Cet accord de traitement des données ("DPA") complète les conditions d'utilisation, qui sont mises à jour de temps à autre entre vous (avec les filiales et les sociétés affiliées, collectivement, "Client") et Claspo.io (avec sa (ses) filiale(s), conjointement appelé "Claspo.io") lorsque le GDPR s'applique à l'utilisation par le Client des Services Claspo.io pour traiter les données du Client.
Le présent DPA entre en vigueur à la date à laquelle le client accepte les conditions d'utilisation. En cas de conflit entre le présent DPA et les conditions d'utilisation, les dispositions pertinentes du présent DPA prévalent.
Veuillez contacter notre délégué à la protection des données (DPD) à l'adresse suivante info@claspo.io si vous avez besoin de conseils ou de recommandations sur l'interprétation ou l'application des règles de protection des données.
ET
Le présent accord (l'"Accord sur le traitement des données") s'applique à votre traitement des données personnelles fournies à Claspo.io par le client, comme spécifié dans l'accord signé entre Claspo.io et le client à la date à laquelle le client accepte les conditions d'utilisation (l'"Accord").
Le présent Accord sur le traitement des données est soumis aux conditions de l'Accord et est incorporé à l'Accord. Sauf indication contraire dans le présent Accord sur le traitement des données, en cas de conflit entre les termes de l'Accord et les termes du présent Accord sur le traitement des données, les termes pertinents du présent Accord sur le traitement des données prévalent.
Les termes en majuscules qui ne sont pas autrement définis dans le présent Accord sur le traitement des données ont la signification qui leur est attribuée dans l'Accord.
On entend par "client" ou "contrôleur" le client.
La "directive" désigne la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, telle que modifiée, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
"Clauses types" : les clauses contractuelles types annexées à la décision 2021/914/UE de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en application du règlement (UE) 2016/679 du Parlement européen et du Conseil (transferts du responsable du traitement au sous-traitant), telles qu'elles peuvent être modifiées, annulées ou remplacées de temps à autre.
Les "Données Personnelles" désignent toute information relative à une personne physique identifiée ou identifiable que (i) le Client ou toute personne agissant pour le compte du Client fournit à Claspo.io ou (ii) Claspo.io traite dans le cadre des services fournis au titre du Contrat. Une personne physique identifiée ou identifiable (une "Personne concernée") est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l'identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique.
"Traitement" désigne toute opération ou ensemble d'opérations effectuées par Claspo.io dans le cadre du Contrat sur des Données Personnelles, que ce soit ou non par des moyens automatisés, tels que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.
"Processeur" ou "Claspo.io" désigne l'entité mentionnée ci-dessus.
"Sous-traitant" désigne un tiers sous-traitant engagé par Claspo.io qui, dans le cadre du rôle du sous-traitant de fournir les services en vertu de l'accord, traitera les données personnelles appartenant au client.
Le " Règlement " désigne le Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
Les autres termes ont la définition qui leur est donnée dans l'accord ou qui est précisée ci-dessous.
Les types de données personnelles de l'entreprise à traiter :
A. Clients et utilisateurs : données d'identification et de contact (nom, adresse, titre, coordonnées, nom d'utilisateur) ; informations financières (coordonnées du compte, informations sur les paiements) ; données relatives à l'emploi (employeur, titre du poste, situation géographique, domaine de responsabilité);
B. Abonnés : données d'identification et de contact (nom, date de naissance, sexe, généralités, profession ou autres informations démographiques, adresse, titre, coordonnées, y compris l'adresse électronique), intérêts ou préférences personnels (y compris l'historique des achats, les préférences marketing) ; informations informatiques (adresses IP, données d'utilisation, données des cookies, données de navigation en ligne, données de localisation, données du navigateur).
Le traitement de catégories particulières de données à caractère personnel est interdit.
Les données sont transférées en continu.
Le traitement des données consiste à collecter, trier, sauvegarder, transférer, restreindre et supprimer les données du contrôleur afin de fournir des communications marketing pertinentes.
La finalité du traitement est d'aider le responsable du traitement à fournir des communications marketing pertinentes.
Les données à caractère personnel seront traitées et conservées aussi longtemps que l'exécution de l'accord est nécessaire et seront supprimées à la demande du responsable du traitement et conformément aux instructions de ce dernier.
Pendant la durée du contrat, le client peut donner des instructions à Claspo.io en plus de celles spécifiées dans le contrat en ce qui concerne le traitement des données personnelles. Claspo.io se conformera à toutes ces instructions sans frais supplémentaires dans la mesure où cela est nécessaire pour que Claspo.io se conforme aux lois applicables à Claspo.io en tant que responsable du traitement des données dans le cadre de l'exécution du contrat.
