Autres conditions d'utilisation

Accord sur le traitement des données 

Cet accord sur le traitement des données (ATD) est conclu entre le Responsable du traitement et le Sous-traitant. Il fait partie des conditions générales du Contrat et est régi par ces dernières. 

  1. Définitions 

Les termes commençant par une lettre capitale qui ne sont pas définis dans cet ATD revêtent le sens qui leur est donné dans le Contrat. 

Affilié désigne toute entité qui, directement ou indirectement, contrôle, est contrôlée ou est soumise au contrôle d’une partie. “Contrôle”, aux fins de la présente définition, signifie possession ou contrôle direct ou indirect de plus de 50% des droits de vote d’une partie. 

Contrat désigne le contrat entre le Responsable du traitement et le Sous-traitant concernant la fourniture de la Solution et des Services. 

Responsable du traitement désigne le Client. 

“Loi sur la protection des données” désigne toutes les lois et réglementations, y compris les lois et réglementations de l’Union Européenne, de l’Espace Économique Européen, de leurs états membres et du Royaume-Uni, ainsi que tout amendement, tout remplacement ou renouvellement desdites et qui sont applicables au traitement de données à caractère personnel, y compris, le cas échéant, le Data Protection Act 2018, le RGPD et toute loi, réglementation et législation nationales applicables concernant le traitement de données à caractère personnel et la confidentialité des communications électroniques telles que modifiées, remplacées ou mises à jour de temps à autre, et comprenant la Directive sur la vie privée et les communications électroniques (2002/58/EC) et les Réglementations 2003 (Directive CE) sur la vie privée et les communications électroniques (SI 2003/2426). 

Personne concernée revêt le même sens que dans la Loi sur la protection des données. 

ATD désigne cet Accord sur le Traitement des Données ainsi que les annexes A, B et C. 

RGPD désigne la réglementation (EU) 2016/679 du Parlement Européen et du Conseil Européen du 27 Avril 2016. 

Données à caractère personnel revêt le même sens que dans la Loi sur la protection des données. 

Sous-traitant désigne la Société. 

Politique de sécurité désigne le document sur la sécurité du Sous-traitant tel que mis à jour de temps à autre et figurant dans l'annexe B de cet ATD. 

Clauses contractuelles type désigne les clauses du modèle de l’UE pour le transfert de données à caractère personnel des responsables du traitement aux sous-traitants c2010-593 - Décision 2010/87EU, figurant dans l'annexe C de cet ATD. 

Sous-traitant ultérieur désigne toute personne ou entité mandatée par le Sous-traitant ou ses Affiliés pour traiter des données à caractère personnel dans le cadre de la fourniture de la Solution et des Services au Responsable du traitement. 

 

 2. Objet 

2.1   Le Sous-traitant accepte de fournir la Solution et les Services au Responsable du traitement conformément aux conditions du Contrat. En fournissant la Solution et les Services, le Sous-traitant traitera les Données du Client pour le compte du Responsable du traitement. Les Données du Client peuvent inclure des Données à caractère personnel. Le Sous-traitant traitera et protègera ces Données à caractère personnel en accord avec les termes de cet ATP. 

3. Périmètre 

3.1   En fournissant la Solution et les Services au Responsable du traitement en vertu des termes du Contrat, le Sous-traitant traitera les Données à caractère personnel uniquement dans la mesure nécessaire pour fournir la Solution et les Services conformément aux conditions du Contrat, de cet ATD et des instructions du Responsable du traitement documentées dans le Contrat et cet ATD, et qui peuvent être mise à jour de temps à autre. 

3.2  Le Responsable du traitement et le Sous-traitant prendront les mesures nécessaires pour que les personnes physiques agissant sous l’autorité du Responsable du traitement ou du Sous-traitant et ayant accès aux Données à caractère personnel ne les traitent que sur instruction du Responsable du traitement sauf si lesdites personnes sont dans l’obligation de le faire en vertu d'une Loi sur la protection des données.  

4. Obligations du Sous-traitant 

4.1   Le Sous-traitant peut recueillir, traiter ou utiliser les Données à caractère personnel uniquement dans le périmètre de cet ATD. 

4.2   Le Sous-traitant confirme qu’il traitera les Données à caractère personnel pour le compte du Responsable du traitement. 

4.3   Le Sous-traitant informera promptement le Responsable du traitement si, selon l’opinion du Sous-traitant, des instructions concernant le traitement de Données à caractère personnel fournies par le Responsable du traitement ne sont pas conformes à une Loi sur la protection des données. 

4.4   Le Sous-traitant veillera à ce que tous les employés, collaborateurs et sous-traitants impliqués dans le traitement de Données à caractère personnel: (i) soient conscients de la nature confidentielle des Données à caractère personnel et soient soumis à une obligation contractuelle de préserver la confidentialité de ces Données à caractère personnel ; (ii) aient reçu une formation appropriée sur leurs responsabilités en tant que sous-traitant de données, et (iii) soient soumis aux obligations de cet ATD.  

4.5   Le Sous-traitant mettra en place les mesure techniques et d’organisation appropriées pour protéger les Données à caractère personnel en tenant compte des progrès techniques, des coûts d’implémentation et de la nature, du périmètre, du contexte et des objectifs du traitement ainsi que des risques à probabilité et gravité variables sur les droits et libertés des personnes physiques. 

4.6   Le Sous-traitant mettra en place les mesure techniques et d’organisation appropriées pour assurer un niveau de sécurité approprié aux risques, y compris entre autres et tels qu’appropriés : (1) la pseudonymisation et le chiffrement des Données à caractère personnel ; (ii) la capacité de maintenir la confidentialité, l’intégrité, la disponibilité et  la résilience des systèmes et services de traitement, (iii) la capacité de restaurer la disponibilité et l’accès aux Données à caractère personnel rapidement en cas d’incident physique ou technique ; (iv) un processus pour tester, analyser et évaluer l’efficacité des mesures techniques et d’organisation en place pour assurer la sécurité du traitement. Pour atteindre un niveau de sécurité approprié, il sera tenu compte en particulier des risques présentés par le traitement, en particulier les risques de destruction fortuite ou illicite, de perte, d’altération, de divulgation non autorisée, ou d’accès non autorisé aux Données à caractère personnel transmises, stockées ou traitées de toute autre manière. 

4.7   Les mesures techniques et d’organisation décrites dans l’Annexe B seront adoptées en tout temps et constituent la norme de sécurité minimale. Le Responsable du traitement accepte et convient que les mesures techniques et d’organisation peuvent être développées et revues et que le Sous-traitant pourrait utiliser des mesures appropriées autres que celles décrites dans les annexes de cet ATP si ces mesures sont au moins équivalentes aux mesures techniques et d’organisation décrites dans l’annexe B et sont appropriées en vertu des obligations du Sous-traitant décrites dans les clauses 4.5 et 4.6 ci-dessus. 

