Addendum relatif au traitement des données
Le présent Addendum relatif au traitement des données (« ATD ») fait partie intégrante du Contrat Cadre de Souscription conclu entre les parties identifiées sur le Bon de Commande en tant que « Fournisseur » et « Client ». Sous réserve d’une définition contraire dans le présent ATD, les termes définis en majuscules ont le sens qui leur est attribué dans le Contrat Cadre de Souscription.
1. Définitions
- « Addendum UK » désigne l'addendum aux CCT portant sur le transfert de Données à caractère personnel du Royaume-Uni vers des pays tiers, tel qu'approuvé par le commissaire à l'information du Royaume-Uni disponible à partir du lien suivant : https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf
- « Bon de commande » désigne le document relatif à une commande qui définit les produits ou services que le Fournisseur doit fournir au Client.
- « CCPA » s'entend de la California Consumer Privacy Act de 2018 (Loi de 2018 sur la protection de la vie privée des consommateurs de la Californie), art. 1798.100 et suiv. du Code civil de la Californie et ses règlements d'application.
- « CCT » s'entend des Clauses contractuelles types qui font partie intégrante du présent ATD en vertu de la décision de la Commission européenne (EU) 2021/914 du 4 juin 2021 relative au transfert des Données à caractère personnel aux responsables du traitement et/ou aux Sous-traitants établis dans des pays tiers en vertu du RGPD, disponibles à partir du lien suivant: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_fr, le cas échéant, tel que modifié par l’Addendum UK, ainsi que de toutes clauses les remplaçant ou les mettant à jour en vertu d’une décision de la Commission européenne pouvant intervenir à tout moment, ou de la version la plus récente de toutes clauses contractuelles régissant les transferts internationaux de Données à caractère personnel adoptées par tout pays s’agissant d’un transfert visé par le Contrat.
- « CCT C2C » désigne le module un des CCT
- « CCT C2P » désigne le module deux des CCT
- « Contrat » s'entend du contrat-cadre de souscription ou de services conclu entre les parties.
- « Contrôles de sécurité » s'entend des mesures techniques et organisationnelles spécifiées dans le Contrat ou, en l'absence de telles dispositions, des mesures décrites à l'adresse suivante : https://gdpr.cision.fr/MTOS.
- « Données à caractère personnel du Client » s’entend des données à caractère personnel contenues dans les Données du client.
- « Données personnelles du Fournisseur » désigne toute donnée personnelle incluse dans les Données du fournisseur.
- « Données du client » s’entend des données que le Client met à la disposition du Fournisseur pour que le Fournisseur traite ces données au nom du Client.
- « Données du Fournisseur » désigne toutes les données contenues dans les bases de données du Fournisseur que ce dernier utilise pour fournir les Services, à l'exclusion des Données du Client. Cette définition des Données du Fournisseur est destinée à inclure des termes définis de manière similaire dans le Contrat, tels que " Données de la Société ", " Données de Cision " ou " Données de Brandwatch ".
- « EEE » s'entend de l'Espace économique européen.
- « Entrepreneur » a le sens qui lui est donné dans le CRPA.