Claspo.io informera immédiatement le client si, de l'avis de Claspo.io, une instruction enfreint la directive, le règlement ou d'autres dispositions applicables en matière de protection des données ou de la vie privée.
The control of Personal Data remains with Customer, and as between Customer and Claspo.io, Customer will at all times remain the data controller for the purposes of the Agreement and this Data Processing Agreement. Customer is responsible for compliance with its obligations as a data controller under data protection laws, in particular for its decisions and actions concerning the Processing and use of the data.
Claspo.io undertakes to assist Customer in responding to the requests of data subjects exercising their rights to access, to rectify, to erase, to restrict, to data portability, or to object.
Le contrôle des Données Personnelles reste entre les mains du Client, et entre le Client et Claspo.io, le Client restera à tout moment le responsable du traitement des données aux fins de l'Accord et du présent Accord de Traitement des Données. Le Client est responsable du respect de ses obligations en tant que responsable du traitement des données en vertu des lois sur la protection des données, en particulier pour ses décisions et actions concernant le traitement et l'utilisation des données.
En plus des autres dispositions du présent accord sur le traitement des données, Claspo.io s'engage à :
Claspo.io traitera toutes les données personnelles conformément aux exigences de l'accord et du présent accord sur le traitement des données dans tous les lieux du monde.
Dans la mesure où des Données Personnelles provenant de l'EEE sont transférées par le Client à Claspo.io, ou à l'un des Sous-Traitants de Claspo.io situés dans des pays en dehors de l'EEE qui n'ont pas reçu de décision d'adéquation contraignante de la Commission européenne en vertu des articles 25(6) et 31(2) de la Directive ou, alternativement, en vertu de l'article 45 du Règlement ou par une autorité nationale compétente en matière de protection des données, ces transferts doivent être gérés comme suit :
Aucun transfert vers un pays situé en dehors de l'EEE ne doit être effectué sans l'accord écrit préalable du client.
Claspo.io ne peut sous-traiter aucune des opérations de traitement effectuées pour le compte du client en vertu du contrat sans l'accord écrit préalable du client.
Le client accepte expressément que Claspo.io utilise les sous-traitants énumérés à l'annexe 1.
Lorsque Claspo.io fait appel à des sous-traitants avec le consentement du client, Claspo.io ne le fait que par le biais d'un accord écrit avec le sous-traitant, qui impose au sous-traitant les mêmes obligations que celles imposées à Claspo.io dans le cadre du présent accord sur le traitement des données.
Claspo.io reste responsable à tout moment du respect des conditions de l'accord et du présent accord de traitement des données par les sous-traitants de Claspo.io.
Le client peut demander à Claspo.io d'auditer le Sous-Traitant ou de fournir la confirmation qu'un tel audit a eu lieu (ou, le cas échéant, d'obtenir ou d'aider le client à obtenir un rapport d'audit tiers concernant les opérations du Sous-Traitant) afin de s'assurer du respect de ses obligations. Le client aura également le droit, sur demande écrite, de recevoir des copies des conditions pertinentes de l'accord de Claspo.io avec les sous-traitants qui peuvent traiter des données à caractère personnel.
Lorsqu'elle traite des données personnelles pour le compte du client dans le cadre du contrat, Claspo.io garantit qu'elle a mis en œuvre et qu'elle maintiendra des mesures de sécurité techniques et organisationnelles appropriées pour le traitement de ces données, y compris les mesures spécifiées à l'annexe 2.
Ces mesures visent à protéger les données à caractère personnel contre la perte, la destruction, l'altération, la divulgation ou l'accès accidentels ou non autorisés, ainsi que contre toute autre forme de traitement illicite. Des informations supplémentaires concernant ces mesures peuvent être spécifiées dans l'accord.
Claspo.io s'engage à documenter la mise en œuvre des mesures techniques et organisationnelles, à fournir cette documentation au client sur demande et à lui présenter toute mise à jour de cette documentation.
Le client peut vérifier, à ses propres frais, que Claspo.io respecte les conditions de l'accord et du présent accord sur le traitement des données. Si l'audit est confié à un tiers, celui-ci doit faire l'objet d'un accord mutuel entre le client et Claspo.io et doit signer un accord de confidentialité écrit avant de procéder à l'audit.
Pour demander un audit, le client doit soumettre à Claspo.io, au moins deux semaines avant la date d'audit proposée, un plan d'audit décrivant l'étendue, la durée et la date de début de l'audit. Claspo.io examinera le plan d'audit et fera part au client de ses préoccupations ou de ses questions. Claspo.io s'engage à collaborer avec le client pour convenir d'un plan d'audit définitif.
L'audit sera effectué pendant les heures de travail normales dans l'établissement concerné et ne doit pas interférer de manière déraisonnable avec les activités commerciales de Claspo.io.