4.8   Le Responsable du traitement reconnait et accepte que lors de la fourniture de la Solution et Services au Responsable du traitement, il pourrait être nécessaire que le Sous-traitant ait accès aux Données à caractère personnel pour répondre à des problèmes techniques ou à des questions du Responsable du traitement et pour assurer le bon fonctionnement de la Solution et des Services. De tels accès par le Sous-traitant seront limités à ces finalités. 

4.9   Si des Données à caractère personnel au sujet d’une personne concernée de l’UE ou du Royaume-Uni sont transférées en dehors de l’EEE, elles seront traitées conformément aux dispositions des Clauses contractuelles type, sauf si le traitement est réalisé : (i) dans un pays ou territoire tiers reconnu par la Commission Européenne comme ayant un niveau de protection adéquat, ou (ii) par une organisation se trouvant dans un pays ayant d’autres mesures de protection appropriées légalement reconnues, telles que le bouclier de protection des données UE–États-Unis ou des règles d’entreprise contraignantes. 

4.10 En tenant compte de la nature du traitement et des informations disponibles au Sous-traitant, le Sous-traitant apportera son assistance au Responsable du traitement en mettant en place des mesures techniques et d’organisation appropriées, dans la mesure du possible, pour que le Responsable du traitement puisse satisfaire à son obligation de répondre aux demandes relatives à l’exercice des droits des personnes concernées et à ses obligations en tant que Responsable de protection des données en ce qui concerne le traitement de Données à caractère personnel 

 

5. Obligations du Responsable du traitement 

5.1   Le Responsable du traitement déclare et garantit qu’il se conformera à cet ATP et à ses obligations en vertu de la Loi sur la protection des données. 

5.2   Le Responsable du traitement déclare et garantit qu’il a obtenu toutes les permissions et autorisations nécessaires pour permettre au Sous-traitant, à ses Affiliés et à ses Sous-traitants ultérieurs d’exercer leurs droits ou de remplir leurs obligations dans le cadre de cet ATD. 

5.3   Tous les Affiliés du Responsable du traitement qui utilisent la Solution ou les Services devront se conformer aux obligations du Responsable du traitement prévues dans cet ATD. 

5.4   Le Responsable du traitement est responsable du respect de la Loi sur la protection des données, y compris les exigences concernant le transfert de Données à caractère personnel dans le cadre de cet ATD et du Contrat. 

5.5   Le Responsable du traitement mettra en place des procédures techniques et d’organisation appropriées pour protéger les Données à caractère personnel, en tenant compte des progrès techniques, des coûts d’implémentation et de la nature, du périmètre, du contexte et des objectifs du traitement ainsi que des risques à probabilité et gravité variables sur les droits et libertés des personnes physiques. Le Sous-traitant mettra en place les mesures techniques et d’organisation appropriées pour assurer un niveau de sécurité approprié au risque, y compris entre autres et tels qu’appropriés : (1) la pseudonymisation et le chiffrement des Données à caractère personnel ; (ii) la capacité de maintenir la confidentialité,  l’intégralité,  la disponibilité et la résilience des systèmes et services de traitement, (iii) la capacité de restaurer la disponibilité et l’accès aux Données à caractère personnel rapidement en cas d’incident physique ou technique ; (iv) un processus pour tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et d’organisation en place pour assurer la sécurité du traitement.  Pour atteindre un niveau de sécurité approprié, il sera tenu compte en particulier des risques présentés par le traitement, en particulier de destruction fortuite ou illicite, de perte, d’altération, de divulgation non autorisée ou d’accès non autorisé aux données à caractère personnel transmises, stockées ou traitées de toute autre manière. 

5.6   Le Responsable du traitement pourrait demander que les Données à caractère personnel soient corrigées, supprimées, verrouillées et/ou rendues disponibles pendant la durée du contrat ou après sa résiliation. Le Sous-traitant traitera ces demandes dans la mesure où elles sont légales et satisfera de façon raisonnable de telles demandes en conformité avec ses procédures opérationnelles normalisées dans toute la mesure du possible. 

5.7   Le Responsable du traitement reconnait et accepte que certaines instructions de la part du Responsable du traitement, y compris la destruction ou le retour de données, l’assistance de la part du Sous-traitant aux vérifications, inspections, évaluations d’impact sur la protection des données ou la fourniture d’une assistance en vertu de cet ATD, pourraient faire l’objet d’une facturation supplémentaire. Le Sous-traitant pourra facturer au Responsable du traitement les frais et dépenses encourus pour fournir une telle assistance. 

6. Sous-traitants ultérieurs 

6.1   Le Responsable du traitement reconnait et accepte que : (i) des Affiliés du Sous-traitant peuvent être utilisés en tant que Sous-traitants ultérieurs ; et (ii) le Sous-traitant et ses Affiliés peuvent respectivement engager des Sous-traitants ultérieurs dans le cadre de la fourniture de la Solution et des Services. 

6.2   Tous les Sous-traitants ultérieurs qui traitent des Données à caractère personnel dans le cadre de la fourniture de la Solution et des Services au Responsable du traitement devront se conformer aux obligations du Sous-traitant prévues dans cet ATD. 

6.3   Le Responsable du traitement autorise le Sous-traitant à utiliser les Sous-traitants ultérieurs déjà mandatés par le Sous-traitant à la date du Contrat et le Sous-traitant devra rendre disponible au Responsable du traitement une liste des Sous-traitants ultérieurs autorisés à traiter les Données à caractère personnel. La liste inclura les identités des Sous-traitants ultérieurs et les pays où ils se trouvent. Pendant la durée de cet ATD, le Sous-traitant informera au préalable le Responsable du traitement par email de tout changement dans les listes des Sous-traitants ultérieurs avant d’autoriser un nouveau Sous-traitant ultérieur ou un Sous-traitant ultérieur remplaçant à traiter les Données à caractère personnel. 

6.4   Le Responsable du traitement peut faire objection à l’utilisation d’un nouveau Sous-traitant ultérieur ou d’un Sous-traitant ultérieur remplaçant en communiquant son objection au Sous-traitant promptement par écrit dans les 10 jours ouvrés après réception de l’information par le Sous-traitant. Si le Responsable du traitement fait objection au nouveau Sous-traitant ultérieur ou à un Sous-traitant ultérieur remplaçant, le Responsable du traitement pourra résilier le Contrat concernant la Solution et Services qui ne peuvent être fournis par le Sous-traitant sans l’utilisation du nouveau Sous-traitant ultérieur ou du Sous-traitant ultérieur remplaçant. Le Sous-traitant remboursera au Responsable du traitement toute redevance déjà payée couvrant le reste de la Durée du Contrat suivant la Date effective de résiliation concernant la Solution ou Services résiliés. 

