Terms
Convention de traitement des données de Pax8
Dernière mise à jour: 30 novembre 2023
La présente Convention de traitement des données, y compris ses annexes et références (la CTD), s’applique dans tous les cas où Pax8 traite des données à caractère personnel pour le compte d’une autre partie (le Responsable du traitement), et ce, afin de garantir que ce traitement est effectué conformément aux lois applicables et respecte les droits des personnes dont les données à caractère personnel sont traitées.
1. Définitions
Convention se réfère à la convention en vigueur entre Pax8 et le Responsable du traitement concernant les Services ;
Affilié désigne toute entité qui contrôle directement ou indirectement, est contrôlée par, ou est sous contrôle commun avec l’entité visée. Contrôle, aux fins de la présente définition, signifie la propriété ou le contrôle direct ou indirect de plus de 50 % des intérêts avec droit de vote de l’entité visée ;
CCPA désigne la loi californienne de 2018 sur la protection de la vie privée des consommateurs (California Consumer Privacy Act) ;
Garanties contractuelles signifie (i) lorsque le RGPD est applicable, les CCT et (ii) lorsque le règlement général sur la protection des données du Royaume-Uni (RGPD britannique) est applicable, les CCT tels que modifiés par l’addendum britannique applicable figurant à l’Annexe 5 (l’addendum britannique) ;
Les termes responsable du traitement, personne concernée, données à caractère personnel (sans préjudice de la définition en majuscules fournie plus loin), processus, traitement, sous-traitant auront les mêmes significations que celles définies par la Législation sur la protection des données. Les autres termes pertinents, tels qu’entreprise, finalité de l’entreprise, consommateur, informations personnelles, vente (y compris les termes vente, vendre, vendu et autres variations de ceux-ci), prestataire de services et tiers, ont la signification qui leur est donnée par la CCPA ;
Législation sur la protection des données désigne les lois et réglementations nationales, fédérales, d’État, provinciales et locales applicables régissant l’utilisation et la divulgation des données à caractère personnel ;
RGPD désigne le Règlement (UE) 2016/679 relatif à la protection des personnes physiques en ce qui concerne le traitement des données à caractère personnel et à la libre circulation desdites données, et abrogeant la directive 95/46/CE (directive sur la protection des données) ;
Pax8 désigne l’entité Pax8 qui est partie à la présente CTD et/ou à la présente Convention et qui traite des données à caractère personnel telles que définies en vertu de la Législation sur la protection des données pertinente ;
Données à caractère personnel désigne les données à caractère personnel que Pax8 traite pour le compte du Responsable du traitement ;
Violation de données à caractère personnel signifie une infraction à la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l’altération, la divulgation, ou l’accès non autorisé à des Données à caractère personnel transmises, stockées ou traitées de toute autre manière ;
Transfert restreint signifie : (i) lorsque le RGPD s’applique, un transfert de Données à caractère personnel de l’EEE vers un pays en dehors de l’EEE ou un transfert (ultérieur) d’un pays en dehors de l’EEE à l’intérieur du même pays ou vers un autre pays en dehors de l’EEE, qui ne font pas l’objet d’une décision d’adéquation en vertu de l’article 45 du RGPD de la Commission européenne ; et (ii) lorsque le RGPD britannique s’applique, un transfert de Données à caractère personnel depuis le Royaume-Uni vers tout autre pays ou un transfert (ultérieur) depuis un pays en dehors du Royaume-Uni au sein du même pays ou vers un autre pays en dehors du Royaume-Uni, qui ne sont pas soumis à des règlements d’adéquation adoptés en vertu de l’article 45 (1) du RGPD britannique en conjonction avec la section 17A de la Loi britannique sur la protection des données de 2018 ;
Services désigne les services ou produits devant être fournis par Pax8 au Responsable du traitement conformément à toute Convention applicable ;
CCT représente (i) les clauses contractuelles types entre responsables du traitement et sous-traitants adoptées par la Commission européenne dans sa décision d’exécution (UE) 2021/91 du 4 juin 2021, telles qu’elles figurent à l’Annexe 4 (les « Clauses 2021 entre Responsables du traitement et Sous-traitants ») ; ou (ii) les clauses contractuelles types entre sous-traitants adoptées par la Commission européenne dans sa décision d’exécution (UE) 2021/91 du 4 juin 2021 (les « Clauses 2021 entre Sous-traitants ») ; le cas échéant.
Sous-traitant ultérieur désigne tout sous-traitant engagé par Pax8 qui accepte de recevoir des Données à caractère personnel destinées à être traitées pour le compte du Responsable du traitement dans le cadre des Services ;
Autorité de contrôle signifie une autorité publique indépendante ou un autre organe juridique établi dans une juridiction soumise à la Législation en matière de protection des données et responsable du contrôle de la Législation applicable en matière de protection des données.
2. Portée et application de la présente CTD
2.1. La présente CTD s’appliquera lorsque la Convention stipule expressément que Pax8 traitera des données à caractère personnel pour le compte du Responsable du traitement. Les parties à la Convention acceptent de se conformer aux termes de la présente CTD qui est intégrée à la Convention et conclue par les parties en leur nom propre et au nom de leurs Affiliés.
2.2. Le sujet, la nature, la finalité et le type de données à caractère personnel ainsi que les catégories de personnes concernées seront ceux détaillés à l’Annexe 1 de la présente CTD, sauf indication contraire dans la Convention. Les Conditions spécifiques à la juridiction énoncées à l’Annexe 3 s’appliquent également à toutes les Données à caractère personnel qui sont protégées par la Législation en matière de protection des données dans ces juridictions respectives.
2.3. Sans préjudice du fait que Pax8 puisse agir en tant que sous-traitant dans le cadre de la Convention, les parties reconnaissent et conviennent que dans la mesure où Pax8 traite des données à caractère personnel : (i) de contrôler, prévenir et détecter les fraudes ; (ii) de se conformer à leurs propres obligations légales ou réglementaires applicables au traitement et à la conservation des Données à caractère personnel ; (iii) de contrôler, analyser, développer et améliorer les produits, services et solutions de Pax8 ; (iv) comme le permet par ailleurs la Convention, Pax8 agit en qualité de responsable du traitement eu égard à ce traitement et se conformera à ses obligations en vertu de la Convention et de la Législation en matière de protection des données.
2.4. Le reste de la présente CTD ne s’applique que dans la mesure où Pax8 agit en tant que sous-traitant à l’égard des données à caractère personnel.