Le client fournira à Claspo.io une copie de tous les rapports d'audit générés dans le cadre d'un audit en vertu du présent article, sauf si la loi l'interdit. Le Client ne peut utiliser les rapports d'audit que dans le but de répondre à ses exigences d'audit réglementaire et/ou de confirmer le respect des exigences de l'Accord, du présent Accord sur le traitement des données et de la loi applicable. Les rapports d'audit constituent des informations confidentielles pour les parties, conformément aux dispositions de l'Accord.
Claspo.io s'engage à fournir une assistance raisonnable dans le cadre de tout audit mené par le Client.
Claspo.io accepte que l'autorité compétente en matière de protection des données ait le droit de procéder à une inspection de Claspo.io et de tout sous-traitant.
Claspo.io s'engage à mettre à la disposition du Client et/ou de l'autorité compétente en matière de protection des données toutes les informations nécessaires pour démontrer le respect des obligations prévues par le présent Accord sur le traitement des données et le droit applicable, et à coopérer pleinement avec le Client et/ou toute autorité compétente en matière de protection des données dans le cadre de tout audit et/ou inspection.
Aux fins de la présente section, on entend par "violation de la sécurité" une violation de la sécurité entraînante accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles transmises, stockées ou traitées d'une autre manière sur les systèmes de Claspo.io ou dans l'environnement de Claspo.io, ou l'accès à de telles données. Claspo.io informera rapidement le client si Claspo.io détermine que des données personnelles ont fait l'objet d'une violation de la sécurité (y compris par l'un des employés de Claspo.io) ou de toute autre circonstance dans laquelle le client est tenu de fournir une notification en vertu de la loi applicable.
Claspo.io enquêtera rapidement sur la violation de la sécurité et prendra des mesures raisonnables pour en identifier les causes profondes et empêcher qu'elle ne se reproduise. Au fur et à mesure que les informations sont recueillies ou deviennent disponibles, Claspo.io fournira au client une description de la violation de la sécurité, le type de données qui ont fait l'objet de la violation et d'autres informations que le client peut raisonnablement demander concernant les personnes concernées. Les parties conviennent de se coordonner de bonne foi pour élaborer le contenu de toute déclaration publique connexe ou de tout avis requis pour les personnes concernées et/ou les autorités compétentes en matière de protection des données.
Sauf disposition contraire dans le contrat, Claspo.io restituera ou mettra à disposition toutes les données personnelles du client après la résiliation du contrat.
Après la restitution des données, ou si l'accord en dispose autrement, Claspo.io supprimera rapidement toutes les copies des données à caractère personnel qu'il peut détenir, sauf si la loi l'exige.
Sauf obligation légale contraire, Claspo.io informera rapidement le client de toute assignation, ordonnance judiciaire, administrative ou arbitrale d'une agence exécutive ou administrative ou d'une autre autorité gouvernementale ("demande") qu'il reçoit et qui concerne les données personnelles que Claspo.io traite pour le compte du client.
À la demande du client, Claspo.io lui fournira les informations raisonnables en sa possession susceptibles de répondre à la demande, ainsi que toute l'assistance raisonnablement nécessaire pour que le client puisse répondre à la demande dans les délais impartis.
|
Par: ……………………………… Pour et au nom d'ARDAS INTERNATIONAL INC, dûment habilité à signer le présent accord. |
Par: ……………………………… Pour et au nom du client dûment habilité à signer le présent accord. |
| Nom du sous-processeur | Adresse | Activité du sous-processeur pour Claspo.io | Mesures de sécurité des sous-traitants |
| Amazon Web Services | Dublin, Irlande | la location de serveurs et d'autres ressources pour traiter les données | https://aws.amazon.com/products/security |
| Intercom | Californie, États-Unis | solutions de chat & direct et de service d'assistance | https://www.intercom.com/security |
| Hetzner Online GmbH | Gunzenhausen, Allemagne | la location de serveurs et d'autres ressources pour héberger des services en ligne | https://www.hetzner.com/unternehmen/zertifizierung/ |
| Google Ireland Ltd. | Dublin, Irlande | stockage des données, création de tableaux de bord analytiques | https://www.google.com/about/datacenters/data-security/ |
| Stripe, Inc. | Dublin, Irlande | traitement des paiements en ligne | https://stripe.com/docs/security |
Traitement externalisé : Nous hébergeons notre service auprès de fournisseurs d'infrastructures en nuage externalisées. En outre, nous entretenons des relations contractuelles avec des fournisseurs afin de fournir le service conformément à notre DPA. Nous nous appuyons sur des accords contractuels, des politiques de confidentialité et des programmes de conformité des fournisseurs afin de protéger les données traitées ou stockées par ces fournisseurs.
