Get in Touch
Application
WELL Certification Achieve WELL Certification Meet WELL's requirements and earn up to 9 points with Kaiterra workplace Enhance Workplace Experience Deliver elevated workplace experiences with better air High performance buildings Improve HVAC & Building Performance Make data-driven decisions in building design and operations
Certification Projects
LEED Projects RESET Projects Fitwel Projects
Hardware
Wireless Solutions 🆕
Wired Solutions
Compare Hardware
Software
Kaiterra Data Platform
Pricing
blog Better Building Blog Insights and perspectives on healthy buildings and IAQ Downloads Technical Downloads Download technical documentation for Kaiterra products support Support Knowledge base, how-to articles and troubleshooting Security Icon Security Security measures we've put in place to keep your data safe resources Learning Center Educational resources crafted by air quality experts compare Events Upcoming and on-demand Kaiterra events
WELL Compliance Report - Menu
DASHBOARD FEATURE WELL Compliance Report Learn More
ebook - Business Case for IAQ
eBook The Business Case for
Indoor Air Quality Download
about About Learn how we help companies decarbonize their buildings and address climate change. career Careers Ready to make an impact? Explore our open positions. contact@2x Contact Get in touch to discuss a project, a partnership, or get fast and dedicated support.

Accord sur le traitement des données

Dernière mise à jour : 13 août 2022

KAITERRA

ACCORD SUR LE TRAITEMENT DES DONNÉES

‍Le présent accord de traitement des données (" APD "), qui comprend les clauses contractuelles types adoptées par la Commission européenne pour utilisation dans l'Union européenne (" CCS de l'UE ") conformément aux transferts de données personnelles vers des pays tiers en vertu du Règlement général sur la protection des données (" RGPD "), ainsi que les clauses contractuelles types approuvées par l'Information Commissioner's Office du Royaume-Uni (" Royaume-Uni ") pour satisfaire aux exigences relatives aux transferts internationaux restreints de données à partir du Royaume-Uni en vertu du RGPD du Royaume-Uni (" CCS du Royaume-Uni "), reflète, le cas échéant, l'accord des parties concernant les conditions régissant le traitement des données personnelles dans le cadre du contrat d'abonnement principal de Kaiterra, des conditions de service de Kaiterra, des conditions d'achat de Kaiterra ou de tout autre accord écrit faisant référence à ce DPA (l'"accord") entre Origins Technology Ltd. (" Kaiterra ") et le client qui est partie au contrat (" client "). Le présent DPA est incorporé au contrat et en fait partie intégrante. Veuillez nous contacter à l'adresse privacy@kaiterra.com si vous avez besoin d'une copie signée de ce DPA pour vos dossiers.

Nous mettons périodiquement à jour cette DPA. Si vous avez un abonnement Kaiterra actif, nous vous en informerons par e-mail ou par notification in-app.

La durée de la présente DPA suit celle de l'accord. Les termes qui ne sont pas définis dans le présent document ont la signification qui leur est donnée dans l'accord.

CE DPA COMPREND :

(i) les CCAP de l'UE, joints à la présente en tant qu'annexe 1.

(a) L'annexe 1 des CCAP de l'UE, qui contient des précisions sur les données à caractère personnel transférées par l'exportateur de données à l'importateur de données.

(b) L'annexe 2 des CCAP de l'UE, qui comprend une description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données, comme indiqué.

(ii) La liste des Sous-Traitants actuels de Kaiterra, jointe en Annexe 3.

(ii) Les CCAP britanniques, jointes aux présentes en tant qu'annexe 2.

(a) L'appendice 1 des CCAP britanniques, qui comprend des précisions sur les données à caractère personnel transférées par l'exportateur de données à l'importateur de données.

(b) L'annexe 2 des CCAP britanniques, qui comprend une description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données, comme indiqué.

1. Définitions

Le "Responsable du traitement" est la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel.

"Loi sur la protection des données " désigne toute la législation applicable en matière de protection des données et de la vie privée, y compris, sans s'y limiter, le GDPR et toutes les lois et réglementations locales qui modifient ou remplacent l'une d'entre elles, ainsi que toutes les lois nationales de mise en œuvre dans tout État membre de l'Union européenne ou, dans la mesure applicable, dans tout autre pays, telles que modifiées, abrogées, consolidées ou remplacées de temps à autre. Les termes "processus", "processus" et "traité" seront interprétés en conséquence.

Le terme "personne concernée" désigne la personne physique à laquelle se rapportent les données personnelles.

"Produits Kaiterra " désigne le matériel Kaiterra et les services associés fournis par Kaiterra au client dans le cadre du contrat.

" GDPR " désigne le Règlement général sur la protection des données (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, ou les mises en œuvre analogues du GDPR en dehors de l'Union européenne, y compris, mais sans s'y limiter, le GDPR du Royaume-Uni.

"Instruction" désigne l'instruction écrite et documentée, émise par le contrôleur à l'intention du sous-traitant, et ordonnant à ce dernier d'effectuer une action spécifique concernant les données personnelles (y compris, mais sans s'y limiter, la dépersonnalisation, le blocage, l'effacement, la mise à disposition).

"Données personnelles" : toute information relative à une personne identifiée ou identifiable lorsque cette information est contenue dans les données du client et est protégée de la même manière que les données personnelles ou les informations personnellement identifiables en vertu de la loi sur la protection des données en vigueur.

"Violation des données à caractère personnel" : une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, stockées ou traitées d'une autre manière, ou l'accès à de telles données.

"Traitement" : toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel, y compris la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction ou l'effacement de données à caractère personnel.

Le terme "sous-traitant" désigne une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données à caractère personnel pour le compte du contrôleur.

"Clauses contractuelles types" désigne les clauses jointes aux présentes en tant que pièce 1 et pièce 2 conformément à la décision (UE) 2021/914 du 4 juin 2021 et (C(2010)593) du 5 février 2010 de la Commission européenne relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données.

"Sous-traitant " désigne un sous-traitant engagé par Kaiterra pour traiter des données à caractère personnel.

2. Responsabilité du client

Les parties reconnaissent et conviennent que le client est le contrôleur des données personnelles et que Kaiterra est le responsable du traitement des données personnelles. Dans le cadre de l'accord et de son utilisation des produits Kaiterra, le contrôleur est seul responsable du respect des exigences légales qui lui incombent en matière de protection des données et de la vie privée, en particulier en ce qui concerne la divulgation et le transfert des données personnelles au sous-traitant et le traitement des données personnelles. Le responsable du traitement informe le sous-traitant de manière exhaustive et sans retard injustifié de toute erreur ou irrégularité liée aux dispositions légales relatives au traitement des données à caractère personnel.

3. Obligations du sous-traitant

a. Respect des instructions. Le sous-traitant collecte, traite et utilise les données à caractère personnel uniquement dans le cadre des instructions du responsable du traitement. Les instructions du Contrôleur sont documentées dans le présent DPA, l'Accord et tout Formulaire de commande applicable. Le responsable du traitement peut raisonnablement donner des instructions supplémentaires si cela est nécessaire pour se conformer à la loi sur la protection des données. Le sous-traitant peut facturer des frais raisonnables pour se conformer à toute instruction supplémentaire.

Si le sous-traitant estime qu'une instruction du responsable du traitement enfreint la loi sur la protection des données, il en informe sans délai le responsable du traitement. Sauf si la loi applicable l'interdit, le Processeur informera le Contrôleur si le Processeur est soumis à une obligation légale qui l'oblige à traiter les Données personnelles du Contrôleur en violation des Instructions ; et (ii) peut cesser tout Traitement (autre que le simple stockage et le maintien de la sécurité des Données personnelles concernées) jusqu'à ce que le Contrôleur émette de nouvelles Instructions auxquelles le Processeur est en mesure de se conformer. Si cette disposition est invoquée, le sous-traitant ne sera pas responsable envers le responsable du traitement en vertu de l'accord pour tout manquement à l'exécution des produits Kaiterra applicables jusqu'à ce que le responsable du traitement émette de nouvelles instructions concernant le traitement.

b. Sécurité. Le Processeur doit prendre les mesures techniques et organisationnelles appropriées pour protéger adéquatement les Données personnelles contre la destruction, la perte, l'altération, la divulgation non autorisée des Données personnelles ou l'accès à celles-ci, de manière accidentelle ou illégale, conformément à l'Annexe 2 du CSC de l'UE et à l'Appendice 2 du CSC du Royaume-Uni. la demande du Contrôleur, le Processeur fournira un programme actuel de protection et de sécurité des Données à caractère personnel relatif au Traitement en vertu des présentes.

Le Processeur aidera le Contrôleur à se conformer à l'obligation du Contrôleur de mettre en œuvre des mesures de sécurité concernant les Données à caractère personnel (y compris, le cas échéant, les obligations du Contrôleur en vertu des articles 32 à 34 (inclus) du GDPR), en (i) mettant en œuvre et en maintenant les mesures de sécurité décrites à l'Annexe 2, (ii) se conformant aux conditions de la Clause 4(d) des CCN du Royaume-Uni et de la Clause 8.6(a) du CCN de l'UE (violations de données à caractère personnel) ; et (iii) en fournissant au Responsable du traitement des informations relatives au Traitement conformément à la clause 5 du CCN du Royaume-Uni et à la clause 8.9 du CCN de l'UE (audits).

c. Confidentialité. Le Processeur veille à ce que tout membre du personnel qu'il autorise à traiter des Données à caractère personnel en son nom soit soumis à des obligations de confidentialité à l'égard de ces Données à caractère personnel. L'engagement de confidentialité est maintenu après la cessation des activités susmentionnées.

d. Violation de données à caractère personnel. Le Processeur notifiera le Contrôleur dès que possible après avoir pris connaissance d'une violation de données personnelles affectant des données personnelles. À la demande du Contrôleur, le Processeur fournira au Contrôleur toute l'assistance raisonnable nécessaire pour permettre au Contrôleur de notifier les violations de données personnelles pertinentes aux autorités compétentes et/ou aux personnes concernées, si le Contrôleur est tenu de le faire en vertu de la Loi sur la protection des données.

e. Demandes des personnes concernées. Le Processeur fournira une assistance raisonnable, y compris par des mesures techniques et organisationnelles appropriées et en tenant compte de la nature du Traitement, pour permettre au Contrôleur de répondre à toute demande des Personnes concernées cherchant à exercer leurs droits en vertu de la Loi sur la protection des données en ce qui concerne les Données personnelles (y compris l'accès, la rectification, la restriction, la suppression ou la portabilité des Données personnelles, selon le cas), dans la mesure permise par la loi. Si une telle demande est adressée directement au sous-traitant, celui-ci en informera le contrôleur et conseillera aux personnes concernées de soumettre leur demande au contrôleur. Le contrôleur est seul responsable de la réponse aux demandes des personnes concernées.