3. Traitement de données
Pax8 s’engage à traiter les données à caractère personnel conformément à la Législation en matière de protection des données et à la présente CTD. Plus particulièrement, Pax8 convient de :
3.1. n’agir que sur instructions et directives écrites du Responsable du traitement, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, sauf si des lois auxquelles Pax8 est soumise l’y obligent ; dans ce cas, Pax8 informe le Responsable du traitement de cette exigence légale avant le traitement, à moins que cette loi n’interdise une telle information pour des motifs importants d’intérêt public. Aux fins de la présente section, les instructions du Responsable du traitement comprennent celles contenues dans la présente CTD, la Convention ainsi que celles reçues de toute autre manière de la part du Responsable du traitement de temps à autre ;
3.2. ne divulguer les données à caractère personnel à tout gouvernement ou tiers que si cela s’avère nécessaire pour se conformer à la loi ou à une injonction contraignante d’un organisme gouvernemental. À moins que cela n’enfreigne la loi ou l’injonction contraignante d’un organisme gouvernemental, Pax8 informera le Responsable du traitement de toute exigence ou injonction légale ;
3.3. informer le Responsable du traitement dans les plus brefs délais lorsque Pax8 estime que le fait de se conformer à toute instruction du Responsable du traitement entraînerait une violation de la Législation en matière de protection des données ;
3.4. mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées pour protéger adéquatement les données personnelles traitées pour le compte du Responsable du traitement contre la destruction accidentelle ou illégale, la perte, l’altération, la divulgation ou l’accès non autorisé, comme l’exige la Législation en matière de protection des données.
3.5. s’assurer que tout membre du personnel de Pax8 chargé du traitement des Données à caractère personnel s’est engagé à respecter la confidentialité ou est soumis à une obligation légale appropriée de confidentialité non moins restrictive que les obligations de confidentialité incluses dans la Convention ;
3.6. fournir une assistance raisonnable au Responsable du traitement si celle-ci est demandée, afin d’aider le Responsable du traitement à respecter ses obligations en vertu de la Législation sur la protection des données (y compris les articles 32 à 36 du RGPD britannique et du RGPD de l’UE, le cas échéant), et/ou à répondre à toute demande d’une personne concernée ;
3.7. prendre toutes les mesures appropriées en vertu de l’article 32 du RGPD britannique et/ou du RGPD de l’UE (le cas échéant), en tenant compte de l’état du développement technologique et du coût de la mise en œuvre de toute mesure ;
3.8. tenir un registre de ses activités de traitement et fournir au Responsable du traitement la coopération et les informations nécessaires pour que le Responsable du traitement puisse démontrer qu’il respecte ses obligations en vertu de la Législation en matière de protection des données ;
4. Sous-traitants ultérieurs
4.1. Sous-traitants ultérieurs autorisés. Le Responsable du traitement accepte que Pax8 engage des sous-traitants ultérieurs pour traiter les Données à caractère personnel pour le compte du Responsable du traitement. Les sous-traitants ultérieurs actuellement engagés par Pax8 et autorisés par le Responsable du traitement sont énoncés à l’Annexe 2. Pax8 informera le Responsable du traitement si des sous-traitants ultérieurs sont ajoutés ou supprimés.
4.2. Obligations du sous-traitant ultérieur. Pax8 doit : (i) conclure une convention écrite avec chacun des Sous-traitants ultérieurs prévoyant des obligations en matière de protection des données qui assurent au moins le même niveau de protection des données à caractère personnel que celles prévues dans la présente CTD, dans la mesure applicable à la nature du service fourni par ledit Sous-traitant ultérieur et conformément à la Législation en matière de protection des données en vigueur ; et (ii) rester responsable du respect par ledit Sous-traitant ultérieur des obligations de la présente CTD et de tout acte ou omission dudit Sous-traitant ultérieur entraînant une infraction de Pax8 à n’importe quelle de ses obligations en vertu de la présente CTD. Le Responsable du traitement reconnaît et accepte que, le cas échéant, Pax8 s’acquitte de ses obligations au titre de la clause 9 des CCT (le cas échéant) en se conformant à la présente section et que Pax8 peut être empêché de divulguer les conventions avec les sous-traitants ultérieurs au Responsable du traitement en raison de restrictions liées à la confidentialité, mais Pax8 doit, sur demande, déployer des efforts raisonnables pour fournir au Responsable du traitement toutes les informations pertinentes qu’il peut raisonnablement fournir en rapport avec les conventions avec les sous-traitants ultérieurs.
5. Transferts de données
5.1. Le Responsable du traitement autorise Pax8 et ses sous-traitants à effectuer des transferts restreints de données à caractère personnel afin de se conformer aux instructions du Responsable du traitement en vertu de la présente CTD et d’exécuter les obligations découlant de la Convention, à condition que ce transfert restreint soit conforme à la Législation en matière de protection des données.
5.2. Emplacement des centres de données. Le Responsable du traitement reconnaît que Pax8 peut transférer et traiter des Données à caractère personnel aux États-Unis et partout ailleurs dans le monde où Pax8, ses Affiliés ou ses Sous-traitants ultérieurs assurent des opérations de traitement des données. Pax8 veillera à tout moment à ce que ces transferts soient effectués conformément aux exigences de la Législation en matière de protection des données et de la présente CTD.
5.3. Transferts de données dans l’EEE Dans la mesure où les données à caractère personnel sont protégées par le RGPD et nécessitent un transfert vers un pays situé en dehors de l’Espace économique européen (EEE) qui n’est pas reconnu comme offrant un niveau de protection adéquat pour les données à caractère personnel (tel que décrit dans le RGPD ou la Législation en matière de protection des données applicable en Europe), les parties conviennent de respecter et de traiter ces données à caractère personnel en conformité avec les CCT, lesquelles seront incorporées dans la présente CTD et en feront partie intégrante.
5.4. Transferts de données au Royaume-Uni. Eu égard aux transferts auxquels le RGPD britannique ou la loi britannique de 2018 sur la protection des données s’appliquent, les CCT seront applicables telles qu’elles sont modifiées par l’Addendum britannique. L’Addenda britannique sera réputé exécuté par les parties et incorporé à la présente CTD, dont il fait partie intégrante.
6. Droits des personnes concernées
6.1. Pax8 doit :
6.1.1. Dès qu’elle en prend connaissance, notifier rapidement le Responsable du traitement si Pax8 reçoit une demande émanant du droit d’une personne concernée au titre d’une quelconque Législation en matière de protection des données concernant des données à caractère personnel ;
6.1.2. ne pas répondre à cette demande, sauf sur instructions documentées du Responsable du traitement ou si une Autorité de contrôle l’exige ; et
6.1.3. à la demande du Responsable du traitement, lorsque la Législation sur la protection des données l’exige et dans le contexte des Services, aider raisonnablement le Responsable du traitement à traiter une demande d’une personne concernée pouvant faire l’objet d’une action, dans la mesure où le Responsable du traitement ne peut pas répondre à cette demande sans le concours de Pax8. Pax8 peut satisfaire cette demande en mettant à disposition une fonctionnalité qui permet au Responsable du traitement de traiter ces demandes de la Personne concernée sans Traitement supplémentaire de la part de Pax8. Dans la mesure où cette fonctionnalité n’est pas disponible, pour que Pax8 puisse fournir cette assistance raisonnable, le Responsable du traitement doit communiquer cette demande par écrit à Pax8 en fournissant suffisamment d’informations pour permettre à Pax8 de localiser l’enregistrement applicable et de le modifier, de l’exporter ou de le supprimer par la suite.
