne serait pas en mesure autrement de comprendre son contenu ou d'exercer ses droits. Sur demande, les Parties communiquent aux personnes concernées les motifs des redditions, dans la mesure du possible, sans révéler les informations retouchées. Cette clause est sans préjudice des obligations de l'exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.

‍

8.4 Précision

‍

Si l'importateur de données prend conscience que les données personnelles qu'il a reçues sont inexactes, ou est devenu obsolète, il en informera l'exportateur de données dans les plus brefs délais. Dans ce cas, l'importateur de données coopère avec l'exportateur de données pour effacer ou rectifier les données.

‍

8.5 Durée du traitement et de l'effacement ou du retour des données

‍

Le traitement par l'importateur de données ne doit avoir lieu que pour la durée spécifiée à l'annexe I.B. Après la fin de la fourniture des services de traitement, l'importateur de données doit, au choix de l'exportateur de données, supprimer toutes les données personnelles traitées au nom de l'exportateur de données et certifier à l'exportateur de données qu'il l'a fait, ou retourner à l'exportateur de données toutes les données personnelles traitées en son nom et supprimer les copies existantes. Tant que les données ne seront pas supprimées ou retournées, l'importateur de données continuera à veiller au respect de ces dispositions. En cas de lois locales applicables à l'importateur de données qui interdisent le retour ou la suppression des données personnelles, l'importateur de données garantit qu'il continuera à assurer la conformité avec ces clauses et ne les traitera que dans la mesure et aussi longtemps que la loi locale l'exige. C'est sans préjudice de la clause 14 notamment l'obligation pour l'importateur de données en vertu de l'article 14e) d'informer l'exportateur de données tout au long de la durée du contrat s'il a des raisons de croire qu'il est ou est devenu assujetti à des lois ou à des pratiques qui ne sont pas conformes aux exigences de l'article 14(a).

‍

8.6 Sécurité du traitement

‍

(a) L’importateur de données et, pendant la transmission, l’exportateur de données doivent également mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, y compris la protection contre une violation de sécurité entraînant une destruction accidentelle ou illégale, une perte, altération, divulgation non autorisée ou accès à ces données (ci-après « violation de données personnelles »). Pour évaluer le niveau de sécurité approprié, les Parties tiennent dûment compte de l'état des choses, des coûts de mise en oeuvre, la nature, la portée, le contexte et le(s) objectif(s) du traitement et les risques liés au traitement des données. Les Parties envisagent notamment d'avoir recours au cryptage ou à la pseudonymisation, y compris lors de la transmission, où les fins de traitement peuvent être remplies de cette manière. En cas de pseudonymisation, les informations supplémentaires pour l'attribution des données personnelles à une donnée spécifique visée, Si possible, demeurez sous le contrôle exclusif de l'exportateur de données. En se conformant à ses obligations en vertu du présent paragraphe, l'importateur de données met au moins en œuvre les mesures techniques et organisationnelles spécifiées à l'annexe II. L'importateur de données doit effectuer des contrôles réguliers pour s'assurer que ces mesures continuent d'offrir un niveau de sécurité approprié.

‍

b)L’importateur de données ne donne accès aux données personnelles aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, la gestion et le suivi du contrat. Elle veille à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée.

‍

(c) En cas de violation de données à caractère personnel concernant les données à caractère personnel traitées par l’importateur de données en vertu de ces dispositions, l'importateur de données doit prendre les mesures appropriées pour remédier à cette infraction, y compris les mesures visant à atténuer ses effets négatifs. L'importateur de données doit également notifier à l'exportateur de données sans délai injustifié après avoir pris connaissance de l'infraction. Cette notification doit contenir les coordonnées d'un point de contact où plus d'informations peuvent être obtenues, une description de la nature de la violation (incluant, dans la mesure du possible, les catégories et le nombre approximatif de sujets de données et d'enregistrements de données personnelles concernés), ses conséquences probables et les mesures prises ou proposées pour remédier à cette infraction, y compris, le cas échéant, des mesures visant à atténuer ses effets négatifs éventuels. Où et dans la mesure où il n'est pas possible de fournir toutes les informations en même temps, la notification initiale contiendra les informations alors disponibles et les informations supplémentaires seront communiquées ultérieurement dans les plus brefs délais.

‍

(d) L’importateur de données coopère et aide l’exportateur de données afin de permettre à l’exportateur de remplir ses obligations en vertu du règlement (UE) 2016/679, en particulier pour notifier l'autorité de contrôle compétente et les personnes concernées, en tenant compte de la nature du traitement et des informations dont dispose l'importateur de données.