- « LFSPD » désigne la Loi Fédérale Suisse sur la Protection des Données
- « Lois sur la protection de la vie privée applicables » désigne toutes les lois réglementant la collecte, l'utilisation, la divulgation et/ou la libre circulation des Données personnelles qui s'appliquent à une partie, telles qu'elles sont en vigueur et lorsqu'elles le sont, y compris, sans limitation : (i) le CCPA (tel que défini ci-dessous), ainsi que le California Privacy Rights Act et les règlements promulgués en vertu de celui-ci (" CPRA ") (ii) la Loi sur la protection des renseignements personnels et les documents électroniques du Canada, et les mises en oeuvre provinciales similaires, (" PIPEDA ") et toute législation provinciale applicable et substantiellement similaire ; (iii) le Règlement général sur la protection des données (UE) 2016/679 de l'Union européenne (" UE ") et toute législation de mise en oeuvre des États membres (" RGPD ") ; (iv) la Directive 2002/58/CE relative à la protection de la vie privée et aux communications électroniques (telle que modifiée par la Directive 2009/136/E) dans l'État membre de l'UE applicable ; (v) les cadres intrarégionaux de la région Asie-Pacifique (" APAC "), en particulier les règles transfrontalières de protection de la vie privée de la Coopération économique Asie-Pacifique ; (vi) le RGPD du Royaume-Uni (tel que défini ci-dessous) ; (vii) la SFDPA (telle que définie ci-dessous) ; (viii) la LGPD du Brésil ; (ix) la loi chinoise sur la protection des informations personnelles (" PIPL ") ; (x) la loi de Virginie sur la protection des données des consommateurs ; (xi) la loi du Colorado sur la protection de la vie privée ; (xii) la loi du Connecticut sur la confidentialité des données personnelles et la surveillance en ligne ; (xiii) la loi de l'Utah sur la protection de la vie privée des consommateurs et (xiv) les lois substantiellement similaires sur la confidentialité ou la protection des données applicables à une partie, chacune pouvant être modifiée ou remplacée de temps à autre.
- « RGPD » s'entend du Règlement général sur la protection des données ((UE) 2016/679).
- « Sous-traitant ultérieur » s'entend de tout tiers que le Fournisseur engage aux fins de traiter les Données à caractère personnel que le Fournisseur traite en vertu du présent ATD, en qualité de Sous-traitant au nom du Fournisseur.
- « Transfert limité » s'entend du transfert de Données à caractère personnel depuis l'EEE, le Royaume-Uni, la Suisse ou tout autre pays, lorsque ce transfert, en l'absence de clauses contractuelles types, serait interdit en vertu des Lois sur la protection de la vie privée applicables.
- « UK RGPD » désigne le RGPD tel qu’intégré à la législation du Royaume-Uni conformément à la section 3 de la loi de 2018 relative au retrait de l'Union européenne
- Les termes « Responsable du traitement », « Sous-traitant », « Données à caractère personnel », « traitement » et « catégories particulières de données à caractère personnel » et « personne concernée » ont la signification qui leur est donnée dans le RGPD ou le UK Data Protection Act de 2018.
- Pour plus de clarté, le présent ATD couvre tout traitement effectué en application de la CCPA. Par conséquent, les références suivantes à la CCPA ont les significations suivantes dans le présent ATD :
- « Entreprise » signifie « Responsable du traitement »
- « Prestataire de service » signifie « Sous-traitant »
- « Tiers » signifie « Sous-traitant ultérieur »
- « Informations personnelles » signifie « Données à caractère personnel »
- « Client » signifie « Personne concernée »
2. Stipulations générales
- Données du Responsable du traitement : le Fournisseur et le Client sont des responsables indépendants du traitement des Données à caractère personnel du Fournisseur et chacun traite ces données en qualité de Responsable du traitement. Lorsque le Client reçoit du Fournisseur les Données à caractère personnel du Fournisseur, ou y a accès, l'article 3 s'applique.
- Données du Sous-traitant : Le Client est le Responsable du traitement et le Fournisseur est le Sous-traitant des Données à caractère personnel du Client. Lorsque le Fournisseur traite les Données à caractère personnel du Client au nom du Client, l'article 4 s'applique.
- Chaque partie doit se conformer aux Lois sur la protection de la vie privée applicables lorsqu’elle traite les Données à caractère personnel en vertu du présent Contrat.
- Le présent ATD prévaut en cas de conflit entre le présent ATD et le Contrat.
- Les deux parties prendront les mesures qui s’imposent pour que le personnel qu’elles habilitent à traiter les Données à caractère personnel se soumette aux obligations de confidentialité pertinentes et pour que l’accès aux Données à caractère personnel soit restreint aux seules personnes qui ont besoin d’y avoir accès aux fins du présent Contrat.