Dans la mesure où le responsable du traitement n'est pas en mesure de répondre à une demande d'une personne concernée, à la demande du responsable du traitement, le sous-traitant fournit une assistance raisonnable au responsable du traitement pour faciliter la demande de la personne concernée dans la mesure du possible et uniquement dans la mesure où cela est requis par la législation applicable en matière de protection des données. Le responsable du traitement rembourse au sous-traitant les coûts commercialement raisonnables découlant de cette assistance.

f. Suppression ou récupération des données personnelles. Sauf dans la mesure requise pour se conformer à la loi sur la protection des données, après la résiliation ou l'expiration de l'accord, le sous-traitant supprimera ou retournera toutes les données personnelles (y compris les copies de celles-ci) traitées conformément à la présente DPA. Si le sous-traitant n'est pas en mesure de supprimer les données à caractère personnel pour des raisons techniques ou autres, il appliquera des mesures visant à garantir que les données à caractère personnel ne pourront plus faire l'objet d'un traitement ultérieur.

Lors de la résiliation ou de l'expiration de l'accord, le responsable du traitement doit, par le biais d'une instruction, stipuler, dans un délai fixé par le sous-traitant, les mesures raisonnables à prendre pour restituer les données ou supprimer les données stockées. Tout coût supplémentaire lié à la restitution ou à la suppression des données personnelles après la résiliation ou l'expiration de l'accord est à la charge du responsable du traitement.

g. Évaluations de l'impact sur la protection des données et consultation des autorités chargées de la protection des données. Dans la mesure où les informations requises sont à la disposition du Processeur et que le Contrôleur n'a pas autrement accès aux informations requises, le Processeur fournira une assistance raisonnable au Contrôleur pour toutes les évaluations d'impact sur la protection des données, et les consultations préalables avec les Autorités de protection des données, que le Contrôleur considère raisonnablement comme étant requises par l'article 35 ou 36 du GDPR ou les dispositions équivalentes de toute autre Loi sur la protection des données, dans chaque cas uniquement en relation avec le traitement des Données à caractère personnel.

4. Audits

Le Processeur doit, conformément aux Lois sur la protection des données et en réponse à une demande écrite raisonnable du Contrôleur, mettre à la disposition du Contrôleur les informations en possession ou sous le contrôle du Processeur relatives au respect par le Processeur des obligations des processeurs de données en vertu de la Loi sur la protection des données en ce qui concerne son traitement des données personnelles.

Le contrôleur peut, sur demande écrite et moyennant un préavis d'au moins 30 jours adressé au sous-traitant, pendant les heures normales de bureau et sans interrompre les activités du sous-traitant, procéder à une inspection des activités du sous-traitant ou la faire effectuer par un auditeur tiers qualifié, sous réserve de l'approbation du sous-traitant, qui ne peut être refusée sans motif valable.

Sur demande écrite du contrôleur et moyennant un préavis d'au moins 30 jours, le sous-traitant fournit au contrôleur toutes les informations nécessaires à cet audit, dans la mesure où ces informations sont sous le contrôle du sous-traitant et que celui-ci n'est pas empêché de les divulguer en vertu de la législation applicable, d'un devoir de confidentialité ou de toute autre obligation à l'égard d'une tierce partie.

5. Sous-traitants

Le contrôleur autorise par la présente le sous-traitant à faire appel à des sous-traitants secondaires. Une liste des sous-traitants actuels du sous-traitant figure à l'annexe 3. Pour éviter toute ambiguïté, l'autorisation susmentionnée constitue le consentement écrit préalable du contrôleur au sous-traitement par le sous-traitant aux fins de la clause 11 des CSC du Royaume-Uni et de la clause 9 des CSC de l'UE. Le sous-traitant conclura un accord écrit avec les sous-traitants secondaires qui impose au sous-traitant secondaire des obligations en matière de protection des données selon les normes requises par la loi sur la protection des données, y compris le respect des conditions de la présente DPA. Le sous-traitant notifie au responsable du traitement toute modification envisagée des sous-traitants secondaires. Le contrôleur peut s'opposer à l'ajout d'un sous-traitant ultérieur sur la base de motifs raisonnables liés à une violation potentielle ou réelle de la loi sur la protection des données en fournissant un avis écrit détaillant les motifs de cette objection dans les trente (30) jours suivant la notification par le sous-traitant du changement envisagé. Le contrôleur et le sous-traitant collaboreront de bonne foi pour répondre à l'objection du contrôleur. Si le Processeur choisit de conserver le Sous-Traitant malgré l'objection du Contrôleur, le Processeur en informera le Contrôleur au moins trente (30) jours avant d'autoriser le Sous-Traitant à traiter les Données Personnelles, et le Contrôleur pourra immédiatement cesser d'utiliser les parties concernées des Produits Kaiterra, et pourra résilier les parties concernées des Produits Kaiterra dans un délai de trente (30) jours.

6. Transferts de données

Le contrôleur reconnaît et accepte que, dans le cadre de l'exécution des produits Kaiterra en vertu de l'accord, les données personnelles seront transférées à Kaiterra aux États-Unis. Les CSC de l'UE jointes en annexe 1 s'appliqueront aux données personnelles transférées en dehors de l'EEE, directement ou par transfert ultérieur, vers les États-Unis ou tout autre pays non reconnu par la Commission européenne comme offrant un niveau adéquat de protection des données personnelles (tel que décrit dans la loi sur la protection des données). Les CSC britanniques jointes aux présentes en tant que pièce 2 s'appliqueront aux données personnelles transférées en dehors du Royaume-Uni, soit directement, soit via un transfert ultérieur, vers les États-Unis ou tout autre pays non couvert par des règlements d'adéquation en vertu de l'article 17A de la loi sur la protection des données de 2018.

7. Dispositions générales

En ce qui concerne les mises à jour et les modifications du présent DPA, les termes applicables dans les sous-sections "Modifications de l'accord" et "Généralités" de l'accord s'appliquent. Si certaines dispositions de ce DPA sont invalides ou inapplicables, la validité et l'applicabilité des autres dispositions de ce DPA n'en seront pas affectées.

En incorporant le présent DPA au contrat, les parties au présent DPA acceptent les clauses contractuelles types (le cas échéant) et toutes les annexes qui y sont jointes. En cas de conflit ou d'incohérence entre le présent DPA et les Clauses Contractuelles Types, les Clauses Contractuelles Types prévaudront, à condition toutefois que : (a) le Contrôleur puisse exercer son droit d'audit en vertu de la Clause 5(f) du CCAP britannique et de la Clause 8.9 du CCAP européen comme indiqué dans la Section 5 du présent DPA et sous réserve des exigences de cette dernière ; et (b) le Processeur puisse nommer des Sous-Traitants comme indiqué dans la Section 6 du présent DPA et sous réserve des exigences de cette dernière.

EXPOSÉ 1

CLAUSES CONTRACTUELLES TYPES

Contrôleur à sous-traitant

SECTION I

Clause 1

Objet et champ d'application

(a) Les présentes clauses contractuelles types ont pour objet d'assurer le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) pour le transfert de données à caractère personnel vers un pays tiers.

(b) Les parties :

(i) la/les personne(s) physique(s) ou morale(s), autorité(s) publique(s), agence(s) ou autre(s) organisme(s) (ci-après "entité(s)") qui transfère(nt) les données à caractère personnel, telles qu'elles sont énumérées à l'annexe I.A (ci-après chaque "exportateur de données"), et

(ii) l'entité/les entités d'un pays tiers recevant les données à caractère personnel de l'exportateur de données, directement ou indirectement par l'intermédiaire d'une autre entité également partie aux présentes clauses, telle qu'énumérée à l'annexe I.A (ci-après dénommée "l'importateur de données").

ont accepté les présentes clauses contractuelles types (ci-après dénommées "clauses").

(c) Les présentes clauses s'appliquent au transfert de données à caractère personnel tel que spécifié à l'annexe I.B.

(d) L'appendice aux présentes clauses contenant les annexes auxquelles il est fait référence fait partie intégrante des présentes clauses.

Clause 2

Effet et invariabilité des clauses

(a) Les présentes Clauses énoncent des garanties appropriées, y compris des droits opposables aux personnes concernées et des voies de recours effectives, conformément à l'article 46, paragraphe 1, et à l'article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des responsables du traitement vers les sous-traitants et/ou des sous-traitants vers les sous-traitants, des clauses contractuelles types conformément à l'article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu'elles ne soient pas modifiées, sauf pour sélectionner le(s) module(s) approprié(s) ou pour ajouter ou mettre à jour des informations dans l'appendice. Cela n'empêche pas les Parties d'inclure les clauses contractuelles types établies dans les présentes Clauses dans un contrat plus large et/ou d'ajouter d'autres clauses ou garanties supplémentaires, à condition qu'elles ne contredisent pas, directement ou indirectement, les présentes Clauses ou qu'elles ne portent pas atteinte aux libertés ou droits fondamentaux des personnes concernées.