7. Violation de données à caractère personnel
7.1. Pax8 notifie le Responsable du traitement sans retard excessif dès que Pax8 ou tout sous-traitant ultérieur prend connaissance d’une Violation de données à caractère personnel, et lorsque la Législation en matière de protection des données applicable exige une notification à une Autorité de contrôle dans un délai de 72 heures, ladite notification est adressée au Responsable du traitement dans un délai de 48 heures. Sans préjudice des dispositions de la section 7.3 ci-dessous, cette notification doit au minimum:
7.1.1. décrire la nature de la Violation de données à caractère personnel, les catégories et le nombre de Personnes concernées, ainsi que les catégories et le nombre d’enregistrements de Données à caractère personnel concernés ;
7.1.2. communiquer le nom et les coordonnées du responsable de la protection des données de Pax8 ou de tout autre contact pertinent auprès duquel de plus amples informations peuvent être obtenues ;
7.1.3. décrire les conséquences probables de la Violation de données à caractère personnel dans la mesure où Pax8 est en mesure de les déterminer compte tenu de la nature des Services et de la Violation de données à caractère personnel ; et
7.1.4. décrire les mesures prises ou proposées pour remédier à la Violation de données à caractère personnel.
7.2. Pax8 coopère avec le Responsable du traitement et prend les mesures commerciales raisonnables nécessaires pour aider à l’enquête et à atténuer et remédier à chacune de ces Violations de données à caractère personnel.
7.3. Lorsqu’il n’est pas possible de fournir toutes les informations visées à la section 7.1 en même temps, ces informations peuvent être fournies par étapes, sans retard excessif. L’obligation incombant à Pax8 de signaler une Violation de données à caractère personnel ou d’y répondre n’est pas et ne sera pas interprétée comme une reconnaissance par Pax8 d’une faute ou d’une responsabilité quelconque de Pax8 (ou de ses Affiliés) à l’égard d’une Violation de données à caractère personnel.
7.4. Le Responsable du traitement convient qu’en cas de tentative d’accès aux Données à caractère personnel ou à l’infrastructure et aux réseaux qui fournissent les Services (tels que définis dans la Convention) (y compris les pings, les attaques par déni de service, les attaques contre les pare-feu ou les serveurs périphériques, les balayages de ports, les tentatives de connexion infructueuses, le reniflage de paquets ou tout autre accès non autorisé aux données de trafic) qui n’aboutit pas à une Violation de données à caractère personnel, Pax8 n’a aucune obligation de notifier le Responsable du traitement en vertu de la Convention ou de la présente CTD.
8. Durée ; résiliation ; restitution ou suppression des données à caractère personnel
8.1. La présente CTD entrera en vigueur au moment de l’entrée en vigueur de la Convention entre les parties à laquelle la présente CTD a été incorporée.
8.2. La présente CTD prendra fin automatiquement à la date la plus tardive entre (i) la résiliation ou l’expiration de la Convention ; (ii) la fin du traitement des Données à caractère personnel par Pax8. À la fin de la présente CTD, Pax8 supprimera toutes les Données à caractère personnel traitées pour le compte du Responsable du traitement, sauf si le Responsable du traitement demande la restitution des Données à caractère personnel ou dans la mesure où la Législation en matière de protection des données exige le stockage de ces Données à caractère personnel.
9. Autres Législations sur la protection de la vie privée
9.1. Dans la mesure où le Traitement concerne des Données à caractère personnel provenant d’une juridiction ou dans une juridiction imposant des exigences obligatoires en plus de celles de la présente CTD, les deux parties peuvent convenir de toute mesure supplémentaire nécessaire pour assurer la conformité avec la Législation en matière de protection des données applicable et toute mesure supplémentaire convenue par les parties sera documentée dans un addendum ou un amendement écrit à la présente CTD ou dans une Ordonnance, dûment signé.
9.2. Si une modification doit être apportée à la présente CTD à la suite d’une modification de la Législation en matière de protection des données, y compris une modification des Garanties contractuelles, les deux parties peuvent alors notifier par écrit à l’autre partie cette modification de la loi. Les Parties discuteront et négocieront de bonne foi toute modification nécessaire de la présente CTD, y compris des Garanties contractuelles, pour tenir compte de ces changements.
10. Droits d’examen, d’audit et d’inspection
10.1. Sur demande raisonnable du Responsable du traitement, Pax8 fournira le matériel, la documentation et les informations pertinents et nécessaires relatifs aux mesures de sécurité techniques et organisationnelles de Pax8 employées pour protéger les Données à caractère personnel dans le cadre des Services fournis afin de démontrer la conformité avec la Législation en matière de protection des données.
10.2. Pax8 veillera à ce qu’un audit de sécurité de ses mesures de sécurité techniques et organisationnelles soit effectué au moins une fois par an, conformément à la Législation en matière de protection des données. Cet audit de sécurité sera réalisé conformément aux normes ISO 27001 par un auditeur interne qualifié au sein de Pax8. Les résultats de cet audit de sécurité seront consignés dans un rapport de synthèse. Pax8 fournira rapidement au Responsable du traitement, sur demande, (i) un résumé confidentiel de ce rapport ; et (ii) des preuves de remédiation appropriée à tout problème critique dans un délai de quatre (4) semaines à compter de la date d’émission du rapport d’audit.
10.3. Si, à la suite de la réalisation des étapes énoncées dans les sections 10.1 ci-dessus et 10.2 ci-dessus le Responsable du traitement estime raisonnablement que Pax8 ne respecte pas la Législation en matière de protection des données, le Responsable du traitement peut demander à Pax8 de mettre à disposition, soit par webinaire, soit au cours d’un examen en présentiel, des échantillons de toutes les informations pertinentes nécessaires pour démontrer davantage la conformité à la Législation en matière de protection des données. Le Responsable du traitement qui entreprend ledit examen doit donner à Pax8 un préavis raisonnable en contactant le Responsable mondial de la protection de la vie privée de Pax8 en soumettant une demande via la Demande de confidentialité des données de Pax8 sur le site Web de Pax8.
10.4. Les droits du Responsable du traitement en vertu de la présente section ne peuvent être exercés qu’une fois par année civile, sauf si le Responsable du traitement estime raisonnablement que Pax8 est en violation matérielle de ses obligations en vertu de la présente CTD ou de la Législation en matière de protection des données.
11. Responsabilité
11.1. Les limites et exclusions de la responsabilité d’une Partie énoncées dans la Convention s’appliquent à la responsabilité de cette Partie au titre de la présente CTD (et des Garanties contractuelles), étant entendu que ce qui précède n’a pas pour effet de limiter ou d’exclure la responsabilité d’une Partie à l’égard d’une Personne concernée au titre des Garanties contractuelles.
12. Généralités
12.1. En cas de conflit entre les termes de la Convention et les termes de la présente CTD, les termes de la CTD prévalent. En cas de contradiction ou d’incohérence entre la présente CTD et les Garanties contractuelles qui y sont référencées, ces dernières prévalent.