- Les deux parties prendront les mesures qui s’imposent pour que le personnel qu’elles habilitent à traiter les Données à caractère personnel se soumette aux obligations de confidentialité pertinentes et pour que l’accès aux Données à caractère personnel soit restreint aux seules personnes qui ont besoin d’y avoir accès aux fins du présent Contrat.
- Modifications : Le Fournisseur peut à tout moment, sous réserve d’un préavis minimum de 30 jours, modifier le présent Addendum aux fins d’incorporer toutes CCT ou autres dispositions requises par une autorité de protection des données compétente au sein de l’UE, la Suisse ou le Royaume-Uni. Les parties consentent à adopter toutes CCT requises à titre de complément ou de remplacement, que l’UE et/ou l’ICO (Information Commissioner Office – Bureau du Commissaire à l’information) du Royaume-Uni ou tout autre pays compétent seraient susceptibles d’adopter. Si le Client n’applique pas ces clauses sur demande du Fournisseur, cette dernière pourra, moyennant un préavis écrit d’au moins 30 jours, résilier le Contrat.
3. Données du Fournisseur (relation entre Responsables du traitement)
- Traitement aux fins du présent Contrat : Chaque partie traitera les Données à caractère personnel du Fournisseur aux fins de remplir ses droits et obligations en vertu du Contrat. La Partie I de l’annexe 1 détaille les catégories de Données à caractère personnel du Fournisseur, la finalité du traitement des données par le Fournisseur et la durée du traitement.
- Transferts des données internationales :
- En cas de Transfert limité depuis l’EEE, les parties seront liées par les CCT C2C, lesquelles sont intégrées au présent Addendum conformément à l’Article 5..
- En cas de Transfert limité depuis le Royaume-Uni, les parties seront liées par l’Addendum UK en complément des CCT C2C. Les CCT C2C (en application de l’Article 5) et l’Addendum UK (en application de l’Article 6) sont intégrés au présent ATD à cette fin.
- En cas de Transfert limité depuis la Suisse, les parties seront liées par les CCT C2C, conformément à l’Article 5 et telles que modifiées par l’Article 7. Les CCT C2C sont intégrées au présent ATD dans ce contexte et à cette fin.
- En cas de Transfert limité depuis tout autre pays, les parties seront liées par les CCT C2C, lesquelles sont intégrées à cette fin au présent ATD conformément à l’Article 5.
- Violation des données : Chaque partie informera l’autre partie dans les meilleurs délais dès qu’elle a connaissance d’une violation de Données à caractère personnel affectant les Données à caractère personnel du Fournisseur ou dès la réception d’une demande ou d’une plainte d’une Personne concernée en lien avec les Données à caractère personnel du Fournisseur.
4. Données du client : Relation entre le Responsable du traitement et le Sous-traitant
- Consignes écrites : Le Fournisseur ne traitera les Données à caractère personnel du Client que sur autorisation écrite du Client comme stipulé dans le présent ATD. Le Fournisseur ne vendra ni ne partagera les Données Personnelles du Client, ne les combinera pas avec des Données Personnelles provenant d'autres sources et ne conservera, n'utilisera ni ne divulguera les Données Personnelles du Client en dehors de la relation commerciale directe avec le Client. Lorsque les Lois sur la protection de la vie privée applicables en disposent autrement, le Fournisseur informera le Client de toute exigence réglementaire avant de procéder au traitement, à moins que la loi n'interdise la communication de cette information pour des motifs d'intérêt public importants. La Partie II de l'annexe 1 présente les catégories de Données à caractère personnel du Client, la finalité du traitement des données par le Fournisseur et la durée du traitement.
- Utilisation légale et consignes : Le Client veillera à ce que son utilisation des Services et les consignes qu'il prodigue relativement au Traitement de toutes Données à caractère personnel en vertu du présent ATD soient conformes à toutes les Lois sur la protection de la vie privée applicables et que le traitement par le Fournisseur des données conformément aux consignes du Client n'est pas constitutif pour le Fournisseur d'une infraction aux Lois sur la protection de la vie privée applicables. Le Fournisseur informera le Client si, de l'avis du Fournisseur, les consignes du Client violent les Lois sur la protection de la vie privée applicables ou si elle ne peut pas respecter ses obligations en vertu de toute loi applicable sur la protection de la vie privée.