6.5   Tous les Sous-traitants ultérieurs qui traitent des Données à caractère personnel devront se conformer aux obligations du Sous-traitant prévues dans cet ATP. Avant qu’un Sous-traitant ultérieur ne commence des activités de traitement concernant des Données à caractère personnel, le Sous-traitant devra : (i) nommer sous contrat écrit chaque Sous-traitant ultérieur ; ledit contrat devra contenir substantiellement les mêmes obligations que celles du Sous-traitant dans cet ATP imposables par le Sous-traitant ; et (ii) veiller à ce que chaque Sous-traitant ultérieur se conforme à toutes ces obligations. 

6.6   Le Responsable du traitement accepte que les Sous-traitants ultérieurs peuvent transférer des Données à caractère personnel dans le but de fournir la Solution et les Services au Responsable du traitement conformément au Contrat à des pays en dehors de l’Espace Economique Européen (EEE). Le Sous-traitant confirme que lesdits Sous-traitants ultérieurs : (i) se trouvent dans un pays ou un territoire tiers reconnu par la Commission Européenne comme ayant un niveau adéquat de protection, ou (ii) ont conclu des Clauses contractuelles type avec le Sous-traitant, ou (iii) ont d’autres mesures de protection appropriées légalement reconnues, telles que le bouclier de protection des données UE–États-Unis ou des règles d’entreprise contraignantes. 

 

7. Vérifications  

7.1   Le Sous-traitant tiendra à disposition du Responsable du traitement toutes les informations raisonnablement nécessaires pour prouver sa conformité à ses obligations de traitement et pour permettre que des vérifications et inspections puissent être réalisées et y contribuer. 

7.2   Toute vérification conduite dans le cadre de cet ATP devra consister en l’examen des rapports, certificats et/ou extraits les plus récents préparés par un auditeur indépendant tenu à des obligations de confidentialité similaires à celles prévues dans le Contrat. Si le Responsable du traitement juge de façon raisonnable que la fourniture desdites informations n’est pas suffisante, le Responsable du traitement pourra mener une vérification plus approfondie qui sera réalisée : (i) aux frais du Responsable du traitement ; (ii) dans un périmètre restreint aux questions touchant le Responsable du traitement et acceptées d’avance ; (iii) durant les heures de bureau habituelles du Sous-traitant et après préavis raisonnable d’au moins 4 semaines, sauf si un problème important identifiable est apparu et (iv) de manière qui n’entrave pas les activités de travail quotidien du Sous-traitant. 

7.3   Cette clause ne modifie ni ne limite les droits aux vérifications du Responsable du traitement et sert à clarifier les procédures concernant toute vérification entreprise en vertu de celle-ci. 

 

8. Violations de données 

8.1   Le Sous-traitant informera le Responsable du traitement sans retard injustifié dès qu’il prend connaissance (et dans tous les cas dans les 72 heures suivant la découverte) de la destruction, perte, altération fortuite ou illicite, divulgation ou accès non-autorisés à des Données à caractère personnel (« Violation de données »). 

8.2   Le Sous-traitant prendra toutes les mesures commercialement raisonnables pour sécuriser les Données à caractère personnel afin de limiter les effets de toute Violation de données et pour aider le Responsable du traitement à remplir les obligations de Responsable du traitement selon la loi applicable.  

9. Conformité, coopération et réponse

9.1   Dans le cas où le Sous-traitant reçoit une demande de la part d’une Personne concernée concernant les Données à caractère personnel, le Sous-traitant dirigera la Personne concernée vers le Responsable du traitement sauf si prohibé par la loi. Le Responsable du traitement devra rembourser le Sous-traitant de tout frais encouru par la fourniture d’une assistance raisonnable pour traiter la demande de la Personne concernée. Dans le cas où le Sous-traitant est requis par la loi de répondre à la Personne concernée, le Responsable du traitement coopèrera pleinement avec le Sous-traitant le cas échéant. 

9.2   Le Sous-traitant informera le Responsable du traitement promptement de toute demande ou plainte concernant le traitement de Données à caractère personnel qui pourrait avoir une incidence négative sur le Responsable du traitement, sauf si une telle notification n’est pas autorisée par la loi applicable ou par décision d’un tribunal. 

9.3   Le Sous-traitant pourra réaliser des copies et/ou conserver des Données à caractère personnel en conformité aux exigences légales ou réglementaires, y compris, et sans s’y limiter, les exigences en matière de conservation de données. 

9.4   Le Sous-traitant devra de façon raisonnable aider le Responsable du traitement à remplir l’obligation du Responsable du traitement de réaliser des évaluations d'impact sur la protection des données en tenant compte de la nature du traitement et des informations disponibles au Sous-traitant. 

9.5   Le Responsable du traitement informera le Sous-traitant dans un délai raisonnable de tout changement apporté aux lois, codes et réglementations applicables sur la protection des données qui pourrait affecter les devoirs contractuels du Sous-traitant. Le Sous-traitant apportera dans un délai raisonnable sa réponse concernant les changements devant être apportés aux conditions de cet ATD ou aux mesures techniques ou d’organisation afin que la conformité puisse être maintenue. Si les parties acceptent que des modifications sont nécessaires mais le Sous-traitant n’est pas en mesure de les réaliser, le Responsable du traitement sera en droit de résilier la partie ou les parties de la Solution et des Services qui sont concernés par la non-conformité. Dans la mesure où les autres parties de la Solution et des Services fournis ne sont pas affectées par ces changements, la fourniture de ces parties de la Solution et des Services demeurera inaffectée. 

9.6   Le Responsable du traitement et le Sous-traitant et, si applicables, leurs représentants, devront coopérer, sur demande, avec une autorité compétente en matière de contrôle de la protection des données pour remplir leurs obligations respectives en vertu de cet ATD et de la Loi sur la protection des données.  

10. Responsabilité 

10.1  Les limites de responsabilité décrites dans le Contrat s’appliquent à toutes les réclamations soumises en cas de violation des conditions de cet ATD. 

10.2  Les parties acceptent que le Sous-traitant sera responsable de toute violation de cet ATP causée par les actes et omissions ou négligence de ses Sous-traitants ultérieurs dans la même mesure que le Sous-traitant serait responsable s’il réalisait les services de chaque Sous-traitant ultérieur directement selon les termes de l’ATD, sous réserve de limitation de responsabilité prévue dans les termes du Contrat. 

10.3  Les parties acceptent que le Responsable du traitement sera responsable de toute violation de cet ATD causée par les actes et omissions ou négligence de ses Affiliés comme si ces actes, omissions ou négligence avaient être commis par le Responsable du traitement lui-même. 

10.4  Le Responsable du traitement ne pourra être indemnisé plus d’une fois pour la même perte.  

11. Durée et résiliation 

11.1  Le Sous-traitant ne traitera les données à caractère personnel que pendant la durée de l’ATD. La durée de cet ATD coïncidera avec le début du Contrat et cet ATD sera automatiquement résilié quand le Contrat est résilié ou arrive à expiration. 