‍

8.7 Données sensibles

‍

Transferts 8.8 en cours

‍

L'importateur de données ne divulguera les données personnelles qu'à un tiers sur des instructions documentées de l'exportateur de données. De plus, les données ne peuvent être divulguées qu'à un tiers situé en dehors de l'Union Européenne (7) (dans le même pays que l'importateur de données ou dans un autre pays tiers, ci-après « transfert en cours ») si le tiers est ou accepte d'être lié par ces Clauses, dans le Module approprié, ou si:

(i)le transfert vers un pays bénéficiant d’une décision d’adéquation conformément à l’article 45 du règlement (UE) 2016/679 qui couvre le transfert continu;

(ii) le tiers garantit par ailleurs des garanties appropriées conformément aux articles 46 ou 47 du règlement 2016/679 relatif au traitement en question;

(iii) le transfert en cours est nécessaire pour l'établissement, l'exercice ou la défense de revendications juridiques dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques ; ou

(iv) le transfert en cours est nécessaire afin de protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique.
‍

Tout transfert ultérieur est soumis à la conformité de l'importateur de données avec toutes les autres garanties prévues par ces dispositions, en particulier la limitation des finalités.

‍

8.9 Documentation et conformité

‍

a)L’importateur de données doit traiter rapidement et adéquatement les demandes de l’exportateur de données relatives au traitement aux termes des présentes dispositions.

b)Les Parties sont en mesure de démontrer leur conformité aux présentes Conditions. En particulier, l'importateur de données doit conserver la documentation appropriée sur les activités de traitement menées au nom de l'exportateur de données.

(c)L’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses et à la demande de l’exportateur de données. de permettre et de contribuer aux vérifications des activités de traitement visées par ces dispositions, à des intervalles raisonnables ou s'il y a des indications de non-conformité. En décidant d'un examen ou d'une vérification, l'exportateur de données peut tenir compte des certifications pertinentes détenues par l'importateur de données.

d)L’exportateur de données peut choisir de réaliser lui-même l’audit ou de mandater un vérificateur indépendant. Les vérifications peuvent comprendre des inspections dans les locaux ou les installations physiques de l'importateur de données et sont, le cas échéant, effectuées avec un préavis raisonnable.

(e)Les Parties transmettent les informations visées aux alinéas b) et c), y compris les résultats de tout audit, mis à la disposition de l'autorité de contrôle compétente sur demande.
‍

‍

Clause 9

Utilisation des sous-processeurs

‍

a)L’importateur de données dispose de l’autorisation générale de l’exportateur de données pour la participation de sous-processeur(s) d’une liste convenue. L'importateur de données doit informer par écrit l'exportateur de données de toute modification prévue à cette liste par l'ajout ou le remplacement de sous-processeurs au moins trente (30) jours à l'avance, accordant ainsi à l'exportateur de données suffisamment de temps pour pouvoir s'opposer à de telles modifications avant l'engagement du ou des sous-processeurs. L'importateur de données doit fournir à l'exportateur de données les informations nécessaires pour permettre à l'exportateur de données d'exercer son droit d'objection.

‍

(b) Lorsque l’importateur de données engage un sous-processeur pour mener à bien des activités de traitement spécifiques (au nom de l’exportateur de données), il le fera par le biais d'un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l'importateur de données aux termes de ces dispositions, y compris en ce qui concerne les droits des tiers bénéficiaires pour les sujets de données. (8) Les Parties conviennent qu'en se conformant à cette clause, l'importateur de données remplit ses obligations en vertu de l'article 8.8. L'importateur de données doit s'assurer que le sous-processeur respecte les obligations auxquelles l'importateur de données est assujetti en vertu de ces dispositions.

‍

(c)L'importateur de données doit fournir, à la demande de l'exportateur de données, une copie d'une telle entente de sous-traitement et de toute modification subséquente à l'exportateur de données. Dans la mesure nécessaire pour protéger les secrets commerciaux ou autres informations confidentielles, y compris les données personnelles, l'importateur de données peut modifier le texte de l'accord avant d'en partager une copie.

d)L’importateur de données reste entièrement responsable vis-à-vis de l’exportateur de données de l’exécution des obligations du sous-processeur en vertu de son contrat avec l’importateur de données. L'importateur de données notifiera à l'exportateur de données tout manquement de la part du sous-traitant à remplir ses obligations en vertu de ce contrat.

‍

(e)L'importateur de données doit accepter une clause bénéficiaire de tiers avec le sous-traitant par laquelle – dans le cas où l'importateur de données a disparu de factuellement, cessant d’exister dans la loi ou devenu insolvable – l’exportateur de données a le droit de résilier le contrat de sous-processeur et d’ordonner au sous-processeur d’effacer ou de retourner les données à caractère personnel.

‍

Cause 10

Droits du sujet des données

‍

(a) L'importateur de données notifiera rapidement à l'exportateur de données toute demande reçue d'un sujet de données. Elle ne peut répondre à cette demande elle-même que si elle a été autorisée à le faire par l'exportateur de données.

‍

b)L’importateur de données doit aider l’exportateur de données à remplir ses obligations de répondre aux demandes des sujets de données pour l’exercice de leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les Parties exposent à l'annexe II les mesures techniques et organisationnelles appropriées. compte tenu de la nature du traitement, par lequel l'assistance sera fournie, ainsi que la portée et l'étendue de l'aide requise.

‍

(c)Pour remplir ses obligations en vertu des alinéas a) et b), l’importateur de données se conforme aux instructions de l’exportateur de données.