(b)Les présentes clauses sont sans préjudice des obligations auxquelles l'exportateur de données est soumis en vertu du règlement (UE) 2016/679.

Clause 3

Tiers bénéficiaires

(a) Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, à l'encontre de l'exportateur et/ou de l'importateur de données, avec les exceptions suivantes :

(i) les clauses 1, 2, 3, 6 et 7 ;

(ii) Clause 8 - Module 1 : Clause 8.5 (e) et Clause 8.9 (b) ; Module 2 : Clause 8.1 (b), 8.9 (a), (c), (d) et (e) ; Module 3 : Clause 8.1 (a), 8.9 (b), 8.9 (a), (c), (d) et (e) : Clause 8.1(a), (c) et (d) et Clause 8.9(a), (c), (d), (e), (f) et (g) ; Module Quatre : Clause 8.1 (b) et Clause 8.3 (b) ;

(iii) Clause 9 - Module deux : Clause 9(a), (c), (d) et (e) ; Module trois : Clause 9(a), (c), (d) et (e) ;

(iv) Clause 12 - Module 1 : Clause 12(a) et (d) ; Modules 2 et 3 : Clause 12(a), (d) et (f) ;

(v) Clause 13 ;

(vi) la clause 15.1(c), (d) et (e) ;

(vii) la clause 16 (e) ;

(viii) Clause 18 - Modules un, deux et trois : Clause 18(a) et (b) ; Module Quatre : Article 18.

(b) Le paragraphe (a) est sans préjudice des droits des personnes concernées en vertu du règlement (UE) 2016/679.

Article 4

Interprétation

(a) Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ces termes ont la même signification que dans ledit règlement.

(b) Les présentes clauses doivent être lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.

(c) Les présentes clauses ne doivent pas être interprétées d'une manière qui entrerait en conflit avec les droits et obligations prévus par le règlement (UE) 2016/679.

Clause 5

Hiérarchie

En cas de contradiction entre les présentes clauses et les dispositions d'accords connexes entre les parties, existant au moment où les présentes clauses sont convenues ou conclues par la suite, les présentes clauses prévalent.

Clause 6

Description du/des transfert(s)

Les détails du ou des transferts, et en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles sont transférées, sont précisés à l'annexe I.B.

Clause 7

Clause d'amarrage

(a) Une entité qui n'est pas partie aux présentes clauses peut, avec l'accord des parties, adhérer à tout moment aux présentes clauses, soit en tant qu'exportateur de données, soit en tant qu'importateur de données, en complétant l'appendice et en signant l'annexe I.A.

(b) Une fois qu'elle a rempli l'appendice et signé l'annexe I.A, l'entité adhérente devient partie aux présentes clauses et a les droits et obligations d'un exportateur ou d'un importateur de données conformément à sa désignation dans l'annexe I.A.

(c) L'entité adhérente n'a aucun droit ou obligation découlant des présentes clauses pour la période antérieure à son adhésion.

SECTION II - OBLIGATIONS DES PARTIES

Clause 8

Garanties en matière de protection des données

L'exportateur de données garantit qu'il a déployé des efforts raisonnables pour déterminer que l'importateur de données est en mesure, grâce à la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses.

8.1 Instructions

(a) L'importateur de données ne traite les données à caractère personnel que sur instruction documentée de l'exportateur de données. L'exportateur de données peut donner de telles instructions pendant toute la durée du contrat.

(b) L'importateur de données informe immédiatement l'exportateur de données s'il n'est pas en mesure de suivre ces instructions.

8.2 Limitation de la finalité

L'importateur de données ne traite les données à caractère personnel qu'aux fins spécifiques du transfert, telles qu'indiquées à l'annexe I.B, à moins que l'exportateur de données ne lui donne d'autres instructions.

8.3 Transparence

Sur demande, l'exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, y compris l'appendice tel que complété par les parties. Dans la mesure nécessaire pour protéger les secrets d'affaires ou d'autres informations confidentielles, y compris les mesures décrites à l'annexe II et les données à caractère personnel, l'exportateur de données peut expurger une partie du texte de l'appendice des présentes clauses avant d'en partager une copie, mais il fournit un résumé significatif lorsque la personne concernée ne serait autrement pas en mesure d'en comprendre le contenu ou d'exercer ses droits. Sur demande, les parties fournissent à la personne concernée les raisons des expurgations, dans la mesure du possible sans révéler les informations expurgées. La présente clause est sans préjudice des obligations de l'exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.

8.4 Exactitude

Si l'importateur de données se rend compte que les données à caractère personnel qu'il a reçues sont inexactes ou sont devenues obsolètes, il en informe l'exportateur de données dans les meilleurs délais. Dans ce cas, l'importateur de données coopère avec l'exportateur de données pour effacer ou rectifier les données.

8.5 Durée du traitement et effacement ou restitution des données

Le traitement par l'importateur de données n'a lieu que pendant la durée spécifiée à l'annexe I.B. Après la fin de la prestation des services de traitement, l'importateur de données, au choix de l'exportateur de données, efface toutes les données à caractère personnel traitées pour le compte de l'exportateur de données et certifie à ce dernier qu'il l'a fait, ou renvoie à l'exportateur de données toutes les données à caractère personnel traitées pour son compte et efface les copies existantes. Jusqu'à ce que les données soient supprimées ou renvoyées, l'importateur de données continue de veiller au respect des présentes clauses. Si les lois locales applicables à l'importateur de données interdisent la restitution ou la suppression des données à caractère personnel, l'importateur de données garantit qu'il continuera à assurer le respect des présentes clauses et qu'il ne les traitera que dans la mesure et pour la durée requises par ces lois locales. Ceci est sans préjudice de la clause 14, en particulier de l'obligation faite à l'importateur de données en vertu de la clause 14(e) d'informer l'exportateur de données pendant toute la durée du contrat s'il a des raisons de croire qu'il est ou est devenu soumis à des lois ou des pratiques non conformes aux exigences de la clause 14(a).

8.6 Sécurité du traitement

(a) L'importateur de données et, lors de la transmission, l'exportateur de données mettent en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, y compris la protection contre toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation non autorisée de ces données ou l'accès non autorisé à celles-ci (ci-après dénommée "violation de données à caractère personnel"). Pour évaluer le niveau de sécurité approprié, les parties tiennent dûment compte de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la (des) finalité(s) du traitement, ainsi que des risques que comporte le traitement pour les personnes concernées. Les parties envisagent en particulier de recourir au cryptage ou à la pseudonymisation, y compris pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d'attribuer les données à caractère personnel à une personne concernée spécifique restent, dans la mesure du possible, sous le contrôle exclusif de l'exportateur de données. Pour se conformer aux obligations qui lui incombent en vertu du présent paragraphe, l'importateur de données met au moins en œuvre les mesures techniques et organisationnelles spécifiées à l'annexe II. L'importateur de données effectue des contrôles réguliers pour s'assurer que ces mesures continuent d'offrir un niveau de sécurité approprié.

(b) L'importateur de données n'accorde l'accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

(c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l'importateur de données en vertu des présentes clauses, l'importateur de données prend les mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L'importateur de données notifie également l'exportateur de données dans un délai raisonnable après avoir pris connaissance de la violation. Cette notification contient les coordonnées d'un point de contact où de plus amples informations peuvent être obtenues, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et de dossiers de données à caractère personnel concernés), ses conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris, le cas échéant, les mesures visant à en atténuer les éventuels effets néfastes. Lorsqu'il n'est pas possible de fournir toutes les informations en même temps, et dans la mesure où il n'est pas possible de le faire, la notification initiale contient les informations disponibles à ce moment-là et des informations supplémentaires sont fournies ultérieurement, au fur et à mesure qu'elles sont disponibles, sans retard injustifié.

(d) L'importateur de données coopère avec l'exportateur de données et l'aide à respecter ses obligations au titre du règlement (UE) 2016/679, notamment pour notifier l'autorité de contrôle compétente et les personnes concernées affectées, en tenant compte de la nature du traitement et des informations dont dispose l'importateur de données.

8.7 Données sensibles

Lorsque le transfert porte sur des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale, des données génétiques ou des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou la vie sexuelle ou l'orientation sexuelle d'une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après dénommées "données sensibles"), l'importateur de données applique les restrictions spécifiques et/ou les garanties supplémentaires décrites à l'annexe I.B.

8.8 Transferts ultérieurs

L'importateur de données ne divulgue les données à caractère personnel à un tiers que sur instruction documentée de l'exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l'Union européenne (dans le même pays que l'importateur de données ou dans un autre pays tiers, ci-après dénommé "transfert ultérieur") que si le tiers est ou accepte d'être lié par les présentes clauses, dans le cadre du module approprié, ou si :

(i) le transfert ultérieur se fait vers un pays bénéficiant d'une décision d'adéquation en vertu de l'article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur ;

(ii) le tiers assure par ailleurs des garanties appropriées en vertu des articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question ;

(iii) le transfert ultérieur est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou

(iv) le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique.

Tout transfert ultérieur est subordonné au respect par l'importateur de données de toutes les autres garanties prévues par les présentes clauses, en particulier la limitation de la finalité.

8.9 Documentation et conformité

(a) L'importateur de données traite rapidement et de manière adéquate les demandes de renseignements de l'exportateur de données relatives au traitement prévu par les présentes clauses.

(b) Les parties doivent être en mesure de démontrer qu'elles respectent les présentes clauses. En particulier, l'importateur de données conserve une documentation appropriée sur les activités de traitement effectuées pour le compte de l'exportateur de données.