11.2  Le Sous-traitant devra, en fonction du choix opéré par le Responsable du traitement et après avoir reçu une demande écrite dans les 30 jours suivant la fin de la fourniture de la Solution et des Services, supprimer ou restituer les Données à caractère personnel au Responsable du traitement. Le Sous-traitant devra dans tous les cas supprimer toutes les copies de Données à caractère personnel dans ses systèmes dans les 60 jours suivant la date effective de résiliation du Contrat sauf si : (i) la loi ou la réglementation applicable requiert que les Données à caractère personnel soient stockées après résiliation ; ou (ii) des données à caractère personnel partielles du Client sont stockées dans des backups. 

12. Autres informations  

12.1  Cet ATD constitue l’intégralité de l’accord entre les parties concernant l’objet du présent document. 

12.2  Si une disposition de cet ATD est non valide ou devient non valide, l’effet légal des autres dispositions ne sera pas affecté. Une disposition valide la plus proche commercialement de ce que les parties avaient prévu remplacera la disposition non valide et sera considérée comme ayant été acceptée par les parties. Il en sera de même en cas d’omission. 

12.3  Sous réserve de disposition contraire dans les Clauses contractuelles type, cet ATD sera soumis aux lois de la France. Seuls les tribunaux français seront compétents en cas de litige découlant de cet ATD. 

12.4  Les parties acceptent que cet ATD fait partie intégrante du Contrat et qu’il est régi par les termes du Contrat. 

 

Annexe A 

Vue d’ensemble des activités de traitement de données devant être réalisées par le Sous-traitant 

1. Responsable du traitement 
Le Responsable du traitement transfère les données à caractère personnel désignées dans les sections 3, 4 et 5 ci-dessous en relation avec les opérations de traitement désignées dans la section 6 ci-dessous. 

Le Responsable du traitement est le Client. 


2. Sous-traitant 
Le Sous-traitant reçoit les données désignées dans les sections 3, 4 et 5 ci-dessous en relation avec les opérations de traitement désignées dans la section 6 ci-dessous. 

Le Sous-traitant est la Société. 

3. Personnes concernées 

Les Données à caractère personnel transférées comprennent, sans s’y limiter, les catégories de personnes concernées suivantes : 

  • Étudiants 
  • Employés et sous-traitants du Responsable du traitement. 
  • Utilisateurs autorisés, Affiliés et autres participants de temps à autre à qui le Responsable du traitement a accordé le droit d’accéder à la Solution et aux Services conformément aux conditions du Contrat. 
  • Les clients du Responsable du traitement et les individues avec lesquels ces utilisateurs finaux communiquent par email et/ou autres supports d’envoi de messages. 
  • Employés des clients du Responsable du traitement. 
  • Les fournisseurs et fournisseurs de service du Responsable du traitement. 

     D’autres individus dans la mesure identifiable dans le contenu des emails ou leurs pièces jointes ou dans le contenu d’archives. 

4. Catégories de données

Les données à caractère personnel transférées comprennent sans s’y limiter les catégories de données suivantes : 

  • Informations à caractère personnel, noms, noms d’utilisateurs, mots de passe, adresses email, plannings des études et informations concernant la formation des Utilisateurs autorisés. 
  • Données à caractère personnel découlant de l’utilisation de la Solution et des Services par les Utilisateurs autorisés tels que les enregistrements et informations de business intelligence. 
  • Données à caractère personnel dans les emails et le contenu de messages qui identifient ou pourraient raisonnablement être utilisés pour identifier des Personnes concernées. 
  • Métadonnées y compris messages envoyés, à, de, date, heure, objet, et qui pourraient inclure des Données à caractère personnel. 
  • Données concernant la formation et la profession. 
  • Fichiers en pièces-jointes qui pourraient contenir des données à caractère personnel. 
  • Messages concernant des enquêtes, retours et évaluations. 
  • Informations données par les utilisateurs dans le cadre de demandes de support. 
  • Informations sur les réunions et autres rendez-vous de calendriers. 
  • Autres données ajoutées par le Responsable du traitement de temps à autre. 

 

5. Catégories particulières de données 
Les données sensibles ou les données de catégories particulières, autres que celles des types décrits ci-dessous, ne pourront être transférées et ne devront pas être incluses dans le contenu ou les pièces-jointes des emails. 

De faibles volumes de données sensibles peuvent être transférées et contenues dans les Données du Client : 

  • Informations médicales concernant des Étudiants devant être portées à l’attention du Client pour qu’il puisse remplir ses obligations envers les étudiants utilisant ses systèmes en ligne ou physiques. 

 

6. Opérations de traitement 

Les données à caractère personnel transférées seront soumises aux activités de traitement de base suivantes : 

  • Les données à caractère personnel seront traitées dans la mesure nécessaire pour fournir la Solution et les Services conformément au Contrat et aux instructions du Responsable du traitement. Le Sous-traitant traite les Données à caractère personnel uniquement pour le compte du Responsable du traitement. 
  • Les opérations de traitement comprennent sans s’y limiter : gestion des plannings du personnel et des étudiants de l’établissement afin d’affecter des salles et des ressources des études efficacement, gestion de listes d’employés, d’étudiants, d’intermédiaires et d’autres utilisateurs, fourniture de support aux utilisateurs et autres fonctions d’organisation. Ces opérations concernent tous les aspects des Données à caractère personnel traitées. 
  • Le support technique, le diagnostic de problèmes et la correction des erreurs afin d’assurer le fonctionnement efficace et correct des systèmes et d’identifier, d’analyser et de résoudre les problèmes techniques de façon générale concernant la fourniture de la Solution et des Services et spécifiquement en réponse à une demande du Responsable du traitement. Cette opération peut concerner tous les aspects des Données à caractère personnel traitées mais se limitera aux métadonnées si possible.  
  • Vérification de virus, anti-spams et logiciels malveillants conformément à la Solution et aux Services fournis. Cette opération concerne tous les aspects des Données à caractère personnel traitées. 
  • Lecture des URL dans le but de fournir une protection ciblée à l’encontre de menaces et services similaires qui pourraient être fournis dans le cadre du Contrat. Cette opération concerne les pièces-jointes et les liens dans les emails et pourra concerner toutes les Données à caractère personnel dans ces pièces-jointes ou liens qui pourraient inclure toute catégorie de Données à caractère personnel. 

Annexe B 

Mesures de sécurité techniques et d’organisation 

Le Sous-traitant détient la certification ISO 27001 et continuera de maintenir cette certification et/ou autres certifications substantiellement similaires ou équivalentes pendant la durée du Contrat. Les mesures techniques et d’organisation définies dans ce document sont mises en place en se basant sur la norme internationale ISO 27001. Le Sous-traitant maintiendra des contrôles de protection substantiellement comparables à ceux prévus dans ISO 27001 ou d’autres exigences de certification substantiellement similaires ou équivalents. 