‍

Clause 11

Redresser

‍

(c)Lorsque les données concernées invoquent un droit bénéficiaire de tiers conformément à l’Article 3, les données

l'importateur accepte la décision des données visées à :

‍

(ii) renvoyer le différend devant les tribunaux compétents au sens de la clause 18.

‍

(e)L’importateur de données se conforme à une décision contraignante en vertu du droit applicable de l’UE ou des États membres.

‍

Clause 12

Responsabilité

‍

(a)Chaque Partie est responsable envers l’autre Partie/ies de tout dommage qu’elle causera à l’autre Partie/ies par quelque violation que ce soit de ces Clauses.

‍

b)L'importateur de données sera responsable devant le sujet des données et les données concernées auront droit à une indemnisation, pour tout élément ou tout autre matériel endommageant l'importateur de données ou son sous-processeur entraîne les données concernées en violant les droits du tiers bénéficiaire en vertu de ces dispositions.

‍

(c)Nonobstant l’alinéa b), l’exportateur de données est responsable à l’égard de la personne concernée, et les données concernées ont droit à une indemnisation, pour tout matériel ou matériel endommageant l'exportateur de données ou l'importateur de données (ou son sous-processeur) cause les données concernées en violant les droits du tiers bénéficiaire en vertu de ces dispositions. Cela sans préjudice de la responsabilité de l'exportateur de données et, lorsque l'exportateur de données est un processeur agissant au nom d'un contrôleur, à la responsabilité du contrôleur en vertu du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, le cas échéant.

‍

d)Les Parties conviennent que si l’exportateur de données est tenu responsable en vertu de l’alinéa c) des dommages causés par l’importateur de données (ou son sous-processeur), l’importateur de données a le droit de réclamer cette partie de l’indemnisation correspondant à la responsabilité de l’importateur de données pour les dommages.

‍

(e)Lorsque plusieurs parties sont responsables de tout dommage causé aux données concernées par une violation de ces dispositions, toutes les Parties responsables sont conjointement et séparément responsables et les données concernées ont le droit d'intenter une action en justice contre l'une ou l'autre de ces Parties.

‍

f)Les Parties conviennent que si une Partie est tenue responsable en vertu de l’alinéa e), elle a le droit de demander à l'autre Parte/ies la partie de l'indemnisation qui lui correspond / leur responsabilité pour le dommage.

‍

(g) L'importateur de données ne peut pas invoquer la conduite d'un sous-processeur pour éviter sa propre responsabilité.

‍

Clause 13

Surveillance

‍

a)L’autorité de contrôle de l’un des États membres dans lesquels les données soumises dont les données personnelles sont transférées en vertu de ces clauses en relation avec l’offre de biens ou de services à leur intention, ou dont le comportement est contrôlé, sont situés, comme indiqué à l'annexe I. , agit en tant qu'autorité de contrôle compétente.
‍

‍

SECTION III - LOCALES LOIS ET OBLIGATIONS EN CAS D'ACCÈS PAR AUTORISATIONS PUBLIQUES

‍

Clause 14

Lois et pratiques locales affectant le respect des clauses

‍

b)Les Parties déclarent qu’en fournissant la garantie prévue à l’alinéa a), elles ont pris dûment en considération en particulier les éléments suivants:

‍

d)Les parties conviennent de documenter l’évaluation prévue à l’alinéa b) et de la mettre à la disposition de l’autorité de contrôle compétente sur demande.

‍

Cause 15

Obligations de l'importateur de données en cas d'accès par les autorités publiques

‍

Notification 15.1

‍

15.2 Révision de la légalité et de la minimisation des données

‍

(c)L'importateur de données accepte de fournir la quantité minimale d'information autorisée lorsqu'il répond à une demande de divulgation, selon une interprétation raisonnable de la demande.

‍

SECTION IV - PROVISIONS FINALES

‍

Clause 16

Non-respect des clauses et résiliation

‍

a)L’importateur de données informe rapidement l’exportateur de données s’il n’est pas en mesure de se conformer à ces dispositions, pour quelque raison que ce soit.

‍

(c)L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement des données à caractère personnel aux termes des présentes dispositions, où:

‍

(ii) l’importateur de données est en violation substantielle ou persistante de ces clauses ; ou

‍

Cause 17

Droit de gouvernance

‍

Clause 18

Choix des forums et juridictions

‍

a)Tout litige découlant de ces clauses est résolu par les tribunaux d’un État membre de l’UE.

‍

b)Les parties conviennent que ce sont les tribunaux d’Irlande.

‍

d)Les Parties acceptent de se soumettre à la juridiction de ces tribunaux.

‍

APPENDANT

ANNEX I

‍

R. LISTE DE PARTIES

‍

Nom : Voir la première partie de l'annexe 1.