12.2. Les modifications ou ajouts apportés à la présente CTD et à son Annexe doivent être effectués par écrit et faire l’objet d’un accord entre les Parties pour entrer en vigueur. Il en va de même pour les modifications de cette exigence de forme écrite. Aux fins de la présente section, l’exigence de forme écrite inclut la signature par des moyens électroniques commercialement acceptables, mais n’inclut pas le courrier électronique.
12.3. Si l’une des dispositions de la présente CTD est ou devient invalide, cela ne porte pas atteinte à la validité des autres dispositions.
12.4. Les obligations découlant de dispositions légales ou d’une décision judiciaire ou réglementaire ne sont pas affectées par la présente CTD.
12.5. La présente Convention est régie par le même droit que celui qui régit la Convention entre les Parties, hormis le fait que dans la mesure où les Données à caractère personnel sont protégées par a) le RGPD, le droit applicable sera celui des Pays-Bas ; et b) les Garanties contractuelles, qui seront régies par le droit applicable en vertu des Garanties contractuelles applicables.
Annexe 1 : Détails du traitement des données
| Objet du traitement | Ces opérations de traitement sont nécessaires à l’exécution des obligations découlant de la CTD. |
| Durée du traitement | Sauf si les données à caractère personnel sont autrement supprimées par le Responsable du traitement, la durée de la Convention. |
| Lieu du traitement | Dans les lieux où se trouvent les entités de Pax8 et dans les autres juridictions autorisées par la présente CTD et la Convention. |
| Nature et finalité du traitement | Exécution des obligations prévues par la Convention. |
| Type de données à caractère personnel | Le Responsable du traitement peut soumettre des données à caractère personnel aux Services, sachant que l’étendue de ces données est déterminée et contrôlée par le Responsable du traitement à sa seule discrétion, et qu’elles peuvent inclure, sans s’y limiter, les catégories de données à caractère personnel suivantes :
|
| Données à caractère personnel sensibles | Néant. |
| Fréquence | Continue. |
| Catégories de personnes concernées | Peut inclure, sans s’y limiter, des Données à caractère personnel relatives aux employés, travailleurs, contractants, consultants, directeurs et utilisateurs autorisés du Responsable du traitement. |
| Durée du traitement et période de conservation des Données à caractère personnel | Aussi longtemps que nécessaire pour fournir les produits ou services tels que décrits dans la Convention, conformément aux exigences légales ou contractuelles, ou à la réception de la demande écrite de suppression formulée par le Responsable du traitement. |
| Autorité de contrôle compétente | Comme indiqué à la section 12.5 |
Annexe 2 : Liste des sous-traitants ultérieurs de Pax8
| Nom du sous-traitant ultérieur | Finalité du traitement | Lieu d’hébergement des données |
| Acuity Scheduling | Productivité et opérations | Emplacements de Pax8 |
| Amazon Web Services, Inc. | Productivité et opérations | Emplacements de Pax8 |
| Atlassian, Inc. | Développement des activités, assistance technique et services aux partenaires. | Emplacements de Pax8 |
| BitTitan, Inc. | Développement des activités, assistance technique et services aux partenaires. | Emplacements de Pax8 |
| Box, Inc. | Développement des activités, assistance technique et services aux partenaires. | Emplacements de Pax8 |
| ConnectWise, LLC. | Services aux partenaires | Emplacements de Pax8 |
| Google LLC | Infrastructure et opérations | Emplacements de Pax8 |
| GoTo Technolgies USA, Inc | Soutien et réussite des partenaires | Emplacements de Pax8 |
| Microsoft Inc. | Infrastructure et opérations | Emplacements de Pax8 |
| Wrike, Inc. | Productivité et opérations | Emplacements de Pax8 |
| ServiceNow, Inc. | Productivité et opérations | Emplacements de Pax8 |
| SquareSpace, Inc (Acuity Scheduling) | Productivité et opérations | Emplacements de Pax8 |
Annexe 3 : Conditions spécifiques aux juridictions
UE:
1. Objection aux sous-traitants ultérieurs. Le Responsable du traitement peut objecter par écrit à la désignation par Pax8 d’un nouveau sous-traitant ultérieur dans les cinq (5) jours civils suivant la réception de l’avis conformément à la section 4 de la CTD, à condition que cette objection soit fondée sur des motifs raisonnables liés à la protection des données. Dans un tel cas, les parties discuteront de ces inquiétudes de bonne foi en vue de parvenir à une résolution commercialement raisonnable. Si une telle solution ne peut être trouvée, Pax8, à sa seule discrétion, soit ne nommera pas ce sous-traitant ultérieur, soit permettra au Responsable du traitement de suspendre ou de résilier le Service concerné conformément aux dispositions de résiliation de la Convention sans responsabilité envers l’une ou l’autre des parties (mais sans préjudice des frais engagés par le Responsable du traitement avant la suspension ou la résiliation).
2. Demandes gouvernementales d’accès aux données. De manière générale, Pax8 ne fournit pas volontairement aux organismes gouvernementaux ou aux autorités (y compris les forces de l’ordre) l’accès aux comptes Pax8 (y compris les données à caractère personnel) ou des informations sur ces comptes. Si Pax8 reçoit une demande contraignante (que ce soit par le biais d’une citation à comparaître, d’une injonction du tribunal, d’un mandat de perquisition ou de toute autre procédure légale valide) de la part d’un organisme ou d’une autorité gouvernementale (y compris les forces de l’ordre) pour accéder à ou obtenir des informations sur un compte Pax8 (y compris des Données à caractère personnel) appartenant à un Responsable du traitement dont les coordonnées principales indiquent que le Responsable du traitement est situé dans l’UE, Pax8 devra : (i) examiner la légalité de la demande ; (ii) informer l’organisme gouvernemental que Pax8 est un sous-traitant des données ; (iii) tenter de rediriger l’organisme de manière à ce qu’il demande les données directement au Responsable du traitement ; (iv) informer le Responsable du traitement par courriel envoyé à l’adresse électronique de contact principale du Responsable du traitement de la demande afin de permettre au Responsable du traitement de demander une ordonnance de protection ou un autre recours approprié ; et (v) fournir la quantité minimale d’informations autorisée dans le cadre de la réponse à l’organisme ou à l’autorité, sur la base d’une interprétation raisonnable de la demande. Dans le cadre de cet effort, Pax8 peut fournir à l’agence les coordonnées principales et de facturation du Responsable du traitement. Pax8 n’est pas tenue de se conformer au présent paragraphe 2 si la loi l’en empêche ou si elle estime raisonnablement et en toute bonne foi qu’un accès urgent est nécessaire pour prévenir un risque imminent de préjudice grave à une personne, à la sécurité publique ou aux biens de Pax8, au Site Pax8 ou au Service. Cependant, si la loi interdit à Pax8 d’informer le Responsable du traitement des demandes, Pax8 s’efforcera d’obtenir une dérogation à cette interdiction.