Sécurité physique et environnementale : Nous hébergeons l'infrastructure de nos produits chez des fournisseurs d'infrastructure externalisée à plusieurs locataires. Les contrôles de sécurité physique et environnementale des fournisseurs font l'objet d'un audit de conformité SOC 2 Type II et ISO 27001, entre autres certifications.
Autorisation : Les données des clients sont stockées dans des systèmes de stockage à plusieurs locataires, accessibles aux clients uniquement par le biais d'interfaces utilisateur et d'interfaces de programmation d'applications. Les clients ne sont pas autorisés à accéder directement à l'infrastructure d'application sous-jacente. Le modèle d'autorisation de chacun de nos produits est conçu pour garantir que seules les personnes dûment désignées peuvent accéder aux fonctions, aux vues et aux options de personnalisation pertinentes. L'autorisation d'accès aux ensembles de données est effectuée en validant les permissions de l'utilisateur par rapport aux attributs associés à chaque ensemble de données.
Authentification : Nous appliquons une politique uniforme en matière de mots de passe pour nos produits destinés aux clients. Les clients qui interagissent avec les produits via l'interface utilisateur doivent s'authentifier avant d'accéder aux données non publiques des clients.
Accès aux produits : Un sous-ensemble de nos employés à accès aux produits et aux données des clients par le biais d'interfaces contrôlées. L'objectif de l'accès à un sous-ensemble d'employés est de fournir une assistance efficace à la clientèle, de résoudre les problèmes potentiels, de détecter les incidents de sécurité et d'y répondre, et de mettre en œuvre la sécurité des données. L'accès est possible grâce à des demandes d'accès "juste à temps" ; toutes ces demandes sont enregistrées. Les employés se voient accorder l'accès en fonction de leur rôle, et l'examen des privilèges à haut risque est effectué quotidiennement. Les rôles des employés sont revus au moins une fois tous les six mois.
Vérification des antécédents : Tous les employés font l'objet d'une vérification de leurs antécédents par un tiers avant de recevoir une offre d'emploi, conformément aux lois applicables et dans la mesure où celles-ci le permettent. Tous les employés sont tenus de se comporter d'une manière conforme aux directives de l'entreprise, aux exigences de non-divulgation et aux normes éthiques.
En transit : Nous mettons le cryptage HTTPS (également appelé SSL ou TLS) à disposition sur chacune de ses interfaces de connexion. Notre implémentation HTTPS utilise des algorithmes et des certificats standard de l'industrie.
Au repos : Nous stockons les mots de passe des utilisateurs conformément à des politiques qui respectent les pratiques standard de l'industrie en matière de sécurité. Nous avons mis en œuvre des technologies qui garantissent que les données stockées sont cryptées au repos.
Détection : Nous avons conçu notre infrastructure de manière à enregistrer de nombreuses informations sur le comportement du système, le trafic reçu, l'authentification du système et d'autres demandes d'application. Des systèmes internes regroupent les données des journaux et alertent les employés concernés en cas d'activités malveillantes, involontaires ou anormales. Notre personnel, y compris le personnel chargé de la sécurité, des opérations et de l'assistance, est réactif en cas d'incidents connus.
Réponse et suivi : Nous tenons un registre des incidents de sécurité connus, qui comprend une description, les dates et heures des activités concernées et l'issue de l'incident. Les incidents de sécurité suspectés et confirmés font l'objet d'une enquête par le personnel de sécurité, d'exploitation ou d'assistance, et les mesures de résolution appropriées sont identifiées et documentées. Pour tout incident confirmé, nous prendrons les mesures appropriées pour minimiser les dommages causés aux produits et aux clients ou la divulgation non autorisée. La notification vous sera adressée conformément aux termes de l'accord.
Notre système est situé dans un nuage sécurisé, nous utilisons le cryptage pour toutes les données sensibles, une gestion centralisée des accès avec des rôles stricts, et un accès très limité aux bases de données pour notre personnel. De plus, nous enregistrons toutes les actions sur les serveurs et la plateforme en nuage.
Disponibilité de l'infrastructure : Les fournisseurs d'infrastructure déploient des efforts commercialement raisonnables pour garantir une disponibilité minimale de 99,95 %. Les fournisseurs maintiennent un minimum de redondance N+1 pour l'alimentation électrique, le réseau et les services de chauffage, de ventilation et de climatisation.
Tolérance aux pannes : Les stratégies de sauvegarde et de réplication sont conçues pour assurer la redondance et le basculement des protections en cas de défaillance importante du traitement. Les données des clients sont sauvegardées dans plusieurs magasins de données durables et répliquées dans plusieurs zones de disponibilité.