Adresse: Voir la première partie de l'annexe 1

Le nom, le poste et les coordonnées de la personne de contact : Voir la partie 1 de l'annexe 1

Activités relatives aux données transférées en vertu de ces dispositions: Voir la partie 1 de l'annexe 1

Rôle (contrôleur/processeur) : Voir la Partie 1 du Schedule 1

‍

Data importer(s): [Identity and contact details of the data importer(s), including any contact person with responsibility for data protection]

Nom: Voir la première partie de l'annexe 1

Adresse: Voir la première partie de l'annexe 1

Le nom, le poste et les coordonnées de la personne de contact : Voir la partie 1 de l'annexe 1

Activités relatives aux données transférées en vertu de ces dispositions: Voir la partie 1 de l'annexe 1

Rôle (contrôleur/processeur) : Voir la Partie 1 du Schedule 1

‍

B. DESCRIPTION DE TRANSFERT

‍

Catégories de sujets dont les données personnelles sont transférées

Voir la partie 2 de l'annexe 1.

‍

Catégories de données personnelles transférées

Voir la partie 2 de l'annexe 1.

‍

Voir la partie 2 de l'annexe 1.

‍

La fréquence du transfert (par exemple, si les données sont transférées sur une base unique ou continue).

Voir la partie 2 de l'annexe 1.

‍

Nature de la transformation

Voir la partie 2 de l'annexe 1.

‍

Objectif(s) du transfert de données et du traitement ultérieur

Voir la partie 2 de l'annexe 1.

‍

La période pendant laquelle les données personnelles seront conservées ou, si ce n'est pas possible, les critères utilisés pour déterminer cette période

Voir la partie 2 de l'annexe 1.

‍

Pour les transferts aux (sous-traitants), spécifiez également le sujet, la nature et la durée du traitement

Voir la partie 5 de l'annexe 1.

‍

C. AUTORITÉ SUPPLÉMENTAIRE COMPÉTENTE

‍

Identifier l'autorité de contrôle compétente conformément à l'article 13.

Voir la partie 3 de l'annexe 1.

‍

ANNEX II

MEASURES TECHNIQUES ET ORGANISATIONALES Y COMPRIS LES MEASURES TECHNIQUES ET ORGANISATIONALES POUR ASSURER LA SÉCURITÉ DES DONNÉES

‍

Voir la partie 4 de l'annexe 1.

‍

ANNEX III

‍

LISTE DES SUB-PROCESSORS

‍

Voir la partie 5 de l'annexe 1.

‍

Addendum du Royaume-Uni pour le transfert de données internationales aux CCS de l'UE

‍

Ce supplément a été émis par le commissaire à l’information des parties qui effectuent des transferts restreints. Le commissaire à l’information estime qu’il fournit des garde-fous appropriés pour les transferts restreints lorsqu’il est conclu à titre de contrat juridiquement contraignant.

Partie 1 : Tables

‍

Tableau 1 : Parties

Start date	The date shall be the same as the date of the relevant agreement.
The Parties	Exporter (who sends the Restricted Transfer)	Importer (who receives the Restricted Transfer)
Parties’ details	See Part 1 of Schedule 1	See Part 1 of Schedule 1
Key Contact	See Part 1 of Schedule 1	See Part 1 of Schedule 1

‍

Tableau 2: SCCs, Modules et Clauses Sélectionnés

Addendum EU SCCs	☒ The version of the Approved EU SCCs which this Addendum is appended to, detailed below, including the Appendix Information: Date: The date shall be the same as the date of the relevant agreement Reference (if any): Module 1: Controller-to-Controller and Module 2: Controller-to-Processor Other identifier (if any): Not used

‍

Tableau 3 : Annexe d'information

“Appendix Information” means the information which must be provided for the selected modules as set out in the Appendix of the Approved EU SCCs (other than the Parties), and which for this Addendum is set out in:

Annex 1A: List of Parties: Part 1 of Schedule 1
Annex 1B: Description of Transfer: Part 2 of Schedule 1
Annex II: Technical and organisational measures including technical and organisational measures to ensure the security of the data: Part 4 of Schedule 1

‍

Tableau 4 : Mettre fin à cet ajout lorsque les modifications approuvées de l'addenda

Ending this Addendum when the Approved Addendum changes	Which Parties may end this Addendum as set out in Section ‎19: ☒ Importer ☒ Exporter ☐ neither Party

‍

Partie 2 : Clauses obligatoires

Mandatory Clauses	Part 2: Mandatory Clauses of the Approved Addendum, being the template Addendum B.1.0 issued by the ICO and laid before Parliament in accordance with s119A of the Data Protection Act 2018 on 28 January 2022, as it is revised under Section ‎‎18 of those Mandatory Clauses.

‍

ÉCHOUDURE 1

‍

DESCRIPTION DU TRANSFERT

‍

La partie 1, partie 2, partie 3 et partie 4 de cette annexe fait partie des CCN de l'UE (Module 1 et Module 2)

‍

Partie 1, Partie 2, Partie 3 et Partie 4 de cette Annexe fait partie des CCS du Royaume-Uni

‍

PARTIE 1

‍

EXPORTEURS DE DONNÉES ET IMPORTEURS DE DONNÉES

‍

EXPORTEURS DE DONNÉES

‍

Les exportateurs de données sont:

‍

Tous les contrôleurs et processeurs établis dans l'EEE et/ou le Royaume-Uni qui transfèrent des données à caractère personnel à un destinataire de données établi en dehors de l'EEE, le Royaume-Uni ou un pays adéquat, tel que précisé dans l'accord pertinent, y compris GVE Global Vision Inc. dont le siège social est situé au 16800 Rte Transcanadienne, Kirkland, Québec, H9H 4M7, Canada.