Le Sous-traitant utilise des data centres tiers qui maintiennent les certifications ISO 27001 actuelles et/ou des rapports d’attestation SSAE 18 SOC 1 Type II ou SOC 2. Le Sous-traitant n’utilisera pas de data centres tiers qui ne maintiennent pas les certifications et/ou attestations mentionnées ci-dessus ou d’autres certifications et/ou attestations substantiellement similaires ou équivalentes. 

À la demande écrite du Responsable du traitement (et pas plus d’une fois tous les 12 mois), le Sous-traitant fournira dans un délai raisonnable une copie de la certification obtenue le plus récemment et/ou rapports d’attestation (dans la mesure où le faire ne nuit pas à la sécurité globale de la Solution et des Services). Tout rapport de vérification soumis au Responsable du traitement sera traité comme Information confidentielle et soumis aux dispositions de confidentialité du Contrat entre les parties. 

Les descriptions qui suivent donnent une vue d’ensemble des mesures de sécurité techniques et d’organisation mises en place. Il est important de noter que sous certaines circonstances, afin de protéger l’intégrité des mesures de sécurité et dans le contexte de sécurité des données, des descriptions détaillées pourraient ne pas être disponibles ; toutefois, des informations supplémentaires concernant les mesures techniques et d’organisation se trouvent dans la Politique de sécurité. Il est reconnu et convenu que la politique de sécurité et les mesures techniques et d’organisation décrites dans ce document seront mises à jour et modifiées de temps à autres à la seule discrétion du Sous-traitant. Nonobstant ce qui précède, les mesures techniques et d’organisation ne seront pas inférieures aux mesures décrites dans la Politique de sécurité de façon substantielle et préjudiciable. 

 

1. Contrôle des accès 

Mesures techniques et d’organisation concernant le contrôle d’accès, en particulier en ce qui concerne le processus d’établissement de la légitimité des personnes autorisées :  

Le but du contrôle d’accès est d’empêcher que des personnes non autorisées aient  physiquement accès à l’équipement de traitement de données traitant ou utilisant des Données à caractère personnel. 

Pour des raisons de sécurité, les locaux et installations sont répartis sur des zones de sécurité ayant des autorisations d’accès différentes. Le personnel de sécurité en assure la surveillance. L’accès des employés aux bâtiments n’est possible que par un badge d’accès approuvé et l’accès à la salle des serveurs est restreint par un verrou à clé. Tout autre individu n’a accès aux bâtiments qu’après inscription auprès de la réception. 

L’accès à des zones particulières de sécurité pour la maintenance à distance est de plus protégé par une zone d’accès séparée. Les normes de construction et les normes matérielles de sécurité sont conformes aux exigences de sécurité des data centres. 

 

2. Contrôle d’accès aux systèmes 

Mesures techniques et d’organisation concernant l’identifiant des utilisateurs et l’authentification : 

Le but du contrôle d’accès aux systèmes est d’empêcher l’utilisation non autorisée des systèmes de traitement de données utilisés pour traiter les Données des Clients. 

L’accès distant aux systèmes de traitement de données n’est possible que par tunnel VPN sécurisé du Sous-traitant ou méthodes équivalentes avec niveau de sécurité élevé. Si les utilisateurs doivent tout d’abord s’authentifier pour accéder au tunnel sécurisé, après authentification réussie, l’autorisation est exécutée par la fourniture d’un nom d’utilisateur unique et d’un mot de passe à un service de répertoire centralisé. Toute tentative d’accès ayant réussi ou échoué est enregistré dans un journal et surveillé. 

Des protections techniques supplémentaires sont en place, utilisant des pares-feux, des serveurs proxy et une technologie de chiffrement de pointe appliquée si appropriée dans le but d’assurer une protection en fonction du risque. 

 

3. Contrôle d’accès aux données 

Mesures techniques et d’organisation concernant la structure « à la demande » du concept d’autorisation, des droits d’accès aux données ainsi que leur surveillance et leur enregistrement. 

Les mesures de contrôle d’accès aux données sont ciblées. L’accès à des données n’est accordé que si une autorisation d’accès existe et qu’elles ne peuvent être lues, copiées, modifiées ou supprimer de façon non autorisée durant leur traitement et après leur enregistrement. 

L’accès aux données nécessaires à la réalisation d’une tâche en particulier est assuré dans les systèmes et applications par un rôle correspondant et un concept d’autorisation. En accord avec les principes du « privilège minimal » et « la nécessite de savoir », chaque rôle ne dispose que des droits qui sont nécessaires pour qu’une tâche puisse être accomplie par un individu.  

Pour maintenir le contrôle de l’accès aux données, une technologie de chiffrement de pointe est appliquée aux Données à caractère personnel si cette mesure est jugée appropriée dans le but d’assurer une protection des Données sensibles en fonction du risque. 

4. Contrôle des transmissions 

Mesures techniques et d’organisation concernant le transport, le transfert, la transmission, le stockage et les vérifications par la suite des données à caractère personnel sur supports de données (qu’ils soient manuels ou électroniques). 

Le contrôle des transmissions est mis en place de sorte que les Données à caractère personnel ne puissent être lues, modifiées ou supprimées sans autorisation lors de leur transfert ou pendant leur stockage sur des supports de données. Des mesures sont prises de sorte qu’il soit possible de déterminer les destinataires vers lesquels un transfert de données est envisagé et d’assurer un suivi de la liste de ces destinataires. 

Les mesures nécessaires pour veiller à la sécurité des données durant le transport, le transfert et la transmissions de Données à caractère personnel et de toute autre donnée concernant la société ou les Clients sont décrits dans la Stratégie de sécurité. Cette norme comprend une description de la protection requise pendant le traitement de données, depuis la création de telles données jusqu’à leur suppression, y compris la protection de ces données en accord avec le niveau de classification des données. 

Pour assurer le contrôle des transferts, une technologie de chiffrement est utilisée (par exemple, accès distant au réseau de la société par tunnel VPN à 2 facteurs et chiffrement intégral de disque). L’adéquation d’une technologie de chiffrement est mesurée par rapport à l’objectif de protection. 

Le transfert de Données à caractère personnel à un tiers (par exemple des clients, sous-traitants, fournisseurs de services) n’est effectué que si un contrat correspondant existe et pour une finalité spécifique. Si des Données à caractère personnel sont transférées à des sociétés situées en dehors de l’EEE, le Sous-traitant s’assurera qu’un niveau adéquat de protection des données existe à l’emplacement cible ou dans l’organisation cible en accord avec les exigences sur la protection des données de l’Union Européenne, par exemple par l’utilisation de contrats basés sur les Clauses contractuelles types. 

5. Contrôle des saisies de données 

Mesures techniques et d’organisation concernant l’enregistrement et la surveillance des circonstances des saisies de données pour permettre une vérification rétroactive. 

Les entrées dans les systèmes sont enregistrées sous la forme de fichiers journaux pour qu’il soit possible de vérifier rétroactivement si des données à caractère personnel ont été saisies, modifiées ou supprimées et par qui. 