(c) L'importateur de données met à la disposition de l'exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses et, à la demande de l'exportateur de données, autorise et contribue à des audits des activités de traitement couvertes par les présentes clauses, à des intervalles raisonnables ou s'il existe des indices de non-conformité. Lorsqu'il décide d'un examen ou d'un audit, l'exportateur de données peut tenir compte des certifications pertinentes détenues par l'importateur de données.

(d) L'exportateur de données peut choisir de procéder lui-même à l'audit ou de mandater un auditeur indépendant. Les audits peuvent comprendre des inspections dans les locaux ou les installations physiques de l'importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.

(e) Les parties mettent les informations visées aux points b) et c), y compris les résultats de tout audit, à la disposition de l'autorité de contrôle compétente qui en fait la demande.

Clause 9

Recours à des sous-traitants ultérieurs

(a) L'importateur de données dispose de l'autorisation générale de l'exportateur de données pour engager un ou plusieurs sous-traitants secondaires figurant sur une liste convenue. L'importateur de données informe spécifiquement l'exportateur de données par écrit de toute modification envisagée de cette liste par l'ajout ou le remplacement de sous-traitants ultérieurs au moins quatorze jours à l'avance, ce qui donne à l'exportateur de données un délai suffisant pour pouvoir s'opposer à ces modifications avant l'engagement du ou des sous-traitants ultérieurs. L'importateur de données fournit à l'exportateur de données les informations nécessaires pour lui permettre d'exercer son droit d'opposition.

(b) Lorsque l'importateur de données engage un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques (pour le compte de l'exportateur de données), il le fait par le biais d'un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l'importateur de données en vertu des présentes clauses, y compris en ce qui concerne les droits des tiers bénéficiaires pour les personnes concernées. Les parties conviennent qu'en se conformant à la présente clause, l'importateur de données remplit ses obligations au titre de la clause 8.8. L'importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles l'importateur de données est soumis en vertu des présentes clauses.

(c) L'importateur de données fournit à l'exportateur de données, à la demande de ce dernier, une copie de cet accord de sous-traitance et de toute modification ultérieure. Dans la mesure où cela est nécessaire pour protéger des secrets d'affaires ou d'autres informations confidentielles, y compris des données à caractère personnel, l'importateur de données peut expurger le texte de l'accord avant d'en communiquer une copie.

(d) L'importateur de données reste pleinement responsable vis-à-vis de l'exportateur de données de l'exécution des obligations du sous-traitant ultérieur en vertu de son contrat avec l'importateur de données. L'importateur de données notifie à l'exportateur de données tout manquement du sous-traitant ultérieur à ses obligations contractuelles.

(e) L'importateur de données convient avec le sous-traitant ultérieur d'une clause de tiers bénéficiaire en vertu de laquelle - dans le cas où l'importateur de données a effectivement disparu, a cessé d'exister en droit ou est devenu insolvable - l'exportateur de données a le droit de résilier le contrat de sous-traitance ultérieur et d'ordonner au sous-traitant ultérieur d'effacer ou de restituer les données à caractère personnel.

Article 10

Droits de la personne concernée

(a) L'importateur de données notifie sans délai à l'exportateur de données toute demande qu'il a reçue d'une personne concernée. Il ne répond pas lui-même à cette demande, sauf s'il a été autorisé à le faire par l'exportateur de données.

(b) L'importateur de données aide l'exportateur de données à s'acquitter de ses obligations de répondre aux demandes des personnes concernées concernant l'exercice de leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les parties définissent à l'annexe II les mesures techniques et organisationnelles appropriées, en tenant compte de la nature du traitement, par lesquelles l'assistance doit être fournie, ainsi que la portée et l'étendue de l'assistance requise.

(c) En remplissant ses obligations au titre des paragraphes a) et b), l'importateur de données se conforme aux instructions de l'exportateur de données.

Article 11

Recours

(a) L'importateur de données informe les personnes concernées, dans un format transparent et aisément accessible, par le biais d'une notification individuelle ou sur son site internet, de l'existence d'un point de contact habilité à traiter les réclamations. Il traite rapidement toute réclamation qu'il reçoit d'une personne concernée.

(b) En cas de litige entre une personne concernée et l'une des parties en ce qui concerne le respect des présentes clauses, cette partie met tout en œuvre pour résoudre le problème à l'amiable dans les meilleurs délais. Les parties se tiennent mutuellement informées de ces litiges et, le cas échéant, coopèrent pour les résoudre.

(c) Lorsque la personne concernée invoque un droit de tiers bénéficiaire en vertu de la clause 3, l'importateur de données accepte la décision de la personne concernée de :

(i) d'introduire une réclamation auprès de l'autorité de contrôle de l'État membre dans lequel elle réside habituellement ou dans lequel elle travaille, ou auprès de l'autorité de contrôle compétente en vertu de la clause 13 ;

(ii) de porter le litige devant les tribunaux compétents au sens de la clause 18.

(d) Les Parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions prévues à l'article 80, paragraphe 1, du règlement (UE) 2016/679.

(e) L'importateur de données se conforme à une décision contraignante en vertu du droit de l'Union ou de l'État membre applicable.

(f) L'importateur de données convient que le choix effectué par la personne concernée ne portera pas atteinte à ses droits substantiels et procéduraux de demander réparation conformément aux lois applicables.

Clause 12

Responsabilité

(a) Chaque partie est responsable envers l'autre/les autres partie(s) de tout dommage qu'elle cause à l'autre/aux autres partie(s) du fait d'une violation des présentes clauses.

(b) L'importateur de données est responsable envers la personne concernée, et la personne concernée a le droit d'être indemnisée, pour tout dommage matériel ou moral que l'importateur de données ou son sous-traitant secondaire cause à la personne concernée en violant les droits des tiers bénéficiaires en vertu des présentes clauses.

(c) Nonobstant le paragraphe b), l'exportateur de données est responsable envers la personne concernée, et la personne concernée a le droit d'être indemnisée, pour tout dommage matériel ou moral que l'exportateur de données ou l'importateur de données (ou son sous-traitant) cause à la personne concernée en violant les droits des tiers bénéficiaires en vertu des présentes clauses. Ceci est sans préjudice de la responsabilité de l'exportateur de données et, lorsque l'exportateur de données est un sous-traitant agissant pour le compte d'un responsable du traitement, de la responsabilité du responsable du traitement en vertu du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas.

(d) Les parties conviennent que si l'exportateur de données est tenu responsable, en vertu du paragraphe c), des dommages causés par l'importateur de données (ou son sous-traitant ultérieur), il est en droit de réclamer à l'importateur de données la partie de l'indemnisation correspondant à la responsabilité de l'importateur de données dans le dommage.

(e) Lorsque plusieurs parties sont responsables d'un dommage causé à la personne concernée à la suite d'une violation des présentes clauses, toutes les parties responsables sont conjointement et solidairement responsables et la personne concernée a le droit d'intenter une action en justice contre l'une quelconque de ces parties.

(f) Les parties conviennent que si l'une d'entre elles est tenue responsable en vertu du paragraphe e), elle a le droit de réclamer à l'autre/aux autres partie(s) la partie de l'indemnisation correspondant à sa/leur responsabilité dans le dommage.

(g) L'importateur de données ne peut pas invoquer le comportement d'un sous-traitant ultérieur pour se soustraire à sa propre responsabilité.

Article 13

Contrôle

(a) Lorsque l'exportateur de données est établi dans un État membre de l'UE, l'autorité de contrôle chargée de veiller au respect par l'exportateur de données du règlement (UE) 2016/679 en ce qui concerne le transfert de données, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente.

Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, et a désigné un représentant conformément à l'article 27, paragraphe 1, du règlement (UE) 2016/679, l'autorité de contrôle de l'État membre dans lequel le représentant au sens de l'article 27, paragraphe 1, du règlement (UE) 2016/679 est établi, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente.

Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, sans toutefois devoir désigner un représentant au sens de l'article 27, paragraphe 2, du règlement (UE) 2016/679, l'autorité de contrôle de l'un des États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont transférées en vertu des présentes clauses en relation avec l'offre de biens ou de services qui leur est faite, ou dont le comportement est surveillé, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente.

(b) L'importateur de données accepte de se soumettre à la juridiction de l'autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à assurer le respect des présentes clauses. En particulier, l'importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l'autorité de contrôle, y compris les mesures correctives et compensatoires. Il fournit à l'autorité de contrôle une confirmation écrite que les mesures nécessaires ont été prises.

SECTION III - LOIS ET OBLIGATIONS LOCALES EN CAS D'ACCÈS PAR LES AUTORITÉS PUBLIQUES

Clause 14

Lois et pratiques locales affectant le respect des clauses

(a) Les parties garantissent qu'elles n'ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l'importateur de données, y compris toute obligation de divulguer des données à caractère personnel ou toute mesure autorisant l'accès des autorités publiques, empêchent l'importateur de données de remplir les obligations qui lui incombent en vertu des présentes clauses. Il est entendu que les lois et pratiques qui respectent l'essence des droits et libertés fondamentaux et n'excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l'un des objectifs énumérés à l'article 23, paragraphe 1, du règlement (UE) 2016/679, ne sont pas en contradiction avec les présentes clauses.

(b) Les parties déclarent qu'en fournissant la garantie visée au paragraphe (a), elles ont dûment tenu compte, en particulier, des éléments suivants :

(i) les circonstances spécifiques du transfert, y compris la longueur de la chaîne de traitement, le nombre d'acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées ;

(ii) les lois et pratiques du pays tiers de destination - y compris celles exigeant la divulgation de données aux autorités publiques ou autorisant l'accès de ces autorités - pertinentes à la lumière des circonstances particulières du transfert, ainsi que les limitations et garanties applicables ;

(iii) toutes les garanties contractuelles, techniques ou organisationnelles pertinentes mises en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et le traitement des données à caractère personnel dans le pays de destination.