- Catégories particulières de Données à caractère personnel : Le Client informera le Fournisseur si des catégories particulières de Données à caractère personnel sont contenues dans les Données à caractère personnel du Client. Le Fournisseur peut, afin de se conformer à ses obligations contractuelles et légales, refuser de traiter de telles données ou imposer des restrictions s'il y a lieu, aux frais du Client.
- Transferts de données internationales :
- En cas de transfert du Client (en qualité de Responsable du traitement) dans l'EEE au Fournisseur (en qualité de Sous-traitant) dans un pays tiers, les parties conviennent d’être liées par les CCT C2P, lesquelles sont intégrées au présent ATD conformément à l’Article 5.
- En cas de Transfert limité depuis le Royaume-Uni, les parties seront liées par l'Addendum UK en complément des CCT C2P. Les CCT C2P (en application de l’Article 5) et l'Addendum UK (en application de l’Article 6) sont tous deux intégrés au présent ATD à cette fin.
- En cas de Transfert limité depuis la Suisse, les parties seront liées par les CCT C2P, conformément à l’Article 5 et telles que modifiées par l’Article 7. Les CCT C2P sont intégrées au présent ATD dans ce contexte et à cette fin.
- En cas de Transfert limité depuis tout autre pays, les parties seront liées par les CCT C2P, lesquelles sont intégrées au présent ATD conformément à l’Article 5.
- Lorsque le Fournisseur nomme un Sous-traitant ultérieur conformément à l’Article 4.g et que cette nomination comporte un Transfert limité, le Fournisseur peut se fonder sur les CCT afin de légitimer le transfert des Données à caractère personnel du Client.
- Dossiers de conformité : Le Fournisseur assurera la tenue de dossiers exacts et complets et conservera toutes informations aux fins de démontrer sa conformité au présent Addendum.
- Audit : Le Fournisseur se conformera aux audits pour contrôler la conformité que le Client effectue (soit lui-même, soit par 'intermédiaire d'un auditeur externe) aux frais du Client. Tout audit effectué conformément au présent ATD est soumis aux conditions suivantes :
- le Client doit fournir un préavis écrit d'au moins 60 jours avant tout audit
- les audits s'effectueront durant les heures de bureau normales
- le Client mènera l'audit en perturbant le moins possible les activités commerciales habituelles du Fournisseur
- tout auditeur tiers conclura des conventions de confidentialité avec le Fournisseur dont les termes seront raisonnablement jugés acceptables par le Fournisseur
- les audits se limiteront aux seules activités de traitement du Fournisseur en qualité de Sous-traitant, et aux seules informations dont le Client a raisonnablement besoin pour évaluer la conformité du Fournisseur au présent ATD
- dans le cadre de l'audit, le Client (ou son auditeur externe) n'aura pas accès aux Informations Confidentielles du Fournisseur
- le Client remboursera au Fournisseur tous frais et dépenses raisonnables et documentés associés à l'audit
- le Client consent à accepter un rapport d'audit fourni par le Fournisseur au lieu de mener son propre audit :
- si l'objet de l'audit demandé a déjà été traité dans un audit précédemment effectué par un auditeur tiers indépendant reconnu dans les douze (12) mois de la demande du Client et que la Société affirme par écrit que les contrôles et systèmes visés par l'audit demandé n'ont pas fait l'objet de modifications substantielles ou
- s'il est prévu qu'un audit soit effectué dans les six mois de la demande et que le Fournisseur fournit ledit rapport au Client dès qu'il est fini.
- Sous-traitant ultérieur : Le Client autorise le Fournisseur à nommer des Sous-traitants ultérieurs dans le cadre de la fourniture des Services. Une liste des Sous-traitants ultérieurs du Fournisseur est disponible à l'adresse suivante https://gdpr.cision.fr/Sous-traitants.