Rôle (contrôleur/processeur):

(1)Module 1: Contrôleur
Contrôleur

(2) Module 2 : Contrôleur du contrôleur ou du processeur

‍

IMPORTEURS DE DONNÉES

‍

Les importateurs de données sont:

‍

Tous les contrôleurs et processeurs établis en dehors de l'EEE et/ou du Royaume-Uni vers lesquels les données personnelles sont transférées par les contrôleurs et les processeurs établis dans l'EEE, le Royaume-Uni ou qui accèdent aux données à caractère personnel en dehors de l'EEE, du Royaume-Uni ou d'un pays adéquat, tel que précisé dans l'entente pertinente, y compris GVE Global Vision Inc. dont le siège social est situé au 16800 Rte Transcanadienne, Kirkland, Québec, H9H 4M7, Canada.

‍

Rôle (contrôleur/processeur):

‍

1)Module 1: Contrôleur-contrôleur

Contrôleur

‍

(2) Module 2 : Contrôleur vers Processeur

Contrôleur ou Processeur

‍

ACTIVITÉS RELATIVEMENT AU TRANSFERT

‍

L'exploitation de l'entreprise de GVE Global Vision Inc. nécessite le transfert transfrontalier ou les données personnelles entre les exportateurs de données et les importateurs de données.

‍

CONTACTER POINT POUR LES ENQURIES DE PROTECTION DE DONNÉES

‍

GVE Global Vision Inc.

Par email: privacy@globalvision.co

Par courrier postal: GVE Global Vision Inc.

Attn: Département Conformité

16800 Route Trans-Canada

Kirkland, Québec, H9H 4M7

Le Canada

‍

Notre Responsable de la protection des données, ou Responsable de la protection de la vie privée, qui est le Directeur de la gouvernance, Les risques et la conformité peuvent être contactés à l'adresse électronique ou postale indiquée ci-dessus.

‍

PARTIE 2

DESCRIPTION DU PROCESSING ET DE TRANSFERT

‍

Catégories de sujets dont les données personnelles sont transférées

Les données personnelles traitées et transférées concernent le follocatégories ailes de sujets de données :

Clients professionnels et utilisateurs autorisés
Visiteurs du site web

‍

Catégories de données personnelles transférées

Les données personnelles traitées et transférées concernent les catégories suivantes de données :

Identification et coordonnées
Données de compte et d'authentification
Utilisation, appareil et données techniques

‍

Sensitia transféré les données (le cas échéant) et appliqué des restrictions ou des protections qui prennent pleinement en considération la nature des données et les risques impliqués. comme par exemple une limitation de but stricte, restrictions d'accès (y compris l'accès uniquement pour le personnel ayant suivi une formation spécialisée), tenir un registre de l'accès aux données, des restrictions pour les transferts en cours ou des mesures de sécurité additionnelles.

Non traité intentionnellement.

‍

Les mesures techniques et organisationnelles relatives aux données sensibles sont énoncées à la partie 4 de l'annexe 1.

‍

La fréquence du transfert (par exemple, si les données sont transférées sur une base unique ou continue).

La fréquence des transferts de données à caractère personnel entre l'exportateur de données et l'importateur de données sera en cours pendant la durée de l'accord entre l'exportateur de données et l'importateur de données ou occasionnellement pour les visiteurs du site Web.

‍

Nature de la transformation

La nature du traitement inclut (dans chaque cas, si nécessaire aux fins énoncées ci-dessous) :

Collecter, recevoir, recevoir, peindre, accéder, examiner, organiser, structurer, modifier, adapter, analyser et utiliser les données personnelles
Enregistrement, stockage, archivage et suppression des données personnelles
Divulger, transférer et partager des données personnelles (y compris avec les importateurs de données et leurs partenaires et leur personnel ; des fournisseurs de services tiers des importateurs de données et du personnel de ces fournisseurs de services tiers ; organes juridiques et réglementaires, tribunaux, tribunaux, organismes gouvernementaux et organismes d'application de la loi; conseillers professionnels, vérificateurs et consultants; organisations financières et conseillers
Tel qu'autrement requis pour les fins énoncées ci-dessous.

‍

Objectif(s) du transfert de données et du traitement ultérieur

Le traitement et le transfert des données personnelles sont effectués dans les buts suivants :

Fournir nos produits et fournir nos services
Fournir un service client
Améliorer nos produits et services
Analyse de l'adoption des utilisateurs
Surveillance de l'utilisation
Sending marketing communications
Organiser des événements
Maintien de la sécurité de nos produits et services
Se conformer à nos obligations légales

‍

La période pendant laquelle les données personnelles seront conservées ou, si ce n'est pas possible, les critères utilisés pour déterminer cette période

Les délais de conservation des données à caractère personnel seront déterminés compte tenu des exigences de la loi applicable et du but pour lequel les données personnelles sont traitées, en tenant compte des obligations légales et réglementaires, des délais de prescription pour prendre des mesures juridiques, des bonnes pratiques et de GVE Global Vision Inc. s fins professionnelles.