(c) L'importateur de données garantit que, dans le cadre de l'évaluation visée au point b), il a fait de son mieux pour fournir à l'exportateur de données les informations pertinentes et accepte de continuer à coopérer avec l'exportateur de données pour assurer le respect des présentes clauses.

(d) Les parties conviennent de documenter l'évaluation visée au point b) et de la mettre à la disposition de l'autorité de contrôle compétente sur demande.

(e) L'importateur de données accepte de notifier rapidement à l'exportateur de données si, après avoir accepté les présentes clauses et pendant la durée du contrat, il a des raisons de croire qu'il est ou est devenu soumis à des lois ou à des pratiques non conformes aux exigences du paragraphe a), y compris à la suite d'une modification des lois du pays tiers ou d'une mesure (telle qu'une demande de divulgation) indiquant une application de ces lois dans la pratique qui n'est pas conforme aux exigences du paragraphe a).

(f) À la suite d'une notification en vertu du paragraphe e), ou si l'exportateur de données a des raisons de croire que l'importateur de données ne peut plus remplir ses obligations au titre des présentes clauses, l'exportateur de données identifie rapidement les mesures appropriées (par exemple, les mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) à adopter par l'exportateur de données et/ou l'importateur de données pour remédier à la situation. L'exportateur de données suspend le transfert de données s'il considère qu'aucune garantie appropriée ne peut être assurée pour ce transfert, ou si l'autorité de contrôle compétente lui en donne l'instruction. Dans ce cas, l'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses. Si le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, à moins que les parties n'en aient convenu autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 16, points d) et e), s'applique.

Clause 15

Obligations de l'importateur de données en cas d'accès par les autorités publiques

15.1 Notification

(a) L'importateur de données s'engage à notifier rapidement (si nécessaire avec l'aide de l'exportateur de données) à l'exportateur de données et, dans la mesure du possible, à la personne concernée, s'il :

(i) reçoit une demande juridiquement contraignante d'une autorité publique, y compris des autorités judiciaires, en vertu des lois du pays de destination, pour la divulgation de données à caractère personnel transférées conformément aux présentes clauses ; cette notification doit inclure des informations sur les données à caractère personnel demandées, l'autorité requérante, la base juridique de la demande et la réponse apportée ; ou

(ii) a connaissance d'un accès direct des autorités publiques aux données à caractère personnel transférées en vertu des présentes clauses conformément à la législation du pays de destination ; cette notification comprend toutes les informations dont dispose l'importateur.

(b) Si la législation du pays de destination interdit à l'importateur de données de notifier l'exportateur de données et/ou la personne concernée, l'importateur de données s'engage à faire de son mieux pour obtenir une dérogation à cette interdiction, en vue de communiquer le plus d'informations possible, dans les meilleurs délais. L'importateur de données accepte de documenter ses meilleurs efforts afin de pouvoir les démontrer à la demande de l'exportateur de données.

c) Lorsque la législation du pays de destination le permet, l'importateur de données accepte de fournir à l'exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d'informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, l'autorité/les autorités requérante(s), si les demandes ont été contestées et l'issue de ces contestations, etc.

(d) L'importateur de données accepte de conserver les informations visées aux points a) à c) pendant toute la durée du contrat et de les mettre à la disposition de l'autorité de contrôle compétente sur demande.

(e) Les paragraphes a) à c) sont sans préjudice de l'obligation de l'importateur de données, conformément à la clause 14, point e), et à la clause 16, d'informer rapidement l'exportateur de données s'il n'est pas en mesure de se conformer à ces clauses.

15.2 Contrôle de la légalité et de la minimisation des données

(a) L'importateur de données accepte d'examiner la légalité de la demande de divulgation, en particulier de vérifier si elle reste dans les limites des pouvoirs accordés à l'autorité publique requérante, et de contester la demande si, après une évaluation minutieuse, il conclut qu'il y a des motifs raisonnables de considérer que la demande est illégale en vertu des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de la courtoisie internationale. L'importateur de données exerce, dans les mêmes conditions, les voies de recours. Lorsqu'il conteste une demande, l'importateur de données demande des mesures provisoires en vue de suspendre les effets de la demande jusqu'à ce que l'autorité judiciaire compétente ait statué sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu'il n'est pas tenu de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations de l'importateur de données au titre de la clause 14, point e).

(b) L'importateur de données accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure où les lois du pays de destination le permettent, de mettre la documentation à la disposition de l'exportateur de données. Il la met également à la disposition de l'autorité de contrôle compétente sur demande.

(c) L'importateur de données accepte de fournir la quantité minimale d'informations autorisée lorsqu'il répond à une demande de divulgation, sur la base d'une interprétation raisonnable de la demande.

SECTION IV - DISPOSITIONS FINALES

Article 16

Non-respect des clauses et résiliation

(a) L'importateur de données informe rapidement l'exportateur de données s'il n'est pas en mesure de respecter les présentes clauses, quelle qu'en soit la raison.

(b) Si l'importateur de données ne respecte pas les présentes clauses ou n'est pas en mesure de les respecter, l'exportateur de données suspend le transfert de données à caractère personnel à l'importateur de données jusqu'à ce que le respect des clauses soit à nouveau assuré ou que le contrat soit résilié. Cette disposition est sans préjudice de la clause 14, point f).

(c) L'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses, lorsque :

(i) l'exportateur de données a suspendu le transfert de données à caractère personnel à l'importateur de données conformément au paragraphe b) et le respect des présentes clauses n'est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d'un mois à compter de la suspension ;

(ii) l'importateur de données enfreint de manière substantielle ou persistante les présentes clauses ; ou

(iii) l'importateur de données ne se conforme pas à une décision contraignante d'un tribunal compétent ou d'une autorité de contrôle concernant ses obligations au titre des présentes clauses.

Dans ces cas, il informe l'autorité de contrôle compétente de ce non-respect. Lorsque le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, à moins que les parties n'en aient convenu autrement.

(d) Les données à caractère personnel qui ont été transférées avant la résiliation du contrat conformément au paragraphe c) sont, au choix de l'exportateur de données, immédiatement renvoyées à l'exportateur de données ou effacées dans leur intégralité. Il en va de même pour toute copie des données. L'importateur de données certifie l'effacement des données à l'exportateur de données. Jusqu'à ce que les données soient effacées ou renvoyées, l'importateur de données continue de veiller au respect des présentes clauses. Si la législation locale applicable à l'importateur de données interdit la restitution ou la suppression des données à caractère personnel transférées, l'importateur de données garantit qu'il continuera à veiller au respect des présentes clauses et qu'il ne traitera les données que dans la mesure et pour la durée requises par cette législation locale.

(e) Chaque Partie peut révoquer son accord d'être liée par les présentes Clauses lorsque (i) la Commission européenne adopte une décision en vertu de l'article 45(3) du Règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes Clauses s'appliquent ; ou (ii) le Règlement (UE) 2016/679 devient partie intégrante du cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice d'autres obligations s'appliquant au traitement en question en vertu du règlement (UE) 2016/679.

Clause 17

Droit applicable

Les présentes clauses sont régies par le droit de l'un des États membres de l'Union européenne, à condition que ce droit autorise les droits des tiers bénéficiaires. Les parties conviennent qu'il s'agit du droit irlandais.

Clause 18

Choix du for et de la juridiction

(a) Tout litige découlant des présentes clauses est réglé par les tribunaux d'un État membre de l'UE.

(b) Les parties conviennent que ces tribunaux seront ceux de l'Irlande.

(c) Une personne concernée peut également intenter une action en justice contre l'exportateur et/ou l'importateur de données devant les tribunaux de l'État membre dans lequel elle a sa résidence habituelle.

(d) Les parties conviennent de se soumettre à la juridiction de ces tribunaux.

ANNEXE I

A. LISTE DES PARTIES

Exportateur(s) de données :

1.

Nom de l'entreprise : ...

Adresse : .. : ...

Nom, fonction et coordonnées de la personne de contact : ...

Activités en rapport avec les données transférées en vertu des présentes clauses : ...

Signature et date : ...

Rôle (responsable du traitement/traitement) : ... responsable du traitement

Importateur(s) de données :

1.

Nom de l'entreprise : ...Origins Technology Ltd : ...Origins Technology Ltd.

Adresse : .. : ...

Nom, fonction et coordonnées de la personne de contact : ...

Activités en rapport avec les données transférées en vertu des présentes clauses : Fourniture d'informations sur les solutions aux utilisateurs accrédités.

Signature et date : ...

Rôle (contrôleur/traitement) : ...responsable du traitement

B. DESCRIPTION DU TRANSFERT

Catégories de personnes concernées dont les données à caractère personnel sont transférées

Les contacts du client et les autres utilisateurs finaux autorisés par le client à utiliser les produits Kaiterra, y compris les employés et les sous-traitants du client, ainsi que les employés et les visiteurs des bureaux du client.

Catégories de données personnelles transférées

Données d'identification et de contact (nom, adresse électronique, titre, coordonnées, etc.) ; données relatives à l'emploi (employeur, numéro d'identification de l'employé, titre du poste, service, etc.) ; données relatives à l'utilisation des produits Kaiterra et des systèmes utilisés pour fournir et soutenir les produits Kaiterra ; et autres données électroniques soumises, stockées, envoyées ou reçues par les produits Kaiterra.

Les données sensibles transférées (le cas échéant) et les restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme par exemple une limitation stricte de la finalité, des restrictions d'accès (y compris un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre d'accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.

Aucune.

La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).

La nature du traitement

...

Finalité(s) du transfert et du traitement ultérieur des données

Les données personnelles seront traitées dans le but de fournir les produits Kaiterra décrits et convenus dans le contrat et tout bon de commande ou cahier des charges applicable.

La durée de conservation des données personnelles ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée.

...