6. Contrôle du traitement de données 

Mesures techniques et d’organisation pour permettre d’établir la différence entre les compétences du donneur d’ordre et celles du sous-traitant : 

Le but du contrôle du traitement des données est de s’assurer que les Données à caractère personnel soient traitées par un Sous-traitant de données chargé et en accord avec les instructions du donneur d’ordre. 

Les informations concernant le contrôle du traitement de données figurent dans le Contrat et l’ATD.  

7. Contrôle de disponibilité 

Mesures techniques et d’organisation concernant le backup des données (physique/logique) : 

Les données sont stockées en trois exemplaires sur 2 data centres, avec 2 connexions croisées séparées. En cas d’inondation, de tremblement de terre, incendie ou autre destruction physique ou de coupure de courant, les data centres peuvent être changés afin de protéger les Données à caractère personnel de toute destruction ou perte fortuite. 

Si les Données à caractère personnel ne sont plus requises pour les finalités pour lesquelles elles étaient traitées, elles sont supprimées promptement. Il est important de noter que pour chaque suppression, les Données à caractère personnel ne sont tout d’abord que verrouillées puis sont réellement supprimées après un certain temps afin d’empêcher toute suppression fortuite ou dommage intentionnel. 

8. Contrôle de séparation 

Mesures techniques et d’organisation concernant la collecte et le traitement séparés : 

Les données à caractère personnel utilisées uniquement à des fins internes dans le but de gérer la relation avec des clients respectifs, peuvent être transférées à un tiers tel qu’un sous-traitant, et uniquement en tenant compte des dispositions contractuelles et des exigences règlementaires de protection des données appropriées. 

Les employés ont pour instruction de collecter, de traiter de d’utiliser les Données à caractère personnel uniquement dans le cadre et aux fins de leurs devoirs (par exemple, fournir un service). Sur le plan technique, la capacité multi-clients comprend la séparation des fonctions et la séparation appropriée des systèmes de tests et de production. 

Les données du Client sont stockées d’une manière qui les sépare logiquement des données des autres clients. 

Une clé de chiffrement unique est assignée au Responsable du traitement. Elle est générée à l’aide d’une bibliothèque crypto conforme à la norme FIPS 140-2 et est utilisée pour chiffrer et déchiffrer toutes les données archivées du Responsable du traitement. En plus des clés de chiffrement uniques, toutes les données écrites dans la grille de stockage comprennent le code de compte unique du Responsable du traitement. Les systèmes du Sous-traitant qui écrivent les données dans la grille de stockage récupèrent la clé de chiffrement d’un système et le code du client d’un autre ; une vérification croisée sur les deux systèmes indépendants a ainsi lieu. La clé de chiffrement du Responsable du traitement est également chiffrée avec une clé de sous-traitant stockée dans un système centralisé de gestion de clés d’accès restreint. Afin que le Sous-traitant puisse accéder aux Données du client à l’aide de la clé principale, le système de gestion des clés fournit des clés individuelles en suivant un processus strict d’approbation comprenant plusieurs niveaux d’autorisations exécutives. L’utilisation de ces clés principales de chiffrement est limitée aux principaux ingénieurs de production et tout accès est enregistré dans un journal, surveillé et configuré de sorte que des alertes puissent être émises par un système de gestion des incidents et de sécurité. Les données archivées du Responsable du traitement sont chiffrées au repos à l’aide du chiffrement de bits AES256 et les données en transit sont protégées par Transport Layer Security (“TLS”). 

 

Annexe C 

Décision de la Commission C(2010)593 

Aux fins de l’Article 26(2) de la Directive 95/46/EC sur le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers n’assurant pas un niveau de protection des données adéquates 

le Responsable du traitement, (l’“exportateur” de données) 

et 

le Sous-traitant (l’“importateur” de données), 

chacun étant une partieet les deux étant les parties, 

CONVIENNENT des Clauses contractuelles types (les “Clauses contractuelles types”) afin d’offrir des garanties adéquates concernant la protection de la vie privée et des droits fondamentaux et libertés fondamentales des individus pour le transfert par l’exportateur de données vers l’importateur de données des données à caractère personnel spécifiées dans l’Annexe A de l’ATD. 

Clause 1 

Définitions 

Aux fins des Clauses contractuelles types, tous les termes en capitales auront le sens donné dans l’ATD sauf s’ils sont définis autrement : 

(a) ‘données à caractère personnel’, ‘données de catégories particulières’, ‘traiter/traitement’, ‘responsable’, ‘sous-traitant’, ‘Personne concernée’ et ‘autorité de protection’ auront le même sens que dans la Directive 95/46/EC du Parlement Européen et du Conseil du 24 Octobre 1995 sur la protection des individus en matière de traitement de données à caractère personnel et sur la libre circulation de telles données; 

(b) ‘l’exportateur de données’ désigne le responsable du traitement qui transfère les données à caractère personnel : 

(c) l’importateur de données’ désigne le sous-traitant qui donne son accord pour recevoir de l’exportateur de données des données à caractère personnel dans le but de les traiter pour son compte après le transfert, en accord avec ses instructions et les conditions des Clauses contractuelles types et qui n’est pas assujetti au système d’un pays tiers assurant une protection appropriée au sens de l’Article 25(1) de la Directive 95/46/EC; 

(d) ‘le Sous-traitant ultérieur’ désigne tout Sous-traitant mandaté par l’importateur de données ou par tout autre sous-traitant ultérieur de l’importateur de données qui a donné son accord pour recevoir de l’importateur de données ou de tout autre Sous-traitant ultérieur de l’importateur de données, des données à caractère personnel uniquement à des fins d’activités de traitement menées pour le compte de l’exportateur de données après le transfert, en accord avec ses instructions, les conditions des Clauses contractuelles types et les conditions du sous-contrat écrit ; 

(e) ‘la loi sur la protection des données applicable’ désigne la législation protégeant les droits fondamentaux et libertés fondamentales des individus et en particulier leur droit à la vie privée en ce qui concerne le traitement de données à caractère personnel applicable à un responsable de données dans l’État Membre dans lequel est établi l’exportateur de données ; 

(f) ‘mesures de sécurité techniques et d’organisation’ désigne les mesures dont le but est de protéger les données à caractère personnel de toute destruction fortuite ou illicite ou de perte fortuite, altération, divulgation non autorisée ou accès non autorisé, en particulier dans le cas où le traitement implique la transmission de données sur un réseau, et de toute autre forme illicite de traitement. 

Clause 2 

Détails du transfert 

Les détails du transfert et en particulier les catégories particulières de données à caractère personnel si applicables sont spécifiés dans l’Annexe A de l’ATD, qui fait partie intégrante des Clauses contractuelles types. 