‍

Pour les transferts aux (sous-traitants), précisez également le sujet, la nature et la durée du traitement.

‍

Module 1 : Contrôleur à contrôler

Non applicable

‍

Module 2 : Contrôleur vers Processeur

La finalité, la nature et la durée des transferts aux processeurs et aux sous-processeurs est telle que décrite ci-dessus, sous réserve des exigences du Module 2 : Contrôleur aux SCC.

‍

PARTIE 3

‍

AUTORITÉ SUPPLÉMENTAIRE COMPÉTENTE (EU SCCS)

‍

Aux fins de l'Article 13 des CCN de l'UE, L'autorité de contrôle compétente ainsi que la loi et la juridiction régissant les CCP de l'UE sont réputées être celles de l'Irlande.

‍

4e étape

‍

MEASURES TECHNIQUES ET ORGANISATIONALES Y COMPRIS LES MEASURES TECHNIQUES ET ORGANISATIONALES POUR ASSURER LA SÉCURITÉ DES DONNÉES

‍

GVE Global Vision Inc. a mis en œuvre les mesures techniques et organisationnelles suivantes pour assurer la sécurité des données personnelles :

‍

Mesures de cryptage des données personnelles

GVE Global Vision Inc. protège les données personnelles par une combinaison de chiffrement fort (au repos et en transit), les contrôles d'accès et les politiques organisationnelles, conformes aux normes de l'industrie et à la réglementation de la protection des renseignements personnels.

‍

Mesures pour garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement

GVE Global Vision Inc. garantit la confidentialité, l'intégrité, la disponibilité et la résilience de ses systèmes et services de traitement par une approche à plusieurs niveaux de technique, les contrôles organisationnels et procéduraux, alignés sur les meilleures pratiques et régulièrement révisés en vue de leur efficacité.

‍

Mesures visant à assurer la capacité de restaurer la disponibilité et l'accès aux données personnelles en temps opportun en cas d'incident physique ou technique

GVE Global Vision Inc. a établi des objectifs de RTO et de RPO. Sur la base de ces objectifs fixés, la protection et la restauration de l'accès et des données personnelles sont à partir de sauvegardes. Ces sauvegardes font partie d'un plan holistique de continuité des activités. Ce plan est testé à intervalles réguliers.

‍

Processus pour tester, évaluer et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles afin d'assurer la sécurité du traitement

GVE Global Vision Inc. assure l'efficacité continue de ses mesures de sécurité techniques et organisationnelles par le biais d'un programme structuré d'audits, les évaluations de vulnérabilité, les tests de pénétration, les examens de politiques, les sessions de haut de gamme, la formation des employés et les rapports réguliers de gestion. Ces processus sont documentés, régulièrement mis à jour et conformes aux normes internationales. GVE Global Vision Inc. est certifié ISO 27001 et ISO 9001.

‍

Mesures d'identification et d'autorisation de l'utilisateur

GVE Global Vision Inc. assure une identification et une autorisation sécurisées des utilisateurs grâce à des identifiants d'utilisateur uniques, une gestion centralisée des identités, RBAC, une authentification forte (y compris MFA), des revues régulières d'accès et un suivi complet. Ces mesures sont régies par des politiques documentées et une formation régulière.

‍

Mesures pour assurer la sécurité physique des lieux où les données personnelles sont traitées

GVE Global Vision Inc. assure la sécurité physique des lieux qui traitent les données personnelles par le biais d'un accès restreint, des contrôles électroniques d'entrée, la surveillance, la protection de l'environnement, la gestion sécurisée de l'équipement, les vérifications régulières et la formation des employés. Ces mesures sont régies par des politiques formelles et sont conformes aux normes internationales. Global Vision est certifiée ISO 27001 et ISO 9001.

‍

Mesures pour assurer la journalisation des événements

GVE Global Vision Inc. veille à ce que les systèmes soient surveillés par différents sous-ensembles d’outils. Les journaux sont stockés et maintenus en fonction de la politique de conservation des données de Global Vision.

‍

Mesures pour assurer la configuration du système, y compris la configuration par défaut

GVE Global Vision Inc. assure la configuration sécurisée du système en imposant des lignes de base durcies, en révisant et en mettant à jour les paramètres par défaut, en utilisant des outils de configuration automatisés et de gestion des correctifs appliquer des politiques de contrôle de l'accès, effectuer des vérifications et maintenir une documentation complète et une formation du personnel.

‍

Mesures de gouvernance et de gestion de la sécurité informatique interne et informatique

GVE Global Vision Inc. , la gouvernance interne des technologies de l'information et de la sécurité informatique repose sur des rôles clairs, des politiques, la gestion des risques, la conformité aux normes, un suivi continu, une gestion formelle des changements, une formation régulière, une gestion des fournisseurs et des audits et améliorations continus.