Répliques et sauvegardes en ligne : Dans la mesure du possible, les bases de données de production sont conçues pour répliquer les données entre au moins une base de données primaire et une base de données secondaire. Toutes les bases de données sont sauvegardées et maintenues en utilisant au moins les méthodes standard de l'industrie.
Nos produits sont conçus pour assurer la redondance et le basculement transparent. Les instances de serveurs qui supportent les produits sont également conçues dans le but d'éviter les points de défaillance uniques. Cette conception aide nos opérations à maintenir et à mettre à jour les applications et le backend des produits tout en limitant les temps d'arrêt.
a) les environnements utilisés pour le développement, les essais et la production sont physiquement séparés
b) L'utilisation de données de production non anonymisées dans l'environnement de développement n'est pas autorisée.
Décision de la Commission C(2010)593
Clauses contractuelles types (transformateurs)
Aux fins de l'article 26, paragraphe 2, de la directive 95/46/CE, pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données.
Nom de l'organisation qui exporte les données : ClientClient
Tél : N/A ; fax:N/A ; e-mail:
Autres informations nécessaires pour identifier l'organisation : N/A
(l'exportateur de données)
Et
Nom de l'organisation qui importe les données : ARDAS INTERNATIONAL INC.
Adresse : 16192 COASTAL HIGHWAY, LEWES, DE 19958, COUNTY OF SUSSEX, USA
e-mail: info@claspo.io
chacun étant une "partie" ; ensemble, "les parties",
SONT CONVENUS des clauses contractuelles suivantes (les clauses) afin de mettre en place des garanties adéquates en matière de protection de la vie privée et des libertés et droits fondamentaux des personnes physiques pour le transfert par l'exportateur de données à l'importateur de données des données à caractère personnel spécifiées à l'appendice 1.
Aux fins des clauses:
(a) "données à caractère personnel", "catégories particulières de données", "traitement", "responsable du traitement", "sous-traitant", "personne concernée" et "autorité de contrôle" ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données1;
(b) "l'exportateur de données" : le responsable du traitement qui transfère les données à caractère personnel;
(c) "l'importateur de données" : le sous-traitant qui accepte de recevoir de l'exportateur de données des données à caractère personnel destinées à être traitées pour son compte après le transfert conformément à ses instructions et aux termes des clauses et qui n'est pas soumis au système d'un pays tiers assurant une protection adéquate au sens de l'article 25, paragraphe 1, de la directive 95/46/CE;
(d) "le sous-traitant" : tout sous-traitant engagé par l'importateur de données ou par tout autre sous-traitant de l'importateur de données qui accepte de recevoir de l'importateur de données ou de tout autre sous-traitant de l'importateur de données des données à caractère personnel exclusivement destinées aux activités de traitement à effectuer pour le compte de l'exportateur de données après le transfert conformément à ses instructions, aux clauses et aux conditions du contrat de sous-traitance écrit;
(e) "législation applicable en matière de protection des données" : la législation protégeant les libertés et droits fondamentaux des personnes et, en particulier, leur droit à la vie privée en ce qui concerne le traitement des données à caractère personnel, applicable à un responsable du traitement des données dans l'État membre dans lequel l'exportateur de données est établi;
(f) "mesures de sécurité techniques et organisationnelles" : les mesures visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement implique la transmission de données par l'intermédiaire d'un réseau, et contre toute autre forme de traitement illicite.
1Les parties peuvent reproduire les définitions et les significations contenues dans la directive 95/46/CE dans la présente clause si elles considèrent qu'il est préférable que le contrat soit indépendant.
Les détails du transfert et, en particulier, les catégories spéciales de données à caractère personnel, le cas échéant, sont précisés à l'annexe 1, qui fait partie intégrante des clauses.
La personne concernée peut opposer à l'exportateur de données la présente clause, la clause 4, points b) à i), la clause 5, points a) à e) et g) à j), la clause 6, points 1 et 2, la clause 7, la clause 8, point 2, et les clauses 9 à 12 en tant que tiers bénéficiaire.
La personne concernée peut faire appliquer la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 à l'encontre de l'importateur de données dans les cas où l'exportateur de données a effectivement disparu ou a cessé d'exister en droit, à moins qu'une entité succédant à l'exportateur de données n'ait assumé l'intégralité des obligations juridiques de ce dernier par contrat ou par effet de la loi, reprenant ainsi les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire appliquer à l'encontre de cette entité.
La personne concernée peut faire appliquer au sous-traitant ultérieur la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, dans les cas où l'exportateur de données et l'importateur de données ont tous deux disparu dans les faits, ont cessé d'exister en droit ou sont devenus insolvables, à moins qu'une entité succédant à l'exportateur de données n'ait assumé l'ensemble des obligations légales de ce dernier par contrat ou par effet de la loi, en conséquence de quoi elle reprend les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir auprès de cette entité. La responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des présentes clauses.