- Le Fournisseur informera le Client de tout changement envisagée concernant l'ajout ou le remplacement d’un Sous-traitant ultérieur autorisé par un nouveau Sous-traitant ultérieur et ce, au moins 30 jours avant ce changement. Le Client disposera de la possibilité de contester un tel changement. Tout Sous-traitant ultérieur auquel le Fournisseur aura recours sera soumis à des conditions substantiellement identiques à celles imposées au Fournisseur par le présent ATD en matière de protection des données.
- En cas de manquement d’un Sous-traitant ultérieur à ses obligations en matière de protection des données, le Fournisseur demeurera responsable de l’exécution des obligations du Sous-traitant ultérieur, sous réserve des exclusions et limitations de responsabilité énoncées dans le Contrat.
- Lorsqu'un sous-traitant a accès aux données personnelles du client, il ne le fera qu'en vertu d'un contrat écrit et certifie par la présente qu'il comprend et respecte les lois applicables en matière de protection de la vie privée.
- Violation des données : En cas de violation des données concernant les Données à caractère personnel du Client :
- Le Fournisseur coopèrera en toute bonne foi avec le Client afin de permettre au Client de remplir ses obligations en vertu des Lois sur la protection de la vie privée applicables.
- Le Fournisseur notifiera le Client dans les 36 heures de sa découverte de la violation des Données à caractère personnel (telle que définie dans les Lois sur la protection de la vie privée applicables).
- Le Fournisseur aidera le Client à se conformer à l'obligation qui lui incombe de notifier tout organisme de contrôle de la survenance d'une violation des données.
- Assistance : Compte tenu de la nature du Traitement et des informations disponibles, le Fournisseur fournira, dans la mesure du possible, une assistance raisonnable et appropriée au Client (sous réserve du paiement des coûts et frais justifiables par le Fournisseur s’agissant (i) du respect par le Client de ses obligations en matière de réponse aux demandes portant sur l'exercice des droits des personnes en vertu des Lois sur la protection de la vie privée applicables, lorsque le Fournisseur traite les Données à caractère personnel en vertu du présent ATD, et (ii) des obligations du Client en vertu des articles 32 à 36 du RGPD et/ou du RGPD UK (selon le cas).
- Résiliation :
- Si le Fournisseur venait à manquer à l'une de ses obligations en vertu du présent ATD, le Client peut demander au Fournisseur de temporairement suspendre le traitement des Données à caractère personnel du Client dans l'attente d'une rectification du manquement et peut demander au Fournisseur de mettre fin au traitement des Données à caractère personnel s'il n'est pas remédié au manquement.
- A compter de la résiliation du présent ATD, le Fournisseur supprimera les Données à caractère personnel du Client, sauf à ce qu'il ne soit tenu de conserver les Données à caractère personnel du Client en vertu des Lois sur la protection de la vie privée applicables de l'UE, des États membres de l'UE ou (si cela s'applique au traitement concerné) du Royaume-Uni ou de la Suisse.
5. CCT
- Lorsque les CCT C2C ou les CCT C2P sont intégrées au présent ATD en vertu des Articles 3.b. ou 4.d. :
- elles entrent en vigueur à compter du Transfert limité concerné ;
- les dispositions pleinement facultatives ne sont pas incluses ;
- aux fins de l’Article 13 des CCT, la première option est incluse ;
- aux fins des Articles 17 et 18 des CCT, l'État membre compétent au sens de la loi et de la juridiction applicable est l'État membre dans lequel le Client est établi. Si le Client n'est pas établi dans un État membre, l'État membre désigné est l'Irlande ;
- aux fins de l'annexe 1.A des CCT, l' « importateur de données » et l' « exportateur de données » sont définis dans la partie 1 ou la partie 2 (selon le cas applicable) de l'annexe 2 du présent ATD ;
- aux fins de l'annexe 1.B des CCT, la description du transfert figure dans la partie 1 ou la partie 2 (selon le cas applicable) de l'annexe 2 du présent ATD ;
- aux fins de l'annexe 1.C des CCT, l'autorité de surveillance compétente est l'autorité de surveillance compétente du pays dans lequel le Client est établi ; et
- aux fins de l'annexe 2 des CCT, les mesures techniques et organisationnelles sont les Contrôles de sécurité.