‍

Mesures de certification/assurance des processus et des produits

GVE Global Vision Inc. assure la certification et l'assurance de ses processus et produits en s'alignant sur les normes internationales telles que ISO 27001 (sécurité de l'information) et ISO 9001 (gestion de la qualité), des vérifications internes et externes régulières, des évaluations indépendantes par des tiers, des pratiques sécurisées de développement et de qualité, des politiques formelles et un engagement à une amélioration continue.

‍

Mesures pour garantir la qualité des données

GVE Global Vision Inc. assure la qualité des données par le biais de contrôles de validation, de revues régulières, de mécanismes de correction, de restrictions d'accès, de pistes de vérification, de formation du personnel et de politiques formelles.

‍

Mesures pour assurer une rétention limitée des données

Les données sont supprimées à tout moment sur demande écrite du client.

‍

Mesures pour assurer la responsabilité

GVE Global Vision Inc. assurer la responsabilité par le biais de contrôles d'accès (RBAC, authentification, examens d'accès, pistes de vérification, ségrégation des devoirs), une gouvernance claire, des politiques globales formation obligatoire, documentation approfondie, évaluations et audits réguliers des risques, signalement d'incident, amélioration continue et gestion tierce stricte.

‍

PARTIE 5

‍

PROCESSEURS PROCESSEURS

‍

Une liste des sous-processeurs de GVE Global Vision Inc. est accessible via le lien suivant : https://trust.globalvision.co/subprocessors

‍

¹ Lorsque l'exportateur de données est un processeur soumis au règlement (UE) 2016/679 agissant au nom d'une institution ou d'un organisme de l'Union en tant que contrôleur, s'appuyer sur ces clauses lors de l'engagement d'un autre processeur (sous-traitement) non soumis au règlement (UE) 2016/679 garantit également le respect de l'article 29, paragraphe 4, du règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques en ce qui concerne le traitement des données à caractère personnel par les institutions de l'Union. organes, bureaux et agences et sur la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (JO L 295, 21. 1 2018, p. 39), dans la mesure où les présentes clauses et les obligations en matière de protection des données énoncées dans le contrat ou autre acte juridique entre le contrôleur et le processeur en vertu de l'article 29(3) du règlement (UE) 2018/1725 sont alignées. Ce sera notamment le cas lorsque le contrôleur et le transformateur se fieront aux clauses contractuelles normalisées incluses dans la décision 2021/915.

² Cela nécessite de rendre les données anonymes de manière à ce que l'individu ne soit plus identifiable par personne, conformément au considérant 26 du règlement (UE) 2016/679, et que ce processus est irréversible.

³ L'accord sur l'Espace économique européen (accord EEE) prévoit l'extension du marché intérieur de l'Union européenne aux trois États de l'EEE l'Islande, Le Liechtenstein et la Norvège. La législation de l'Union en matière de protection des données, y compris le règlement UE 2016/679, est couverte par l'accord EEE et a été incorporée à l'annexe XI. Par conséquent, toute divulgation par l’importateur de données à une tierce partie située dans l’EEE ne constitue pas un transfert en cours aux fins de ces dispositions.

⁴ Cette période peut être prolongée d'un maximum de deux mois supplémentaires, dans la mesure nécessaire compte tenu de la complexité et du nombre de requêtes. L'importateur de données informera immédiatement et en temps opportun les données visées par une telle extension.

⁵ En ce qui concerne l'impact de telles lois et pratiques sur le respect de ces dispositions, différents éléments peuvent être considérés dans le cadre d'une évaluation globale. Ces éléments peuvent inclure une expérience pratique pertinente et documentée avec des cas antérieurs de demandes de divulgation des autorités publiques. ou l'absence de telles demandes, couvrant un calendrier suffisamment représentatif. Il s'agit en particulier des enregistrements internes ou d'autres documentations, élaborée sur une base continue conformément à la diligence raisonnable et certifiée au niveau de la haute direction, à condition que ces renseignements puissent être légalement partagés avec des tiers. Lorsque cette expérience pratique est basée sur la conclusion que l'importateur de données ne sera pas empêché de se conformer à ces dispositions, il doit être soutenu par d'autres éléments pertinents et objectifs, et il appartient aux Parties d'examiner attentivement si ces éléments ont un poids suffisant, en termes de fiabilité et de représentativité, pour appuyer cette conclusion. En particulier, les parties doivent prendre en considération la question de savoir si leur expérience pratique est corroborée et non contredite par la disponibilité publique ou par ailleurs accessible, des informations fiables sur l'existence ou l'absence de demandes dans le même secteur et/ou l'application de la loi en pratique, comme la jurisprudence et les rapports par des organes de surveillance indépendants.

⁶ Lorsque l'exportateur de données est un processeur soumis au règlement (UE) 2016/679 agissant au nom d'une institution ou d'un organisme de l'Union en tant que contrôleur, s'appuyer sur ces clauses lors de l'engagement d'un autre processeur (sous-traitement) non soumis au règlement (UE) 2016/679 garantit également le respect de l'article 29, paragraphe 4, du règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques en ce qui concerne le traitement des données à caractère personnel par les institutions de l'Union. organes, bureaux et agences et sur la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (JO L 295, 21. 1 2018, p. 39), dans la mesure où les présentes clauses et les obligations en matière de protection des données énoncées dans le contrat ou autre acte juridique entre le contrôleur et le processeur en vertu de l'article 29(3) du règlement (UE) 2018/1725 sont alignées. Ce sera notamment le cas lorsque le contrôleur et le transformateur se fieront aux clauses contractuelles normalisées incluses dans la décision 2021/915.