Les parties ne s'opposent pas à ce qu'une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si le droit national le permet.
L'exportateur de données accepte et garantit:
a. que le traitement, y compris le transfert lui-même, des données à caractère personnel a été et continuera d'être effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l'État membre dans lequel l'exportateur de données est établi) et n'enfreint pas les dispositions pertinentes de cet État ;
b. qu'il a donné instruction et qu'il donnera instruction à l'importateur de données, pendant toute la durée des services de traitement des données à caractère personnel, de traiter les données à caractère personnel transférées uniquement pour le compte de l'exportateur de données et conformément à la législation applicable en matière de protection des données et aux Clauses ;
c. que l'importateur de données fournisse des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 du présent contrat ;
d. qu'après évaluation des exigences de la législation applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données sur un réseau, et contre toute autre forme de traitement illicite, et que ces mesures assurent un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger, compte tenu de l'état de l'art et du coût de leur mise en œuvre ;
e. qu'il veillera au respect des mesures de sécurité ;
f. que, si le transfert concerne des catégories particulières de données, la personne concernée a été informée ou sera informée avant le transfert, ou dès que possible après celui-ci, que ses données pourraient être transmises à un pays tiers n'assurant pas un niveau de protection adéquat au sens de la directive 95/46/CE ;
g. de transmettre toute notification reçue de l'importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5, point b), et à la clause 8, paragraphe 3, à l'autorité de contrôle de la protection des données si l'exportateur de données décide de poursuivre le transfert ou de lever la suspension ;
h. de mettre à la disposition des personnes concernées qui en font la demande une copie des clauses, à l'exception de l'annexe 2, et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de services de sous-traitance qui doit être conclu conformément aux clauses, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas elle peut retirer ces informations commerciales ;
i. que, en cas de sous-traitance, l'activité de traitement est effectuée conformément à la clause 11 par un sous-traitant qui assure au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l'importateur de données en vertu des clauses ; et
j. qu'il veille au respect de la clause 4, points a) à i).
L'importateur de données accepte et garantit:
a. à ne traiter les données à caractère personnel que pour le compte de l'exportateur de données et conformément à ses instructions et aux clauses ; s'il n'est pas en mesure d'assurer cette conformité pour quelque raison que ce soit, il s'engage à informer rapidement l'exportateur de données de son incapacité à se conformer, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;
b. qu'il n'a aucune raison de croire que la législation qui lui est applicable l'empêche de respecter les instructions reçues de l'exportateur de données et ses obligations en vertu du contrat et qu'en cas de modification de cette législation susceptible d'avoir un effet négatif important sur les garanties et obligations prévues par les clauses, il notifiera rapidement la modification à l'exportateur de données dès qu'il en aura connaissance, auquel cas l'exportateur de données a le droit de suspendre le transfert de données et/ou de résilier le contrat ;
c. qu'il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 avant de traiter les données à caractère personnel transférées ;
d. qu'il notifiera rapidement à l'exportateur de données :
i. toute demande juridiquement contraignante de divulgation de données à caractère personnel par une autorité chargée de l'application de la loi, sauf interdiction contraire, telle qu'une interdiction en vertu du droit pénal visant à préserver la confidentialité d'une enquête menée par les autorités chargées de l'application de la loi,
ii. tout accès accidentel ou non autorisé, et
iii. toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu'il n'ait été autrement autorisé à le faire ;
e. de traiter rapidement et correctement toutes les demandes de l'exportateur de données concernant son traitement des données à caractère personnel faisant l'objet du transfert et de se conformer à l'avis de l'autorité de contrôle en ce qui concerne le traitement des données transférées ;
f. à la demande de l'exportateur de données, soumettre ses installations de traitement des données à un audit des activités de traitement couvertes par les présentes clauses, effectué par l'exportateur de données ou par un organisme de contrôle composé de membres indépendants et possédant les qualifications professionnelles requises, soumis à une obligation de confidentialité, sélectionné par l'exportateur de données, le cas échéant, en accord avec l'autorité de contrôle ;
g. de mettre à la disposition de la personne concernée qui en fait la demande une copie des clauses ou de tout contrat de sous-traitance existant, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales, à l'exception de l'annexe 2 qui est remplacée par une description sommaire des mesures de sécurité dans les cas où la personne concernée n'est pas en mesure d'en obtenir une copie auprès de l'exportateur de données ;
h. qu'en cas de sous-traitance, il a préalablement informé l'exportateur de données et obtenu son consentement écrit ;
i. que les services de traitement par le sous-traitant ultérieur seront effectués conformément à la clause 11 ;
j. d'envoyer rapidement à l'exportateur de données une copie de tout accord de sous-traitance qu'il conclut en vertu des présentes clauses.