Clause 3 

Clause du tiers bénéficiaire 

1. La personne concernée peut faire appliquer contre l’exportateur de données la présente Clause, la Clause 4(b) à (i), la Clause 5(a) à (e), et (g) à (j), la Clause 6(1) et (2), la Clause 7, la Clause 8(2), et les Clauses 9 à 12 en tant que bénéficiaire tiers. 

2. La personne concernée peut faire appliquer contre l’exportateur de données la présente Clause, la Clause 5(a) à (e) et (g), la Clause 6, la Clause 7, la Clause 8(2), et les Clauses 9 à 12 dans les cas où l’exportateur de données a matériellement disparu ou a cessé d’exister en droit, à moins que l’ensemble des obligations juridiques de l’exportateur n'ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, à laquelle reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre laquelle la personne concernée peut donc faire appliquer lesdites clauses. 

3. La personne concernée peut faire appliquer contre le sous-traitant ultérieur la présente Clause, la Clause 5(a) à (e) et (g), la Clause 6, la Clause 7, la Clause 8(2), et les Clauses 9 à 12 dans les cas où l’exportateur de données ainsi que l’importateur de données ont tous les deux matériellement disparu ou ont cessé d’exister en droit ou sont devenus insolvables, à moins que l’ensemble des obligations juridiques de l’exportateur n'ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, à laquelle reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre laquelle la personne concernée peut donc faire appliquer lesdites clauses. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement sous les Clauses contractuelles types. 

4. Les parties ne s'opposent pas à ce que la personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si le droit national l’autorise. 

 

Clause 4 

Obligations de l’exportateur de données 

L’exportateur de données accepte et garantit ce qui suit :  

(a) le traitement, y compris le transfert proprement dit des données à caractère personnel, a été et continuera d’être effectué conformément aux dispositions pertinentes du droit applicable à la protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l’État membre dans lequel l’exportateur de données est établi) et n’enfreint pas les dispositions pertinentes dudit État;  

(b) il a chargé, et chargera pendant toute la durée des services de traitement de données à caractère personnel, l’importateur de données de traiter les données à caractère personnel transférées pour le compte exclusif de l’exportateur de données et conformément au droit applicable à la protection des données et aux Clauses contractuelles types; 

(c) l’importateur de données offrira suffisamment de garanties en ce qui concerne les mesures techniques et d’organisation liées à la sécurité spécifiées dans la Politique de sécurité;   

(d) après l’évaluation des exigences du droit applicable à la protection des données, les mesures de sécurité sont adéquates pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement et elles assurent un niveau de sécurité adapté aux risques liés au  traitement et à la nature des données à protéger, eu égard au niveau technologique et au coût de mise en œuvre; 

(e) il veillera au respect des mesures de sécurité; 

(f) si le transfert porte sur des catégories particulières de données, la personne concernée a été informée ou sera informée avant le transfert ou dès que possible après le transfert que ses données pourraient être transmises à un pays tiers n’offrant pas un niveau de protection adéquat au sens de la directive 95/46/CE; 

(g) il transmettra toute notification reçue de l’importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5(b), et à la  clause 8(3), à l’autorité de contrôle de la protection des données s’il décide de poursuivre le transfert ou de lever sa suspension; 

(h) il mettra à la disposition des personnes concernées, si elles le demandent, une copie des Clauses contractuelles types, à l’exception de la Politique de sécurité, et une description sommaire des mesures de sécurité, ainsi qu’une copie de tout contrat de sous-traitance ultérieure ayant été conclu conformément aux Clauses contractuelles types, à moins que les Clauses contractuelles types ou le contrat ne contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations;  

(i) en cas de sous-traitance ultérieure, l’activité de traitement est effectuée conformément à la clause 11 par un sous-traitant ultérieur offrant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l’importateur de données conformément aux Clauses contractuelles types; et  

(j) il veillera au respect de la clause 4(a) à (i). 

Clause 5 

Obligations de l’importateur de données  

L’importateur de données accepte et garantit ce qui suit : 

(a) il traitera les données à caractère personnel pour le compte exclusif de l’exportateur de données et conformément aux instructions de ce dernier et aux Clauses contractuelles types; s’il est dans l’incapacité de s’y conformer pour quelque raison que ce soit, il accepte d’informer dans les meilleurs délais l’exportateur de données de son incapacité, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat;  

(b) il n’a aucune raison de croire que la législation le concernant l’empêche de remplir les instructions données par l’exportateur de données et les obligations qui lui incombent conformément au contrat, et si ladite législation fait l’objet d’une modification susceptible d’avoir des conséquences négatives importantes pour les garanties et les obligations offertes par les Clauses contractuelles types, il communiquera la modification à l’exportateur de données sans retard après en avoir eu connaissance, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat;  

(c) il a mis en œuvre les mesures techniques et d’organisation liées à la sécurité spécifiées dans Politique de sécurité avant de traiter les données à caractère personnel transférées; 

(d) il communiquera sans retard à l’exportateur de données:  

i) toute demande contraignante de divulgation des données à caractère personnel émanant d’une autorité de maintien de l’ordre, sauf disposition contraire, telle qu’une interdiction de caractère pénal visant à préserver le secret d’une enquête policière;  

ii) tout accès fortuit ou non autorisé; et 

iii) toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu’il n’ait été autorisé à le faire; 

(e) il traitera rapidement et comme il se doit toutes les demandes de renseignements émanant de l’exportateur de données relatives à son traitement des données à caractère personnel qui font l’objet du transfert et se rangera à l’avis de l’autorité de contrôle en ce qui concerne le traitement des données transférées;  

(f) à la demande de l’exportateur de données, il soumettra ses moyens de traitement de données à une vérification des activités de traitement couvertes par les Clauses contractuelles types qui sera effectuée par l’exportateur de données ou un organe de contrôle composé de membres indépendants possédant les qualifications professionnelles requises, soumis à une obligation de secret et choisis par l’exportateur de données, le cas échéant, avec l’accord de l’autorité de contrôle;  

(g) il mettra à la disposition de la personne concernée, si elle le demande, une copie des Clauses contractuelles types, ou tout contrat de sous-traitance ultérieure existant, à moins que les Clauses contractuelles types ou le contrat ne contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations, à l’exception de la Politique de sécurité, qui sera remplacée par une description sommaire des mesures de sécurité, lorsque la personne concernée n’est pas en mesure d’obtenir une copie de l’exportateur de données;  

(h) en cas de sous-traitance ultérieure, il veillera au préalable à informer l’exportateur de données et à obtenir l’accord écrit de ce dernier; 

(i) les services de traitement fournis par le sous-traitant ultérieur seront conformes à la clause 11;  

(j) il enverra dans les meilleurs délais une copie de tout accord de sous-traitance ultérieure conclu par lui en vertu des Clauses contractuelles types à l’exportateur de données. 

Clause 6  

Responsabilité  

1. Les parties conviennent que toute personne concernée ayant subi un dommage du fait d’un manquement aux obligations visées à la clause 3 ou à la clause 11 par une des parties ou par un sous-traitant ultérieur a le droit d’obtenir de l’exportateur de données réparation du préjudice subi.  