Pour les transferts aux sous-traitants (secondaires), préciser également l'objet, la nature et la durée du traitement.

...

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

Commissaire irlandais à la protection des données.

ANNEXE II

MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À ASSURER LA SÉCURITÉ DES DONNÉES

Kaiterra observe actuellement les pratiques de sécurité décrites dans la présente annexe 2. Nonobstant toute disposition contraire acceptée par l'exportateur de données, Kaiterra peut modifier ou mettre à jour ces pratiques à sa discrétion, à condition que ces modifications et mises à jour n'entraînent pas une dégradation importante de la protection offerte par ces pratiques. Tous les termes en majuscules qui ne sont pas définis dans le présent document ont la signification qui leur est donnée dans les conditions de service de Kaiterra.

Kaiterra mettra en œuvre les types de mesures de sécurité suivants :

1. Contrôle d'accès physique

Les mesures techniques et organisationnelles conçues pour empêcher les personnes non autorisées d'accéder aux systèmes de traitement des données disponibles dans les locaux et les installations (y compris les bases de données, les serveurs d'application et le matériel connexe), où les données à caractère personnel sont traitées, comprennent :

  • l'établissement de zones de sécurité, la restriction des voies d'accès ;
  • l'établissement d'autorisations d'accès pour les employés et les tiers ;
  • Système de contrôle d'accès (lecteurs de badges) ;
  • Gestion des clés, procédures relatives aux clés à carte ;
  • Verrouillage des portes (ouvre-portes électriques, etc.) ;
  • Personnel de sécurité, concierges ;
  • Installations de surveillance, moniteur vidéo/CCTV, système d'alarme ;
  • Sécurisation des équipements de traitement des données décentralisés et des ordinateurs personnels ;
  • Adhésion aux principes du moindre privilège et de l'accès limité dans le temps pour le personnel autorisé ;
  • Politique de bureau propre ; et
  • Politiques d'accès au WiFi et au réseau local.



2. Contrôle d'accès virtuel

Les mesures techniques et organisationnelles visant à empêcher l'utilisation des systèmes de traitement des données par des personnes non autorisées comprennent :

  • Procédures d'identification et d'authentification des utilisateurs ;
  • Procédures de sécurité des identifiants/mots de passe (caractères spéciaux, longueur minimale, rotation des mots de passe) ;
  • 2FA et/ou équivalent pour les systèmes sécurisés ;
  • l'expiration des sessions de courte durée ;
  • Surveillance des tentatives d'intrusion et verrouillage automatique des comptes d'utilisateurs après plusieurs tentatives de connexion erronées ; et
  • le cryptage des supports de données archivés.

3. Contrôle d'accès aux données

Les mesures techniques et organisationnelles visant à garantir que les personnes autorisées à utiliser un système de traitement des données n'ont accès qu'aux données à caractère personnel conformément à leurs droits d'accès et que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation, comprennent :

  • Les politiques et procédures internes ;
  • Les systèmes d'autorisation de contrôle ;
  • Des droits d'accès différenciés (profils, rôles, transactions et objets) ;
  • la surveillance et l'enregistrement des accès ;
  • Mesures disciplinaires à l'encontre des employés qui accèdent aux données à caractère personnel sans autorisation ;
  • Rapports d'accès ;
  • Procédure d'accès ;
  • Procédure de modification ;
  • Procédure de suppression ; et
  • le cryptage.

4. Contrôle de la divulgation

Les mesures techniques et organisationnelles visant à garantir que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation pendant la transmission électronique, le transport ou le stockage sur des supports de stockage (manuels ou électroniques), et qu'il est possible de vérifier à quelles sociétés ou autres entités juridiques les données à caractère personnel sont divulguées, sont notamment les suivantes :

  • Accès limité aux clés de décryptage ;
  • Chiffrement / tunnel ;
  • l'enregistrement / l'audit régulier ; et
  • la sécurité du transport.


5. Contrôle d'entrée

Les mesures techniques et organisationnelles visant à contrôler si des données à caractère personnel ont été introduites, modifiées ou supprimées (effacées), et par qui, dans les systèmes de traitement des données, sont les suivantes :

  • des systèmes de journalisation et de reporting ; et
  • les pistes d'audit et la documentation.

6. Contrôle des instructions

Les mesures techniques et organisationnelles visant à garantir que les données à caractère personnel sont traitées uniquement conformément aux instructions du responsable du traitement comprennent :

  • une formulation sans ambiguïté du contrat :
  • la mise en service formelle ; et
  • les critères de sélection des sous-traitants.


7. Contrôle de la disponibilité

Les mesures techniques et organisationnelles visant à garantir la protection des données à caractère personnel contre la destruction accidentelle ou la perte (physique/logique) comprennent :

  • Procédures de sauvegarde ;
  • l'alimentation électrique ininterrompue (ASI) ;
  • Stockage à distance ;
  • la disponibilité multirégionale
  • Systèmes antivirus / pare-feu ; et
  • Plan de reprise après sinistre.


8. Contrôle de la séparation

Les mesures techniques et organisationnelles visant à garantir que les données à caractère personnel collectées à des fins différentes peuvent être traitées séparément comprennent :

  • la séparation des bases de données
  • la séparation des fonctions (production/essais) ; et
  • des procédures de stockage, de modification, de suppression et de transmission des données pour différentes finalités.

ANNEXE III

Sous-traitants

  • Amazon Web Services
  • Google Analytics
  • Google BigQuery
  • Mixpanel
  • Hubspot
  • Catalyseur

EXPOSÉ 2

UK SCCs Controller to Processor

Parties :

Nom de l'organisation exportatrice de données : .....................

Adresse : ............................................................

Pays : ............................................................

Téléphone : .........................................................

Fax : ..................................................................

Courriel : ...............................................................

Autres informations nécessaires à l'identification de l'organisation

(l'"exportateur de données")

et

Nom de l'organisation qui importe les données : .........Origins Technology Ltd..........

Adresse : 6/F Laws Commercial Plaza, 788 Cheung Sha Wan Road ......603 6/F Laws Commercial Plaza, 788 Cheung Sha Wan Road

Cheung Sha Wan, Kowlooon

..............................................

Pays : ............Hong Kong..............................................

Téléphone : .......................................................

Fax : ...............................................................

Courriel : ............................................................

Autres informations nécessaires à l'identification de l'organisation

(l'"importateur de données")

Clause 1. Définitions

Aux fins des clauses :

(a) "données à caractère personnel", "catégories particulières de données", "traitement", "responsable du traitement", "sous-traitant", "personne concernée" et "commissaire" ont la même signification que dans le GDPR britannique ;

(b) "l'exportateur de données" : le responsable du traitement qui transfère les données à caractère personnel ;

(c ) "l'importateur de données" désigne le sous-traitant qui accepte de recevoir de l'exportateur de données des données à caractère personnel destinées à être traitées pour son compte après le transfert conformément à ses instructions et aux termes des clauses et qui n'est pas soumis au système d'un pays tiers couvert par les règlements d'adéquation du Royaume-Uni émis en vertu de la section 17A de la loi sur la protection des données de 2018 ou des paragraphes 4 et 5 de l'annexe 21 de la loi sur la protection des données de 2018 ;

(d) "le sous-traitant ultérieur" : tout sous-traitant engagé par l'importateur de données ou par tout autre sous-traitant ultérieur de l'importateur de données qui accepte de recevoir de l'importateur de données ou de tout autre sous-traitant ultérieur de l'importateur de données des données à caractère personnel exclusivement destinées aux activités de traitement à effectuer pour le compte de l'exportateur de données après le transfert conformément à ses instructions, aux conditions des Clauses et aux conditions du contrat de sous-traitance écrit ;

(e) "la loi applicable en matière de protection des données" : la législation protégeant les libertés et droits fondamentaux des personnes et, en particulier, leur droit à la vie privée en ce qui concerne le traitement des données à caractère personnel, applicable à un responsable du traitement des données au Royaume-Uni ;

(f) "mesures de sécurité techniques et organisationnelles" : les mesures visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement implique la transmission de données par l'intermédiaire d'un réseau, et contre toute autre forme de traitement illicite.

Clause 2. Détails du transfert

Les modalités du transfert, et notamment les catégories particulières de données à caractère personnel le cas échéant, sont précisées à l'appendice 1, qui fait partie intégrante des présentes clauses.

Clause 3. Clause du tiers bénéficiaire

(1) La personne concernée peut opposer à l'exportateur de données la présente clause, la clause 4, points b) à i), la clause 5, points a) à e) et g) à j), la clause 6, points 1 et 2, la clause 7, la clause 8, point 2, et les clauses 9 à 12 en tant que tiers bénéficiaire.

(2) La personne concernée peut opposer à l'importateur de données la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, dans les cas où l'exportateur de données a disparu dans les faits ou a cessé d'exister en droit, à moins qu'une entité succédant à l'exportateur de données n'ait assumé l'intégralité des obligations juridiques de ce dernier par contrat ou de plein droit, reprenant ainsi les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir auprès de cette entité.

(3) La personne concernée peut opposer au sous-traitant ultérieur la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, dans les cas où l'exportateur de données et l'importateur de données ont disparu dans les faits, ont cessé d'exister en droit ou sont devenus insolvables, à moins qu'une entité succédant à l'exportateur de données n'ait assumé l'ensemble des obligations légales de ce dernier par contrat ou par effet de la loi, en conséquence de quoi elle assume les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir auprès de cette entité. La responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des présentes clauses.

(4) Les parties ne s'opposent pas à ce qu'une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si le droit national le permet.