2 Les exigences impératives de la législation nationale applicable à l'importateur de données qui ne vont pas au-delà de ce qui est nécessaire dans une société démocratique sur la base de l'un des intérêts énumérés à l'article 13, paragraphe 1, de la directive 95/46/CE, c'est-à-dire si elles constituent une mesure nécessaire pour sauvegarder la sécurité nationale, la défense, la sécurité publique, la prévention, la recherche, la détection et la poursuite d'infractions pénales ou de manquements à la déontologie pour les professions réglementées, un intérêt économique ou financier important de l'État ou la protection de la personne concernée ou des droits et libertés d'autrui, ne sont pas en contradiction avec les clauses contractuelles types. Parmi les exemples d'exigences obligatoires qui ne vont pas au-delà de ce qui est nécessaire dans une société démocratique, on peut citer, entre autres, les sanctions internationalement reconnues, les exigences en matière de déclaration fiscale ou les exigences en matière de déclaration de lutte contre le blanchiment d'argent.
Les parties conviennent que toute personne concernée ayant subi un préjudice du fait d'un manquement aux obligations visées à la clause 3 ou à la clause 11 par une partie ou un sous-traitant ultérieur a le droit d'être indemnisée par l'exportateur de données pour le préjudice subi.
Si une personne concernée n'est pas en mesure d'introduire une demande d'indemnisation conformément au paragraphe 1 à l'encontre de l'exportateur de données, en raison d'un manquement de l'importateur de données ou de son sous-traitant ultérieur à l'une des obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur de données a disparu dans les faits, a cessé d'exister en droit ou est devenu insolvable, l'importateur de données accepte que la personne concernée puisse intenter une action contre l'importateur de données comme s'il était l'exportateur de données, à moins qu'une entité succédant à l'exportateur de données n'ait assumé l'ensemble des obligations légales de ce dernier par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits auprès de cette entité. L'importateur de données ne peut se prévaloir d'un manquement d'un sous-traitant ultérieur à ses obligations pour se soustraire à ses propres responsabilités.
Si une personne concernée n'est pas en mesure d'introduire une réclamation contre l'exportateur de données ou l'importateur de données visés aux paragraphes 1 et 2, en raison d'un manquement du sous-traitant ultérieur à l'une de ses obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur de données et l'importateur de données ont disparu dans les faits, ont cessé d'exister en droit ou sont devenus insolvables, le sous-traitant ultérieur accepte que la personne concernée puisse introduire une réclamation contre le sous-traitant ultérieur en ce qui concerne ses propres opérations de traitement en vertu des clauses, comme s'il s'agissait de l'exportateur ou de l'importateur de données, à moins qu'une entité succédant à l'exportateur ou à l'importateur de données n'ait assumé l'ensemble des obligations légales de ce dernier par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits auprès de cette entité. La responsabilité du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des clauses.
L'importateur de données convient que si la personne concernée invoque à son encontre les droits de tiers bénéficiaires et/ou demande des dommages-intérêts en vertu des clauses, l'importateur de données acceptera la décision de la personne concernée :
Les parties conviennent que le choix effectué par la personne concernée ne porte pas atteinte à ses droits substantiels ou procéduraux de demander réparation conformément à d'autres dispositions du droit national ou international.
L'exportateur de données s'engage à déposer une copie du présent contrat auprès de l'autorité de contrôle si celle-ci en fait la demande ou si ce dépôt est requis en vertu de la loi applicable en matière de protection des données.
Les parties conviennent que l'autorité de contrôle a le droit de procéder à un audit de l'importateur de données et de tout sous-traitant ultérieur, qui a la même portée et est soumis aux mêmes conditions que celles qui s'appliqueraient à un audit de l'exportateur de données en vertu de la législation applicable en matière de protection des données.
L'importateur de données informe sans délai l'exportateur de données de l'existence d'une législation qui lui est applicable ou qui est applicable à tout sous-traitant ultérieur et qui empêche la réalisation d'un audit de l'importateur de données ou de tout sous-traitant ultérieur conformément au paragraphe 2. Dans ce cas, l'exportateur de données est autorisé à prendre les mesures prévues à la clause 5, point b).
Les clauses sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi.
Les parties s'engagent à ne pas varier ou modifier les clauses. Cela n'empêche pas les parties d'ajouter, le cas échéant, des clauses sur des questions d'ordre commercial, pour autant qu'elles ne contredisent pas la clause.