- Lorsque les CCT C2P sont intégrées au présent ATD en vertu de l’Article 4.d. :
- l'option 2 (« Autorisation écrite générale ») de l’Article 9 des CCT est sélectionnée ;
- le délai imparti pour l'ajout ou le remplacement de Sous-traitants ultérieurs est énoncé au paragraphe 4.g.1 du présent ATD ;
6. Addendum UK
Lorsque l'Addendum UK est intégré au présent ATD en vertu des articles 3.b. ou 4.d. :
- Il entrera en vigueur à compter du Transfert limité concerné ;
- aux fins du Tableau 1, la Date de d’effet correspond à celle du Transfert limité concerné, les informations des Parties et Contacts de référence sont indiquées à l'annexe 2 du présent ATD ainsi que dans la clause relative aux parties du Contrat ;
- aucune signature n'est requise au titre du Tableau 1 ;
- la première option est sélectionnée dans le Tableau 2, les CCT de l'UE approuvées sont définies à l’article 1 du présent ATD et les CCT entreront en vigueur compter du Transfert limité concerné ;
- les informations de l'Annexe figurant dans le Tableau 3 sont définies dans les Annexes 1 et 2 du présent ATD ; et
- les deux premières options (« Importateur » et « Exportateur ») sont sélectionnées dans le Tableau 4.
7. Transferts limités depuis la Suisse
Lorsque les CCT C2C ou C2P sont intégrées au présent ATD en vertu des articles 3.b. ou 4.d. et en présence d’un Transfert limité depuis la Suisse, les CCT C2C ou C2P (selon le cas applicable) devront être modifiées afin de se conformer aux lois suisses relatives à la protection des données, y compris, sans limitation, les modifications suivantes :
- toute référence au « Règlement (UE) 2016/679 » ou à « ce Règlement » est remplacée par la LFSPD et les références à un ou plusieurs articles spécifiques du « Règlement (UE) 2016/679 » sont remplacées par l'article ou la section correspondante de la LFSPD ;
- l’ensemble des définitions contenues dans les CCT doivent être interprétées conformément à la LFSPD ;
- les références au Règlement (UE) 2018/1725 sont supprimées ;
- les références à l' « Union », à l' « UE » et à l' « État membre de l'UE » sont remplacées par la « Suisse » ;
- l’Article 13(a) et la partie C de l'Annexe II des CCT ne sont pas applicables ;
- l’« autorité de contrôle compétente » est le Commissaire fédéral à la protection des données et à l'information ;
- l’Article 17 des CCT est remplacé par le texte suivant : « Les présents Articles sont régis par le droit suisse » ; et
- l’Article 18 des CCT est remplacé par le texte suivant : « Tout litige découlant des présents Articles relèvera de la compétence des juridictions suisses. La personne concernée pourra également intenter une action en justice à l'encontre de l'exportateur de données et/ou de l'importateur de données devant les juridictions suisses. Les Parties acceptent de se soumettre à la compétence de ces tribunaux ».
8. Stipulations diverses
- Responsabilité : Les responsabilités des parties sont soumises aux exclusions et limitations de responsabilité prévues dans le présent Contrat.
- Droit applicable :Le droit applicable régissant le Contrat s'applique au présent ATD, sous réserve des CCT régissant la relation entre les Responsables du traitement et les Sous-traitants et les CCT régissant la relation entre Responsables du traitement qui sont régies par les lois du pays dans lequel l'exportateur de données concerné est établi.
Annexe 1 - Traitement de l’information
Traitement, Données à caractère personnel et Personnes concernées