Clause 4. Obligations de l'exportateur de données

L'exportateur de données accepte et garantit

(a) que le traitement, y compris le transfert lui-même, des données à caractère personnel a été et continuera d'être effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié au commissaire) et ne viole pas la législation applicable en matière de protection des données ;

(b) qu'il a donné instruction à l'importateur de données de traiter les données à caractère personnel transférées uniquement pour le compte de l'exportateur de données et conformément au droit applicable en matière de protection des données et aux Clauses, et qu'il continuera à le faire pendant toute la durée des services de traitement des données à caractère personnel ;

(c) que l'importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 du présent contrat ;

(d) qu'après évaluation des exigences du droit applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme illicite de traitement, et que ces mesures assurent un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger, compte tenu de l'état de l'art et du coût de leur mise en œuvre ;

(e) qu'il veillera au respect des mesures de sécurité ;

(f) que, si le transfert concerne des catégories spéciales de données, la personne concernée a été informée ou sera informée avant, ou dès que possible après, le transfert que ses données pourraient être transmises à un pays tiers non couvert par des règlements d'adéquation émis en vertu de l'article 17A de la loi sur la protection des données de 2018 ou des paragraphes 4 et 5 de l'annexe 21 de la loi sur la protection des données de 2018 ;

(g) transmettre toute notification reçue de l'importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5(b) et à la clause 8(3) au commissaire si l'exportateur de données décide de poursuivre le transfert ou de lever la suspension ;

(h) mettre à la disposition des personnes concernées qui en font la demande une copie des clauses, à l'exception de l'annexe 2, et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de services de sous-traitance qui doit être conclu conformément aux clauses, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas la personne concernée peut retirer ces informations commerciales ;

(i) qu'en cas de sous-traitance, l'activité de traitement est effectuée conformément à la clause 11 par un sous-traitant fournissant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l'importateur de données en vertu des clauses ;

(j) qu'il veillera au respect de la clause 4, points a) à i).

Clause 5. Obligations de l'importateur de données

L'importateur de données accepte et garantit

(a) de traiter les données à caractère personnel uniquement pour le compte de l'exportateur de données et conformément à ses instructions et aux clauses ; s'il ne peut assurer cette conformité pour quelque raison que ce soit, il s'engage à informer rapidement l'exportateur de données de son incapacité à se conformer, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;

(b) qu'il n'a aucune raison de croire que la législation qui lui est applicable l'empêche de respecter les instructions reçues de l'exportateur de données et ses obligations en vertu du contrat et qu'en cas de modification de cette législation susceptible d'avoir un effet négatif important sur les garanties et les obligations prévues par les clauses, il notifiera rapidement la modification à l'exportateur de données dès qu'il en aura connaissance, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;

(c) qu'il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 avant de traiter les données à caractère personnel transférées ;

(d) qu'il notifiera rapidement à l'exportateur de données :

(i) toute demande juridiquement contraignante de divulgation des données à caractère personnel par une autorité chargée de l'application de la loi, sauf interdiction contraire, telle qu'une interdiction en vertu du droit pénal visant à préserver la confidentialité d'une enquête menée par une autorité chargée de l'application de la loi ;

(ii) tout accès accidentel ou non autorisé ; et

(iii) toute demande reçue directement de la part des personnes concernées, sans répondre à cette demande, sauf autorisation contraire ;

(e) traiter rapidement et correctement toutes les demandes de l'exportateur de données relatives au traitement des données à caractère personnel faisant l'objet du transfert et se conformer à l'avis du commissaire en ce qui concerne le traitement des données transférées ;

(f) à la demande de l'exportateur de données, soumettre ses installations de traitement des données à un audit des activités de traitement couvertes par les présentes clauses, qui sera effectué par l'exportateur de données ou par un organisme d'inspection composé de membres indépendants et possédant les qualifications professionnelles requises, soumis à un devoir de confidentialité, choisi par l'exportateur de données, le cas échéant, en accord avec le commissaire ;

(g) mettre à la disposition de la personne concernée qui en fait la demande une copie des clauses ou de tout contrat de sous-traitance existant, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales, à l'exception de l'annexe 2 qui est remplacée par une description sommaire des mesures de sécurité dans les cas où la personne concernée n'est pas en mesure d'en obtenir une copie auprès de l'exportateur de données ;

(h) qu'en cas de sous-traitance, elle a préalablement informé l'exportateur de données et obtenu son consentement écrit ;

(i) que les services de traitement par le sous-traitant ultérieur seront effectués conformément à la clause 11 ;

(j) d'envoyer rapidement à l'exportateur de données une copie de tout accord de sous-traitance qu'il conclut en vertu des présentes clauses.

Clause 6. Responsabilité

(1) Les parties conviennent que toute personne concernée ayant subi un préjudice du fait d'un manquement aux obligations visées à la clause 3 ou à la clause 11 par une partie ou un sous-traitant ultérieur a le droit d'être indemnisée par l'exportateur de données pour le préjudice subi.

(2) Si une personne concernée n'est pas en mesure d'intenter une action en réparation conformément au paragraphe 1 contre l'exportateur de données, en raison d'un manquement de l'importateur de données ou de son sous-traitant ultérieur à l'une des obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur de données a disparu dans les faits, a cessé d'exister en droit ou est devenu insolvable, l'importateur de données accepte que l'exportateur de données soit tenu de réparer le préjudice subi par la personne concernée, l'importateur de données accepte que la personne concernée puisse intenter une action contre l'importateur de données comme s'il était l'exportateur de données, à moins qu'une entité successeur n'ait assumé l'ensemble des obligations légales de l'exportateur de données par contrat ou de plein droit, auquel cas la personne concernée peut faire valoir ses droits à l'encontre de cette entité. L'importateur de données ne peut se prévaloir d'un manquement d'un sous-traitant ultérieur à ses obligations pour se soustraire à ses propres responsabilités.

(3) Si une personne concernée n'est pas en mesure d'intenter une action contre l'exportateur de données ou l'importateur de données visés aux paragraphes 1 et 2, en raison d'un manquement du sous-traitant ultérieur à l'une de ses obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur de données et l'importateur de données ont disparu dans les faits, ont cessé d'exister en droit ou sont devenus insolvables, le sous-traitant ultérieur accepte que l'exportateur de données et l'importateur de données ne soient pas tenus responsables des dommages causés par le manquement à l'une de leurs obligations, le sous-traitant ultérieur accepte que la personne concernée puisse intenter une action contre le sous-traitant ultérieur en ce qui concerne ses propres opérations de traitement en vertu des clauses, comme s'il s'agissait de l'exportateur ou de l'importateur de données, à moins qu'une entité succédant à l'exportateur ou à l'importateur de données n'ait assumé l'ensemble des obligations légales de ce dernier par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits auprès de cette entité. La responsabilité du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des clauses.

Clause 7. Médiation et juridiction

(1) L'importateur de données convient que si la personne concernée invoque à son encontre les droits de tiers bénéficiaires et/ou demande des dommages-intérêts en vertu des clauses, l'importateur de données acceptera la décision de la personne concernée :

(a) de soumettre le litige à la médiation d'une personne indépendante ou, le cas échéant, du commissaire ;

(b) de porter le litige devant les tribunaux britanniques.

(2) Les parties conviennent que le choix effectué par la personne concernée ne portera pas atteinte à ses droits substantiels ou procéduraux de demander réparation conformément à d'autres dispositions du droit national ou international.

Clause 8. Coopération avec les autorités de contrôle

(1) L'exportateur de données accepte de déposer une copie du présent contrat auprès du commissaire si celui-ci en fait la demande ou si ce dépôt est requis en vertu de la législation applicable en matière de protection des données.

(2) Les parties conviennent que le commissaire a le droit de procéder à un audit de l'importateur de données et de tout sous-traitant ultérieur, qui a la même portée et est soumis aux mêmes conditions que celles qui s'appliqueraient à un audit de l'exportateur de données en vertu de la législation applicable en matière de protection des données.

(3) L'importateur de données informe rapidement l'exportateur de données de l'existence d'une législation qui lui est applicable ou qui est applicable à tout sous-traitant ultérieur et qui empêche la réalisation d'un audit de l'importateur de données ou de tout sous-traitant ultérieur conformément au paragraphe 2. Dans ce cas, l'exportateur de données est autorisé à prendre les mesures prévues à la clause 5, point b).

Clause 9. Droit applicable

Les présentes clauses sont régies par le droit du pays du Royaume-Uni dans lequel l'exportateur de données est établi.

Clause 10. Modification du contrat

Les parties s'engagent à ne pas modifier les clauses. Cela n'empêche pas les parties (i) d'apporter des modifications autorisées par le paragraphe 7(3) & (4) de l'annexe 21 de la loi sur la protection des données de 2018 ; ou (ii) d'ajouter des clauses sur des questions liées à l'entreprise si nécessaire, tant qu'elles ne contredisent pas la Clause.

Clause 11. Sous-traitement

(1) L'importateur de données ne peut sous-traiter aucune des opérations de traitement effectuées pour le compte de l'exportateur de données en vertu des présentes clauses sans le consentement écrit préalable de l'exportateur de données. Lorsque l'importateur de données sous-traite ses obligations au titre des présentes clauses, avec le consentement de l'exportateur de données, il ne peut le faire qu'au moyen d'un accord écrit avec le sous-traitant ultérieur qui impose au sous-traitant ultérieur les mêmes obligations que celles qui sont imposées à l'importateur de données au titre des présentes clauses. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données en vertu d'un tel accord écrit, l'importateur de données reste pleinement responsable vis-à-vis de l'exportateur de données de l'exécution des obligations du sous-traitant ultérieur en vertu de cet accord.

(2) Le contrat écrit préalable entre l'importateur de données et le sous-traitant ultérieur prévoit également une clause de tiers bénéficiaire telle que prévue à la clause 3 pour les cas où la personne concernée n'est pas en mesure d'introduire la demande d'indemnisation visée au paragraphe 1 de la clause 6 à l'encontre de l'exportateur de données ou de l'importateur de données parce qu'ils ont disparu dans les faits ou ont cessé d'exister en droit ou sont devenus insolvables et qu'aucune entité succédant à l'exportateur de données ou à l'importateur de données n'a assumé l'intégralité des obligations légales de l'exportateur de données ou de l'importateur de données par contrat ou par l'effet de la loi. La responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des présentes clauses.