2. Si une personne concernée est empêchée d’intenter l’action en réparation visée au paragraphe 1 contre l’exportateur de données pour manquement par l’importateur de données ou par son sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’importateur de données accepte que la personne concernée puisse déposer une plainte à son encontre comme s’il était l’exportateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données n'ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, contre laquelle la personne concernée peut alors faire valoir ses droits.  

L’importateur de données ne peut invoquer un manquement par un sous-traitant ultérieur à ses obligations pour échapper à ses propres responsabilités.  

3. Si une personne concernée est empêchée d’intenter l’action visée aux paragraphes 1 et 2 contre l’exportateur de données ou l’importateur de données pour manquement par le sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données et l’importateur de données ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, le sous-traitant ultérieur accepte que la personne concernée puisse déposer une plainte à son encontre en ce qui concerne ses propres activités de traitement conformément aux Clauses contractuelles types comme s’il était l’exportateur de données ou l’importateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n'ait été transféré, par contrat ou par effet de la loi, au successeur légal, contre lequel la personne concernée peut alors faire valoir ses droits. La responsabilité du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux Clauses contractuelles types. 

Clause 7  

Médiation et juridiction  

1) L’importateur de données convient que si, en vertu des Clauses contractuelles types, la personne concernée invoque à son encontre le droit du tiers bénéficiaire et/ou demande réparation du préjudice subi, il acceptera la décision de la personne concernée :  

 (a)de soumettre le litige à la médiation d’une personne indépendante ou, le cas échéant, de l’autorité de contrôle; 

 

 (b)de porter le litige devant les tribunaux de l’État membre où l’exportateur de données est établi.  

2) Les parties conviennent que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural ou matériel de cette dernière d’obtenir réparation conformément à d’autres dispositions du droit national ou international. 

Clause 8  

Coopération avec les autorités de contrôle  

1.   L’exportateur de données convient de déposer une copie du présent contrat auprès de l’autorité de contrôle si celle-ci l’exige ou si ce dépôt est prévu par le droit applicable à la protection des données.  

2.   Les parties conviennent que l’autorité de contrôle a le droit d’effectuer des vérifications chez l’importateur de données et chez tout sous-traitant ultérieur dans la même mesure et dans les mêmes conditions qu’en cas de vérifications opérées chez l’exportateur de données conformément au droit applicable à la protection des données.  

3.   L’importateur de données informe l’exportateur de données, dans les meilleurs délais, de l’existence d’une législation le concernant ou concernant tout sous-traitant ultérieur faisant obstacle à ce que des vérifications soient effectuées chez lui ou chez tout sous-traitant ultérieur conformément au paragraphe 2. Dans ce cas, l’exportateur de données a le droit de prendre les mesures prévues par la clause 5 (b). 

 

Clause 9  

Loi applicable 

Les clauses sont régies par le droit de l’État membre où l’exportateur de données est établi, à savoir la France. 

 

Clause 10  

Modification du contrat  

Les parties s’engagent à ne pas modifier les présentes clauses. Les parties restent libres d’inclure d’autres clauses à caractère commercial qu’elles jugent nécessaires, à condition qu’elles ne contredisent pas les Clauses contractuelles types. 

 

Clause 11  

Sous-traitance ultérieure  

1.   L’importateur de données ne sous-traite aucune de ses activités de traitement effectuées pour le compte de l’exportateur de données conformément aux Clauses contractuelles types sans l’accord écrit préalable de l’exportateur de données. L’importateur de données ne sous-traite les obligations qui lui incombent conformément aux Clauses contractuelles types, avec l’accord de l’exportateur de données, qu’au moyen d’un accord écrit conclu avec le sous-traitant ultérieur, imposant à ce dernier les mêmes obligations que celles qui incombent à l’importateur de données conformément aux Clauses contractuelles types. En cas de manquement, par le sous-traitant ultérieur, aux obligations en matière de protection des données qui lui incombent conformément audit accord écrit, l’importateur de données reste pleinement responsable du respect de ces obligations envers l’exportateur de données. 

2.   Le contrat écrit préalable entre l’importateur de données et le sous-traitant ultérieur prévoit également une clause du tiers bénéficiaire telle qu’énoncée à la clause 3 pour les cas où la personne concernée est empêchée d’intenter l’action en réparation visée à la clause 6, paragraphe 1, contre l’exportateur de données ou l’importateur de données parce que ceux-ci ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, et que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n’a pas été transféré, par contrat ou par effet de la loi, à une autre entité leur ayant succédé. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux Clauses contractuelles types.  

3.   Les dispositions relatives aux aspects de la sous-traitance ultérieure liés à la protection des données du contrat visé au paragraphe 1 sont régies par le droit de l’État membre où l’exportateur de données est établi. 

4.   L’exportateur de données tient une liste des accords de sous-traitance ultérieure conclus en vertu des Clauses contractuelles types et notifiés par l’importateur de données conformément à la clause 5(j), qui sera mise à jour au moins une fois par an. Cette liste est mise à la disposition de l’autorité de contrôle de la protection des données de l’exportateur de données. 

 

Clause 12  

Obligation après la résiliation des services de traitement des données à caractère personnel  

1.   Les parties conviennent qu’au terme des services de traitement des données, l’importateur de données et le sous-traitant ultérieur restitueront à l’exportateur de données, et à la convenance de celui-ci, l’ensemble des données à caractère personnel transférées ainsi que les copies, ou détruiront l’ensemble de ces données et en apporteront la preuve à l’exportateur de données, à moins que la législation imposée à l’importateur de données ne l’empêche de restituer ou de détruire la totalité ou une partie des données à caractère personnel transférées. Dans ce cas, l’importateur de données garantit qu’il assurera la confidentialité des données à caractère personnel transférées et qu’il ne traitera plus activement ces données.  

2.   L’importateur de données et le sous-traitant ultérieur garantissent que si l’exportateur de données et/ou l’autorité de contrôle le demandent, ils soumettront leurs moyens de traitement de données à une vérification des mesures visées au paragraphe 1. 

 

Clause 13 

Divers 

1.   Ces Clauses contractuelles types ont priorité sur tous les autres contrats entre les parties, qu’ils aient été conclus avant ou après la date à laquelle ces Clauses contractuelles types ont été conclues. 

2.   Sauf s’il est expressément fait référence aux Clauses contractuelles types et si elles ont été expressément modifiées, les parties n’ont aucunement l’intention que tout autre contrat conclu par les parties, avant ou après la date à laquelle les Clauses contractuelles Types ont été conclues, ne modifie les conditions ou les effets des Clauses contractuelles types ou limite la responsabilité selon les Clauses contractuelles types, et aucune condition d’un tel autre contrat ne saurait être lue ou interprétée comme ayant cet effet.