⁷ L'accord sur l'Espace économique européen (accord EEE) prévoit l'extension du marché intérieur de l'Union européenne aux trois États de l'EEE l'Islande, Le Liechtenstein et la Norvège. La législation de l'Union en matière de protection des données, y compris le règlement UE 2016/679, est couverte par l'accord EEE et a été incorporée à l'annexe XI. Par conséquent, toute divulgation par l’importateur de données à une tierce partie située dans l’EEE ne constitue pas un transfert en cours aux fins de ces dispositions. bail supprimez la note de bas de page que vous avez ajoutée sous la clause 8.9 du module 2

⁸ Cette exigence peut être satisfaite par le sous-processeur accédant à ces clauses dans le module approprié, conformément à l'Article 7.

⁹ En ce qui concerne l'impact de telles lois et pratiques sur le respect de ces dispositions, différents éléments peuvent être considérés dans le cadre d'une évaluation globale. Ces éléments peuvent inclure une expérience pratique pertinente et documentée avec des cas antérieurs de demandes de divulgation des autorités publiques. ou l'absence de telles demandes, couvrant un calendrier suffisamment représentatif. Il s'agit en particulier des enregistrements internes ou d'autres documentations, élaborée sur une base continue conformément à la diligence raisonnable et certifiée au niveau de la haute direction, à condition que ces renseignements puissent être légalement partagés avec des tiers. Lorsque cette expérience pratique est basée sur la conclusion que l'importateur de données ne sera pas empêché de se conformer à ces dispositions, il doit être soutenu par d'autres éléments pertinents et objectifs, et il appartient aux Parties d'examiner attentivement si ces éléments ont un poids suffisant, en termes de fiabilité et de représentativité, pour appuyer cette conclusion. En particulier, les parties doivent prendre en considération la question de savoir si leur expérience pratique est corroborée et non contredite par la disponibilité publique ou par ailleurs accessible, des informations fiables sur l'existence ou l'absence de demandes dans le même secteur et/ou l'application de la loi en pratique, comme la jurisprudence et les rapports par des organes de surveillance indépendants.

CLASSES CONTRACTUELLES DE COMMISSION EU (EU SCCs) ET ADDENDUM UK

MODULE 1 : CONTROLLER-À-CONTROLLER

Section I

Clause 1

Clause 2

Clause 3

Clause 4

Clause 5

Clause 6

Clause 7

SECTION II - OBLIGATIONS DES PARTIES

Clause 8

8.1 Limitation d'objectif

8.2 Transparence

8.3 Précision et réduction des données

8.4 Limitation de stockage

8.5 Sécurité du traitement

8.6 Données sensibles

8.7 Transferts en cours

8.8 Traitement sous l'autorité de l'importateur de données

8.9 Documentation et conformité

Clause 9

Clause 10

Clause 11

Clause 12

Clause 13

SECTION III - LOCALES LOIS ET OBLIGATIONS EN CAS D'ACCÈS PAR AUTORISATIONS PUBLIQUES

Clause 14

Clause 15

Notification 15.1

15.2 Examen de la légalité et de la minimisation des données

SECTION IV - PROVISIONS FINALES

Clause 16

Cause 17

Clause 18

APPENDANT

ANNEX I‍

ANNEX II

MODULE 2 : CONTROLLER-À-PROCESSOR

Section I

Clause 1

Clause 2

Clause 3

Clause 4

Clause 5

Clause 6

Clause 7

SECTION II - OBLIGATIONS DES PARTIES

Clause 8

8.1 Instructions

8.2 Limitation d'objectif

8.3 Transparence

8.4 Précision

8.5 Durée du traitement et de l'effacement ou du retour des données

8.6 Sécurité du traitement

8.7 Données sensibles

Transferts 8.8 en cours

8.9 Documentation et conformité

Clause 9

Cause 10

Clause 11

Clause 12

Clause 13

SECTION III - LOCALES LOIS ET OBLIGATIONS EN CAS D'ACCÈS PAR AUTORISATIONS PUBLIQUES

Clause 14

Cause 15

Notification 15.1

SECTION IV - PROVISIONS FINALES

Clause 16

Cause 17

Clause 18

APPENDANT

ANNEX I

ANNEX II

MEASURES TECHNIQUES ET ORGANISATIONALES Y COMPRIS LES MEASURES TECHNIQUES ET ORGANISATIONALES POUR ASSURER LA SÉCURITÉ DES DONNÉES

‍

ANNEX III

LISTE DES SUB-PROCESSORS

Addendum du Royaume-Uni pour le transfert de données internationales aux CCS de l'UE

ÉCHOUDURE 1

ANNEX I
‍