Californie :
1. Sauf indication contraire, les définitions suivantes de : « Responsable du traitement » inclut « Entreprise » ; « sous-traitant » inclut « Prestataire de services » ; « personne concernée » inclut « Consommateur » ; « données à caractère personnel » inclut « Informations personnelles » ; dans chaque cas, tel que défini par la CCPA.
2. Pour la présente section « Californie » uniquement, les « fins autorisées » comprennent le traitement des données à caractère personnel uniquement aux fins décrites dans la présente CTD et conformément aux instructions licites documentées du Responsable du traitement, comme indiqué dans la présente CTD, si nécessaire pour se conformer à la loi applicable, comme convenu par écrit, y compris, sans limitation, dans la Convention, ou tel que cela peut être autorisé par ailleurs pour les « prestataires de services » dans le cadre de la CCPA.
3. Si et dans la mesure où Pax8 traite des données à caractère personnel relatives à un utilisateur final du Responsable du traitement, ou à un client du Responsable du traitement dans le cadre de la CCPA, Pax8 intervient en tant que Prestataire de services tel que défini dans la CCPA. Le Responsable du traitement divulgue uniquement les données à caractère personnel de l’utilisateur final à Pax8, le cas échéant : (i) un objectif commercial valable ; et (ii) pour permettre à Pax8 de fournir les services dans le cadre de la Convention. Pax8 ne (i) vendra pas les informations à caractère personnel, (ii) ne conservera pas, n’utilisera pas et ne divulguera pas les informations à caractère personnel à des fins commerciales autres que la prestation des services, ou (iii) ne conservera pas, n’utilisera pas et ne divulguera pas les informations à caractère personnel en dehors de la prestation des services au Responsable du traitement en vertu de la Convention.
4. Les obligations de Pax8 relatives aux demandes des personnes concernées, telles que décrites dans la section 6 (Droits des personnes concernées) de la présente CTD, s’étendent aux demandes de droits en vertu de la CCPA.
5. Indépendamment de toute restriction d’utilisation contenue ailleurs dans la présente CTD, Pax8 traitera les données à caractère personnel pour exécuter le Service, aux fins autorisées et/ou conformément aux instructions licites documentées du Responsable du traitement, ou comme l’autorise ou l’exige le droit applicable au demeurant.
6. Indépendamment de toute restriction d’utilisation contenue ailleurs dans la présente Annexe 3, Pax8 peut dépersonnaliser ou agréger les Données à caractère personnel dans le cadre de l’exécution du Service spécifié dans la présente CTD et dans la Convention.
7. Lorsque des sous-traitants ultérieurs traitent les Données à caractère personnel des contacts du Responsable, Pax8 prend des mesures pour s’assurer que ces Sous-traitants ultérieurs sont des Prestataires de services en vertu de la CCPA avec lesquels Pax8 a conclu un contrat écrit qui comprend des termes substantiellement similaires à la présente section « Californie » ou qui sont autrement exemptés de la définition de « vente » de la CCPA. Pax8 fait preuve d’une diligence raisonnable à l’égard de ses sous-traitants ultérieurs.
Canada :
1. Pax8 prend des mesures pour s’assurer que les sous-traitants ultérieurs de Pax8, tels que décrits dans la section 4 (Sous-traitants ultérieurs) de la CTD, sont des tiers au sens de la LPRPDE, avec lesquels Pax8 a conclu un contrat écrit dont les termes sont substantiellement similaires à ceux de la présente CTD. Pax8 fait preuve d’une diligence raisonnable à l’égard de ses sous-traitants ultérieurs.
2. Pax8 mettra en œuvre des mesures techniques et organisationnelles qui peuvent être consultées à l’adresse
https://www.pax8.com/en-us/terms/.
Annexe 4: Responsable du traitement à sous-traitant Clauses (2021) (“SCCs”)
(MODULE 2: Responsable du traitement à sous-traitant)
ANNEXE
CLAUSES CONTRACTUELLES TYPES
SECTION I
Clause 1
Finalités et champ d’application
a. Les présentes clauses contractuelles types visent à garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (1) en cas de transfert de données à caractère personnel vers un pays tiers.
b. Les parties:
i. la ou les personnes physiques ou morales, la ou les autorités publiques, la ou les agences ou autre(s) organisme(s) (ci-après la ou les «entités») qui transfèrent les données à caractère personnel, mentionnés à l’annexe I.A. (ci-après l’«exportateur de données»), et
ii. la ou les entités d’un pays tiers qui reçoivent les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses, mentionnées à l’annexe I.A. (ci-après l’«importateur de données»)
sont convenues des présentes clauses contractuelles types (ci-après les «clauses»).
c. Les présentes clauses s’appliquent au transfert de données à caractère personnel précisé à l’annexe I.B.
d. L’appendice aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des présentes clauses.
Clause 2
Effet et invariabilité des clauses
a. Les présentes clauses établissent des garanties appropriées, notamment des droits opposables pour la personne concernée et des voies de droit effectives, en vertu de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types en vertu de l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l’appendice. Cela n’empêche pas les parties d’inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les présentes clauses et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.
b. Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.
Clause 3
Tiers bénéficiaires
a. Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes:
i. clause 1, clause 2, clause 3, clause 6, clause 7;
ii. clause 8 — module 1: clause 8.5, paragraphe e), et clause 8.9, paragraphe b); module 2: clause 8.1, paragraphe b), clause 8.9, paragraphes a), c), d) et e); module 3: clause 8.1, paragraphes a), c) et d) et clause 8.9, paragraphes a), c), d), e), f) et g); module 4: clause 8.1, paragraphe b), et clause 8.3, paragraphe b);
iii. clause 9 — module 2: clause 9, paragraphes a), c), d) et e); module 3: clause 9, paragraphes a) c), d) et e);
iv. clause 12 — module 1: clause 12, paragraphes a) et d); modules 2 et 3: clause 12, paragraphes a), d) et f);
v. clause 13;
vi. clause 15.1, paragraphes c), d) et e);
vii. clause 16, paragraphe e);
viii. clause 18 — modules 1, 2 et 3: clause 18, paragraphes a) et b); module 4: clause 18.
b. Le paragraphe a) est sans préjudice des droits des personnes concernées au titre du règlement (UE) 2016/679.
Clause 4
Interprétation
a. Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ceux-ci ont la même signification que dans ledit règlement.
b. Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.
c. Les présentes clauses ne sont pas interprétées dans un sens contraire aux droits et obligations prévus dans le règlement (UE) 2016/679.
Clause 5
Hiérarchie
En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties existant au moment où les présentes clauses sont convenues, ou souscrites par la suite, les présentes clauses prévalent.
Clause 6
Description du ou des transferts
Les détails du ou des transferts, en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles le sont, sont précisés à l’annexe I.B.