(3) Les dispositions relatives aux aspects de la protection des données pour la sous-traitance secondaire du contrat visé au paragraphe 1 sont régies par les lois du pays du Royaume-Uni où l'exportateur est établi.

(4) L'exportateur de données tient une liste des accords de sous-traitance conclus en vertu des présentes clauses et notifiés par l'importateur de données conformément à la clause 5(j), qui est mise à jour au moins une fois par an. Cette liste est mise à la disposition du commissaire.

Article 12. Obligation après résiliation

(1) Les parties conviennent qu'au terme de la prestation de services de traitement des données, l'importateur de données et le sous-traitant ultérieur doivent, au choix de l'exportateur de données, restituer toutes les données à caractère personnel transférées et leurs copies à l'exportateur de données ou détruire toutes les données à caractère personnel et certifier à l'exportateur de données qu'ils l'ont fait, à moins que la législation imposée à l'importateur de données ne l'empêche de restituer ou de détruire la totalité ou une partie des données à caractère personnel transférées. Dans ce cas, l'importateur de données garantit qu'il assurera la confidentialité des données à caractère personnel transférées et qu'il ne traitera plus activement les données à caractère personnel transférées.

(2) L'importateur de données et le sous-traitant ultérieur garantissent que, à la demande de l'exportateur de données et/ou du commissaire, ils soumettront leurs installations de traitement des données à un audit des mesures visées au paragraphe 1.

Au nom de l'exportateur de données :

Nom (en toutes lettres) : ..............................

Fonction : .........Contrôleur..........................................

Adresse : ...................................................

Autres informations nécessaires pour que le contrat soit contraignant (le cas échéant) :

Signature :

Au nom de l'importateur de données :

Nom (en toutes lettres) : ...Origins Technology Ltd............................

Fonction : ............Processor.......................................

Adresse : .........603 6/F Laws Commercial Plaza, 788 Cheung Sha Wan Road

Cheung Sha Wan, Kowlooon

Autres informations nécessaires pour que le contrat soit contraignant (le cas échéant) :

Signature :

Date des clauses contractuelles types :

Annexe 1

Exportateur de données

L'exportateur de données est (veuillez préciser brièvement vos activités en rapport avec le transfert) : Client utilisant la solution de l'importateur de données.

Importateur de données

L'importateur de données est (veuillez préciser brièvement les activités pertinentes pour le transfert) : fournisseur de solutions à l'exportateur de données.

Personnes concernées

Les données à caractère personnel transférées concernent les catégories suivantes de personnes concernées (à préciser) :

Les contacts du client et les autres utilisateurs finaux autorisés par le client à utiliser les produits Kaiterra, y compris les employés et les sous-traitants du client, ainsi que les employés et les visiteurs des bureaux du client.

Catégories de données

Les données à caractère personnel transférées concernent les catégories de données suivantes (à préciser) :

Données d'identification et de contact (nom, adresse électronique, titre, coordonnées, etc.) ; données relatives à l'emploi (employeur, numéro d'identification de l'employé, titre du poste, service, etc.) ; données relatives à l'utilisation des produits Kaiterra et des systèmes utilisés pour fournir et soutenir les produits Kaiterra ; et autres données électroniques soumises, stockées, envoyées ou reçues par les produits Kaiterra.

Catégories particulières de données (le cas échéant)

Les données à caractère personnel transférées concernent les catégories particulières de données suivantes (veuillez préciser) :

Aucune.

Opérations de traitement

Les données à caractère personnel transférées seront soumises aux activités de traitement de base suivantes (veuillez préciser) :

Objet et nature du traitement :

L'objet du traitement des données personnelles par le sous-traitant est la fourniture des produits Kaiterra au contrôleur, ce qui implique le traitement de données personnelles. Les données personnelles seront soumises aux activités de traitement spécifiées dans l'accord et dans tout bon de commande ou cahier des charges applicable.

Objectif du traitement :

Les données personnelles seront traitées dans le but de fournir les produits Kaiterra décrits et convenus dans l'accord et dans tout bon de commande ou cahier des charges applicable.

Durée du traitement :

Les données à caractère personnel seront traitées pendant la durée de l'accord, sous réserve de la section 3 de la présente DPA.

EXPORTATEUR DE DONNÉES

Nom : ...

Signature autorisée ...

IMPORTATEUR DE DONNÉES

Nom : ... Origins Technology Ltd.

Signature autorisée ...

Annexe 2

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données conformément à la clause 4, point d), et à la clause 5, point c) (ou document/législation joint) :

Kaiterra observe actuellement les pratiques de sécurité décrites dans la présente annexe 2. Nonobstant toute disposition contraire acceptée par l'exportateur de données, Kaiterra peut modifier ou mettre à jour ces pratiques à sa discrétion, à condition que cette modification et cette mise à jour n'entraînent pas une dégradation importante de la protection offerte par ces pratiques. Tous les termes en majuscules qui ne sont pas définis dans le présent document ont la signification qui leur est donnée dans les conditions de service de Kaiterra.

Kaiterra mettra en œuvre les types de mesures de sécurité suivants :

1. Contrôle d'accès physique

Les mesures techniques et organisationnelles destinées à empêcher les personnes non autorisées d'accéder aux systèmes de traitement des données disponibles dans les locaux et les installations (y compris les bases de données, les serveurs d'application et le matériel connexe), où les données à caractère personnel sont traitées, comprennent :

  • l'établissement de zones de sécurité, la restriction des voies d'accès ;
  • l'établissement d'autorisations d'accès pour les employés et les tiers ;
  • Système de contrôle d'accès (lecteurs de badges) ;
  • Gestion des clés, procédures relatives aux clés à carte ;
  • Verrouillage des portes (ouvre-portes électriques, etc.) ;
  • Personnel de sécurité, concierges ;
  • Installations de surveillance, moniteur vidéo/CCTV, système d'alarme ;
  • Sécurisation des équipements de traitement des données décentralisés et des ordinateurs personnels ;
  • Adhésion aux principes du moindre privilège et de l'accès limité dans le temps pour le personnel autorisé ;
  • Politique de bureau propre ; et
  • Politiques d'accès au WiFi et au réseau local.


2. Contrôle d'accès virtuel

Les mesures techniques et organisationnelles visant à empêcher l'utilisation des systèmes de traitement des données par des personnes non autorisées comprennent :

  • Procédures d'identification et d'authentification des utilisateurs ;
  • Procédures de sécurité des identifiants/mots de passe (caractères spéciaux, longueur minimale, rotation des mots de passe) ;
  • 2FA et/ou équivalent pour les systèmes sécurisés ;
  • l'expiration des sessions de courte durée ;
  • Surveillance des tentatives d'intrusion et verrouillage automatique des comptes d'utilisateurs après plusieurs tentatives de connexion erronées ; et
  • le cryptage des supports de données archivés.


3. Contrôle de l'accès aux données

Les mesures techniques et organisationnelles visant à garantir que les personnes autorisées à utiliser un système de traitement des données n'ont accès qu'aux données à caractère personnel conformément à leurs droits d'accès et que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation, comprennent :

  • Les politiques et procédures internes ;
  • Les systèmes d'autorisation de contrôle ;
  • Des droits d'accès différenciés (profils, rôles, transactions et objets) ;
  • la surveillance et l'enregistrement des accès ;
  • Mesures disciplinaires à l'encontre des employés qui accèdent aux données à caractère personnel sans autorisation ;
  • Rapports d'accès ;
  • Procédure d'accès ;
  • Procédure de modification ;
  • Procédure de suppression ; et
  • le cryptage.


4. Contrôle de la divulgation

Les mesures techniques et organisationnelles visant à garantir que les données à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation pendant la transmission électronique, le transport ou le stockage sur des supports de stockage (manuels ou électroniques), et qu'il est possible de vérifier à quelles sociétés ou autres entités juridiques les données à caractère personnel sont divulguées, comprennent :

  • Accès limité aux clés de décryptage ;
  • Chiffrement / tunnel ;
  • l'enregistrement / l'audit régulier ; et
  • la sécurité du transport.


5. Contrôle d'entrée

Les mesures techniques et organisationnelles visant à contrôler si des données à caractère personnel ont été introduites, modifiées ou supprimées (effacées), et par qui, dans les systèmes de traitement des données, sont les suivantes :

  • des systèmes de journalisation et de reporting ; et
  • les pistes d'audit et la documentation.


6. Contrôle des instructions

Les mesures techniques et organisationnelles visant à garantir que les données à caractère personnel sont traitées uniquement conformément aux instructions du responsable du traitement comprennent :

  • une formulation sans ambiguïté du contrat :
  • la mise en service formelle ; et
  • les critères de sélection des sous-traitants.


7. Contrôle de la disponibilité

Les mesures techniques et organisationnelles visant à garantir la protection des données à caractère personnel contre la destruction accidentelle ou la perte (physique/logique) comprennent :

  • Procédures de sauvegarde ;
  • l'alimentation électrique ininterrompue (ASI) ;
  • Stockage à distance ;
  • la disponibilité multirégionale
  • Systèmes antivirus / pare-feu ; et
  • Plan de reprise après sinistre.


8. Contrôle de la séparation

Les mesures techniques et organisationnelles visant à garantir que les données à caractère personnel collectées à des fins différentes peuvent être traitées séparément comprennent :

  • la séparation des bases de données
  • la séparation des fonctions (production/essais) ; et

des procédures de stockage, de modification, de suppression et de transmission des données pour différentes finalités.