L'importateur de données ne peut sous-traiter aucune des opérations de traitement effectuées pour le compte de l'exportateur de données en vertu des présentes clauses sans l'accord écrit préalable de l'exportateur de données. Lorsque l'importateur de données sous-traite ses obligations au titre des clauses, avec le consentement de l'exportateur de données, il ne le fait que par le biais d'un accord écrit avec le sous-traitant ultérieur qui impose au sous-traitant ultérieur les mêmes obligations que celles imposées à l'importateur de données au titre des clauses3. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données en vertu d'un tel accord écrit, l'importateur de données reste pleinement responsable vis-à-vis de l'exportateur de données de l'exécution des obligations du sous-traitant ultérieur en vertu de cet accord.
Le contrat écrit préalable entre l'importateur de données et le sous-traitant ultérieur prévoit également une clause de tiers bénéficiaire telle que prévue à la clause 3 pour les cas où la personne concernée n'est pas en mesure d'introduire la demande d'indemnisation visée au paragraphe 1 de la clause 6 à l'encontre de l'exportateur de données ou de l'importateur de données parce qu'ils ont disparu dans les faits ou ont cessé d'exister en droit ou sont devenus insolvables et qu'aucune entité succédant à l'exportateur de données ou à l'importateur de données n'a assumé l'intégralité des obligations juridiques de ce dernier par contrat ou par effet de la loi. La responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des présentes clauses.
Les dispositions relatives aux aspects de la protection des données pour le traitement secondaire du contrat visé au paragraphe 1 sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi.
L'exportateur de données tient une liste des accords de sous-traitance conclus en vertu des présentes clauses et notifiés par l'importateur de données conformément à la clause 5, point j), qui est mise à jour au moins une fois par an. Cette liste est mise à la disposition de l'autorité de contrôle de la protection des données de l'exportateur de données.
3Cette exigence peut être satisfaite par la cosignature par le sous-traitant ultérieur du contrat conclu entre l'exportateur de données et l'importateur de données en vertu de la présente décision.
Les parties conviennent qu'à la fin de la fourniture des services de traitement des données, l'importateur de données et le sous-traitant ultérieur doivent, au choix de l'exportateur de données, restituer toutes les données à caractère personnel transférées et leurs copies à l'exportateur de données ou détruire toutes les données à caractère personnel et certifier à l'exportateur de données qu'ils l'ont fait, à moins que la législation imposée à l'importateur de données ne l'empêche de restituer ou de détruire la totalité ou une partie des données à caractère personnel transférées. Dans ce cas, l'importateur de données garantit qu'il assurera la confidentialité des données à caractère personnel transférées et qu'il ne traitera plus activement les données à caractère personnel transférées.
L'importateur de données et le sous-traitant ultérieur garantissent que, à la demande de l'exportateur de données et/ou de l'autorité de contrôle, ils soumettront leurs installations de traitement des données à un audit des mesures visées au paragraphe 1.
Au nom de l'exportateur de données:
Nom (en toutes lettres):
Position du client:
Adresse:
Autres informations nécessaires pour que le contrat soit contraignant (le cas échéant):
Signature ……………………………………….
(cachet de l'organisation)
Au nom de l'importateur de données
Nom (en toutes lettres): Andrii Ryzhokhin
Poste : Directeur
Adresse:16192 COASTAL HIGHWAY, LEWES, DE 19958, COUNTY OF SUSSEX, USA
Autres informations nécessaires pour que le contrat soit contraignant (le cas échéant):
Signature ……………………………………….
(cachet de l'organisation)
Cette annexe fait partie des clauses et doit être complétée et signée par les parties.
Les États membres peuvent compléter ou préciser, selon leurs procédures nationales, toute information supplémentaire nécessaire devant figurer dans le présent appendice.
L'exportateur de données est (veuillez préciser brièvement vos activités en rapport avec le transfert) :
Client
L'importateur de données est (veuillez préciser brièvement les activités liées au transfert) :
un service en ligne conçu pour créer et envoyer des messages marketing et transactionnels à des tiers
Les données à caractère personnel transférées concernent les catégories suivantes de personnes concernées (veuillez préciser) :
Voir l'article 3.2 de l'accord sur le traitement des données.
Les données personnelles transférées concernent les catégories de données suivantes (veuillez préciser) :
Voir l'article 3.1 de l'accord sur le traitement des données.
Les données personnelles transférées concernent les catégories spéciales de données suivantes (veuillez préciser) : N/A
Les données personnelles transférées seront soumises aux activités de traitement de base suivantes (veuillez préciser) :
Voir comme spécifié dans l'accord de service.
|
EXPORTATEUR DE DONNÉES Nom : Client Signature autorisée |
IMPORTATEUR DE DONNÉES Nom : ARDAS INTERNATIONAL INC. Signature autorisée |
Cette annexe fait partie des clauses et doit être complétée et signée par les parties.
Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données conformément à la clause 4, point d), et à la clause 5, point c) (ou document/législation joint) :
Voir l'annexe 2 de l'accord sur le traitement des données.