Clause 7
Clause d’adhésion
a. Une entité qui n’est pas partie aux présentes clauses peut, avec l’accord des parties, y adhérer à tout moment, soit en tant qu’exportateur de données soit en tant qu’importateur de données, en remplissant l’appendice et en signantl’annexe I.A.
b. Une fois l’appendice rempli et l’annexe I.A. signée, l’entité adhérente devient partie aux présentes clauses et a les droits et obligations d’un exportateur de données ou d’un importateur de données selon sa désignation dans l’annexe I.A.
c. L’entité adhérente n’a aucun droit ni obligation découlant des présentes clauses pour la période antérieure à son adhésion à celles-ci.
SECTION II — OBLIGATIONS DES PARTIES
Clause 8
Garanties en matière de protection des données
L’exportateur de données garantit qu’il a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses.
MODULE 1: transfert de responsable du traitement à responsable du traitement
8.1. Limitation des finalités
L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du transfert, telles que précisée(s) à l’annexe I.B. Il ne peut traiter les données à caractère personnel pour une autre finalité que:
i. s’il a obtenu le consentement préalable de la personne concernée;
ii. si le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques; ou
iii. si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
8.2. Transparence
a. Afin de permettre aux personnes concernées d’exercer effectivement leurs droits en vertu de la clause 10, l’importateur de données les informe, soit directement soit par l’intermédiaire de l’exportateur de données:
i. de son identité et de ses coordonnées;
ii. des catégories de données à caractère personnel traitées;
iii. du droit d’obtenir une copie des présentes clauses;
iv. lorsqu’il a l’intention de transférer ultérieurement les données à caractère personnel à un ou plusieurs tiers, du destinataire ou des catégories de destinataires (selon le cas, en fonction de ce qui est nécessaire pour fournir des informations utiles), ainsi que de la finalité de transfert ultérieur et de son motif conformément à la clause 8.7.
b. Le paragraphe a) ne s’applique pas lorsque la personne concernée dispose déjà de ces informations, notamment lorsque ces informations ont déjà été communiquées par l’exportateur de données ou lorsque la communication de ces informations se révèle impossible ou exigerait des efforts disproportionnés de la part de l’importateur de données. Dans ce dernier cas, l’importateur de données met, dans la mesure du possible, ces informations à la disposition du public.
c. Sur demande, les parties mettent gratuitement à la disposition de la personne concernée une copie des présentes clauses, notamment de l’appendice tel qu’elles l’ont rempli. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, les parties peuvent occulter une partie du texte de l’appendice avant d’en communiquer une copie, mais fournissent un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en comprendre le contenu ou d’exercer ses droits. Les parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des occultations, dans la mesure du possible sans révéler les informations occultées.
d. Les paragraphes a) à c) sont sans préjudice des obligations qui incombent à l’exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.
8.3. Exactitude et minimisation des données
a. Chaque partie veille à ce que les données à caractère personnel soient exactes et, si nécessaire, tenues à jour. L’importateur de données prend toutes les mesures raisonnables pour que les données à caractère personnel qui sont inexactes, eu égard à la ou aux finalités du traitement, soient effacées ou rectifiées sans tarder.
b. Si une des parties se rend compte que les données à caractère personnel qu’elle a transférées ou reçues sont inexactes, ou sont obsolètes, elle en informe l’autre partie dans les meilleurs délais.
c. L’importateur de données veille à ce que les données à caractère personnel soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la ou des finalités du traitement.
8.4. Limitation de la conservation
L’importateur de données ne conserve pas les données à caractère personnel plus longtemps que ce qui est nécessaire à la ou les finalités pour lesquelles elles sont traitées. Il met en place des mesures techniques ou organisationnelles appropriées pour garantir le respect de cette obligation, notamment l’effacement ou l’anonymisation (2) des données et de toutes leurs sauvegardes à la fin de la période de conservation.
8.5. Sécurité du traitement
a. L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données à caractère personnel, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé (ci-après la «violation de données à caractère personnel»). Lors de l’évaluation du niveau de sécurité approprié, ils tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour la personne concernée. Les parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière.
b. Les parties sont convenues des mesures techniques et organisationnelles énoncées à l’annexe II. L’importateur de données procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié.
c. L’importateur de données veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
d. En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour remédier à la violation desdites données, y compris des mesures visant à en atténuer les effets négatifs potentiels.
e. En cas de violation de données à caractère personnel susceptible d’engendrer un risque pour les droits et libertés des personnes physiques, l’importateur de données en informe sans tarder tant l’exportateur de données que l’autorité de contrôle compétente au sens de la clause 13. Cette notification contient i) une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), ii) une description de ses conséquences probables, iii) une description des mesures prises ou proposées pour remédier à la violation et iv) les coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations. Dans la mesure où l’importateur de données n’a pas la possibilité de fournir toutes les informations en même temps, il peut le faire de manière échelonnée sans autre retard indu.
f. En cas de violation de données à caractère personnel susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, l’importateur de données informe également sans tarder les personnes concernées de la violation de données à caractère personnel et de sa nature, si nécessaire en coopération avec l’exportateur de données, en leur communiquant les informations mentionnées au paragraphe e), points ii)) à iv), à moins qu’il n’ait mis en œuvre des mesures visant à réduire de manière significative le risque pour les droits ou libertés des personnes physiques ou que cette notification n’exige des efforts disproportionnés. Dans ce dernier cas, l’importateur de données publie, à la place, une communication ou prend une mesure similaire pour informer le public de la violation de données à caractère personnel.
g. L’importateur de données répertorie tous les faits pertinents relatifs à la violation de données à caractère personnel, notamment ses effets et les mesures prises pour y remédier, et en garde une trace.
8.6. Données sensibles
Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales ou à des infractions (ci-après les «données sensibles»), l’importateur de données applique des restrictions particulières et/ou des garanties supplémentaires adaptées à la nature spécifique des données et aux risques encourus. Cela peut inclure une restriction du personnel autorisé à accéder aux données à caractère personnel, des mesures de sécurité supplémentaires (telles que la pseudonymisation) et/ou des restrictions supplémentaires concernant une divulgation ultérieure.
8.7. Transferts ultérieurs
L’importateur de données ne divulgue pas les données à caractère personnel à un tiers situé en dehors de l’Union européenne (3) (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après «transfert ultérieur»), sauf si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié. Dans le cas contraire, un transfert ultérieur par l’importateur de données ne peut avoir lieu que si:
i. il est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur;
ii. le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question;
iii. le tiers conclut un acte contraignant avec l’importateur de données garantissant le même niveau de protection des données que les présentes clauses, et l’importateur de données fournit une copie de ces garanties à l’exportateur de données;
iv. il est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques;
v. il est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique; ou
vi. lorsque aucune des autres conditions ne s’applique, l’importateur de données a obtenu le consentement explicite de la personne concernée pour un transfert ultérieur dans une situation particulière, après l’avoir informée de la ou des finalités de ce transfert ultérieur, de l’identité du destinataire et des risques éventuels que ce transfert lui fait courir en raison de l’absence de garanties appropriées en matière de protection des données. Dans ce cas, l’importateur de données informe l’exportateur de données et, à la demande de ce dernier, lui transmet une copie des informations fournies à la personne concernée.
Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au titre des présentes clauses, en particulier de la limitation des finalités.
8.8. Traitement effectué sous l’autorité de l’importateur de données
L’importateur de données veille à ce que toute personne agissant sous son autorité, notamment un sous-traitant, ne traite les données que sur ses instructions.
8.9. Documentation et conformité
a. Chaque partie est en mesure de démontrer le respect des obligations qui lui incombent en vertu des présentes clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de traitement menées sous sa responsabilité.
b. L’importateur de données met ces documents à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande.
Clause 9
Recours à des sous-traitants ultérieurs
MODULE 2: transfert de responsable du traitement à sous-traitant
a. L’importateur de données a l’autorisation générale de l’exportateur de données de recruter un ou plusieurs sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe expressément par écrit l’exportateur de données de tout changement concernant l’ajout ou le remplacement de sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste sous-traitants conformément à la section 4.1 de l’addendum sur le traitement des données (« DPA ») auquel ces clauses sont annexées, donnant ainsi à l’exportateur de données suffisamment de temps pour émettre des objections à l’encontre de ces changements avant le recrutement du ou des sous-traitants ultérieurs L’importateur de données fournit à l’exportateur de données les informations nécessaires pour permettre à ce dernier d’exercer son droit d’émettre des objections.
b. Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte de l’exportateur de données), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données au titre des présentes clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les personnes concernées (8). Les parties conviennent qu’en respectant la présente clause, l’importateur de données satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses.
c. L’importateur de données fournit à l’exportateur de données, à la demande de celui-ci, une copie du contrat avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en communiquer une copie.
d. L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu dudit contrat.
e. L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner instruction à ce dernier d’effacer ou de restituer les données à caractère personnel.
Clause 10
Droits des personnes concernées
a. L’importateur de données informe rapidement l’exportateur de données de toute demande reçue d’une personne concernée. Il ne répond pas lui-même à cette demande, à moins d’y avoir été autorisé par l’exportateur de données.
b. L’importateur de données aide l’exportateur de données à s’acquitter de son obligation de répondre aux demandes de personnes concernées désireuses d’exercer leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide requise.
c. Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de données se conforme aux instructions de l’exportateur de données.
Clause 11
Voies de recours
a. L’importateur de données informe les personnes concernées, sous une forme transparente et aisément accessible, au moyen d’une notification individuelle ou sur son site web, d’un point de contact autorisé à traiter les réclamations. Il traite sans délai toute réclamation reçue d’une personne concernée.
b. En cas de litige entre une personne concernée et l’une des parties portant sur le respect des présentes clauses, cette partie met tout en œuvre pour parvenir à un règlement à l’amiable dans les meilleurs délais. Les parties se tiennent mutuellement informées de ces litiges et, s’il y a lieu, coopèrent pour les résoudre.
c. Lorsque la personne concernée invoque un droit du tiers bénéficiaire en vertu de la clause 3, l’importateur de données accepte la décision de la personne concernée:
i. id’introduire une réclamation auprès de l’autorité de contrôle de l’État membre dans lequel se trouve sa résidence habituelle ou son lieu de travail, ou auprès de l’autorité de contrôle compétente au sens de la clause 13;
ii. de renvoyer le litige devant les juridictions compétentes au sens de la clause 18.
d. Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l’article 80, paragraphe 1, du règlement (UE) 2016/679.
e. L’importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de l’Union ou d’un État membre.
f. L’importateur de données convient que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural et matériel de cette dernière d’obtenir réparation conformément à la législation applicable.
Clause 12
Responsabilité
a. Chaque partie est responsable envers la ou les autres parties des dommages qu’elle cause à l’autre ou aux autres parties du fait d’un manquement aux présentes clauses.
b. L’importateur de données est responsable à l’égard de la personne concernée, et la personne concernée a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’importateur de données ou son sous-traitant ultérieur du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses.
c. Nonobstant le paragraphe b), l’exportateur de données est responsable à l’égard de la personne concernée et celle-ci a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’exportateur de données ou l’importateur de données (ou son sous-traitant ultérieur) du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données et, si l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du traitement, de la responsabilité de ce dernier au titre du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas.
d. Les parties conviennent que, si l’exportateur de données est reconnu responsable, en vertu du paragraphe c), du dommage causé par l’importateur de données (ou son sous-traitant ultérieur), il a le droit de réclamer auprès de l’importateur de données la part de la réparation correspondant à la responsabilité de celui-ci dans le dommage.
e. Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement et la personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties.
f. Les parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe e), celle-ci a le droit de réclamer auprès de l’autre ou des autres parties la part de la réparation correspondant à sa/leur responsabilité dans le dommage.
g. L’importateur de données ne peut invoquer le comportement d’un sous-traitant ultérieur pour échapper à sa propre responsabilité.
Clause 13
Contrôle
a. Si l’exportateur de données est établi dans un État membre de l’Union:] L’autorité de contrôle chargée de garantir le respect, par l’exportateur de données, du règlement (UE) 2016/679 en ce qui concerne le transfert de données, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente.
Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2, et a désigné un représentant en vertu de l’article 27, paragraphe 1, dudit règlement:] L’autorité de contrôle de l’État membre dans lequel le représentant au sens de l’article 27, paragraphe 1, du règlement (UE) 2016/679 est établi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente.
Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2 sans toutefois avoir à désigner un représentant en vertu de l’article 27, paragraphe 2, du règlement (UE) 2016/679:] L’autorité de contrôle d’un des États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont transférées au titre des présentes clauses en lien avec l’offre de biens ou de services ou dont le comportement fait l’objet d’un suivi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité compétente.
b. L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à garantir le respect des présentes clauses. En particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, notamment aux mesures correctrices et compensatoires. Il confirme par écrit à l’autorité de contrôle que les mesures nécessaires ont été prises.
SECTION III — LÉGISLATIONS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS DES AUTORITÉS PUBLIQUES
Clause 14
Législations et pratiques locales ayant une incidence sur le respect des clauses
a. Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses. Cette disposition repose sur l’idée que les législations et les pratiques qui respectent l’essence des libertés et droits fondamentaux et qui n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour préserver un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes clauses.
b. Les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte, en particulier, des éléments suivants:
i. des circonstances particulières du transfert, parmi lesquelles la longueur de la chaîne de traitement, le nombre d’acteurs concernés et les canaux de transmission utilisés; les transferts ultérieurs prévus; le type de destinataire; la finalité du traitement; les catégories et le format des données à caractère personnel transférées; le secteur économique dans lequel le transfert a lieu et le lieu de stockage des données transférées;
ii. des législations et des pratiques du pays tiers de destination – notamment celles qui exigent la divulgation de données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données – pertinentes au regard des circonstances particulières du transfert, ainsi que des limitations et des garanties applicables (12) ;
iii. de toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.
c. L’importateur de données garantit que, lors de l’évaluation au titre du paragraphe b), il a déployé tous les efforts possibles pour fournir des informations pertinentes à l’exportateur de données et convient qu’il continuera à coopérer avec ce dernier pour garantir le respect des présentes clauses.
d. Les parties conviennent de conserver une trace documentaire de l’évaluation au titre du paragraphe b) et de mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande.
e. L’importateur de données accepte d’informer sans délai l’exportateur de données si, après avoir souscrit aux présentes clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences du paragraphe a), notamment à la suite d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application pratique de cette législation qui n’est pas conforme aux exigences du paragraphe a). [Pour le module 3: l’exportateur de données transmet la notification au responsable du traitement.]
f. À la suite d’une notification au titre du paragraphe e), ou si l’exportateur de données a d’autres raisons de croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des présentes clauses, l’exportateur de données définit sans délai les mesures appropriées (par exemple des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) qu’il doit adopter et/ou qui doivent être adoptées par l’importateur de données pour remédier à la situation, [pour le module 3:, si nécessaire en concertation avec le responsable du traitement]. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée ne peut être fournie pour ce transfert ou si [pour le module 3: le responsable du traitement ou] l’autorité de contrôle compétente lui en donne [pour le module 3: donnent] l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 16, paragraphes d) et e), s’applique.
Clause 15
Obligations de l’importateur de données en cas d’accès des autorités publiques
15.1. Notification
a. L’importateur de données convient d’informer sans délai l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données):
i. s’il reçoit une demande juridiquement contraignante d’une autorité publique, y compris judiciaire, en vertu de la législation du pays de destination en vue de la divulgation de données à caractère personnel transférées au titre des présentes clauses; cette notification comprend des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie; ou
ii. s’il a connaissance d’un quelconque accès direct des autorités publiques aux données à caractère personnel transférées au titre des présentes clauses en vertu de la législation du pays de destination; cette notification comprend toutes les informations dont l’importateur de données dispose.
b. Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de pouvoir en apporter la preuve à l’exportateur de données, si celui-ci lui en fait la demande.
c. Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations utiles que possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, la ou les autorités requérantes, la contestation ou non des demandes et l’issue de ces contestations, etc.).
d. d) L’importateur de données accepte de conserver les informations mentionnées aux paragraphes a) à c) pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.
e. Les paragraphes a) à c) sont sans préjudice de l’obligation incombant à l’importateur de données, en vertu de la clause 14, paragraphe e), et de la clause 16, d’informer sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses.
15.2. Contrôle de la légalité et minimisation des données
a. L’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier de vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données exerce les possibilités d’appel ultérieures dans les mêmes conditions. Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se prononce sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas obligé de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations incombant à l’importateur de données en vertu de la clause 14, paragraphe e).
b. L’importateur de données accepte de garder une trace documentaire de son évaluation juridique ainsi que de toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, de mettre les documents concernés à la disposition de l’exportateur de données. Il les met également à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.
c. L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.
SECTION IV — DISPOSITIONS FINALES
Clause 16
Non-respect des clauses et résiliation
a. L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses, quelle qu’en soit la raison.
b. Dans le cas où l’importateur de données enfreint les présentes clauses ou n’est pas en mesure de les respecter, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que le respect des présentes clauses soit à nouveau garanti ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14, paragraphe f).
c. L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses, lorsque:
i. l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données en vertu du paragraphe b) et que le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension;
ii. l’importateur de données enfreint gravement ou de manière persistante les présentes clauses; ou
iii. l’importateur de données ne se conforme pas à une décision contraignante d’une juridiction ou d’une autorité de contrôle compétente concernant les obligations qui lui incombent au titre des présentes clauses.
Dans ces cas, il informe l’autorité de contrôle compétente de ce non-respect. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement.
d. Les données à caractère personnel qui ont été transférées avant la résiliation du contrat au titre du paragraphe c) sont immédiatement restituées à l’exportateur de données ou effacées dans leur intégralité, à la convenance de celui-ci. Il en va de même pour toute copie des données. L’importateur de données apporte la preuve de l’effacement des données à l’exportateur de données. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel transférées, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données que dans la mesure où et aussi longtemps que cette législation locale l’exige.
e. Chaque partie peut révoquer son consentement à être liée par les présentes clauses i) si la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s’appliquent; ou ii) si le règlement (UE) 2016/679 est intégré dans le cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations qui s’appliquent au traitement en question en vertu du règlement (UE) 2016/679.
Clause 17
Droit applicable
Les présentes clauses sont régies par le droit d’un des États membres de l’Union européenne, pour autant que ce droit reconnaisse des droits au tiers bénéficiaire. Les parties conviennent qu’il s’agit du droit de les Pays-Bas (précisez l’État membre).
Clause 18
Élection de for et juridiction
a. Tout litige survenant du fait des présentes clauses est tranché par les juridictions d’un État membre de l’Union européenne.
b. Les parties conviennent qu’il s’agit des juridictions de les Pays-Bas (précisez l’État membre).
c. La personne concernée peut également poursuivre l’exportateur et/ou l’importateur de données devant les juridictions de l’État membre dans lequel elle a sa résidence habituelle.
d. Les parties acceptent de se soumettre à la compétence de ces juridictions.
Annexe I aux Clauses contractuelles types
Liste des parties
| Responsable(s) du traitement (Exportateur de données) | Détails/Descriptions |
| Nom : | Le client tel que défini dans la Convention |
| Adresse : | Adresse mentionnée dans la Convention |
| Nom, fonction et coordonnées de la personne de contact : | Coordonnées indiquées dans la Convention |
| Activités pertinentes pour les données transférées en vertu de ces clauses : | Les activités pertinentes sont définies à l’Annexe 1 de la CTD. |
| Signature et date : | Comme indiqué dans la Convention |
| Rôle (responsable du traitement / sous-traitant) : | Responsable du traitement |
| Sous-traitant(s) (Importateur de données) | Détails/Descriptions |
| Nom : | Pax8 |
| Adresse : | Adresse citée dans la Convention |
| Nom, fonction et coordonnées de la personne de contact : | Coordonnées indiquées dans la Convention |
| Activités pertinentes pour les données transférées en vertu de ces clauses : | Les activités pertinentes sont définies à l’Annexe 1 de la CTD. |
| Signature et date : | Comme indiqué dans la Convention |
| Rôle (responsable du traitement / sous-traitant) : | Sous-traitant |
Description du transfert
Les détails suivants figurent à l’Annexe 1 (Détails du traitement des données) de la CTD
(a) Catégories de personnes concernées
(b) Catégories de données à caractère personnel
(c) Données sensibles transférées (le cas échéant)
(d) Fréquence des transferts
(e) Objet et nature du traitement
(f) Finalité du traitement :
(g) Durée du traitement et période de conservation des données à caractère personnel :
Annexe II aux Clauses contractuelles types
Les mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à garantir la sécurité des données, sont décrites ici : https://www.pax8.com/en-us/terms/.
Annexe III aux Clauses contractuelles types
Les détails concernant les sous-traitants ultérieurs de Pax8, l’objet et la nature de leur traitement figurent à l’annexe 2 de la CTD.
FIN