fr French
English French Deutsch Português Español Русский
S’inscrire
Inscription
fr French
English French Deutsch Português Español Русский
S’inscrire
Inscription

Addendum relatif au traitement des données

Le présent addendum relatif au traitement des données (l’« addendum ») est conclu entre DEVAR et le titulaire de la licence (le « développeur »).

Le présent addenda est intégré aux conditions générales, à l’accord de licence et/ou à tout autre accord commercial conclu entre le développeur et DEVAR ( » Accord ») et s’applique à la fourniture des services au développeur si le traitement des données personnelles du développeur (telles que définies ci-dessous) est soumis au GDPR, uniquement dans la mesure où le développeur est un contrôleur des données personnelles du développeur et DEVAR est un sous-traitant. L’addenda est destiné à satisfaire aux exigences de l’article 28, paragraphe 3, du GDPR. Le présent avenant prend effet pendant toute la durée de l’Accord.

1. DÉFINITIONS.

1.1. Aux fins du présent avenant:

1.1.1. “Données personnelles du développeurdésigne les données personnelles décrites à la section 2 du présent addendum, pour lesquelles le développeur est le contrôleur;

1.1.2. “Législation sur la protection des données” désigne toute la législation applicable relative à la protection des données et à la vie privée, y compris, sans s’y limiter, le GDPR, ainsi que toute loi nationale de mise en œuvre dans tout État membre de l’Union européenne ou, dans la mesure applicable, dans tout autre pays, telle que modifiée, abrogée, consolidée ou remplacée de temps à autre;

1.1.3. “GDPR” désigne le Règlement général sur la protection des données (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données;

1.1.4. Les termes “données à caractère personnel”, “personne concernée”, “violation de données à caractère personnel”, “processus”, “sous-traitant” et “responsable du traitement” auront chacun la signification qui leur est donnée dans le GDPR; et

1.1.5. “Clauses contractuelles typesdésigne l’accord signé par et entre les parties et joint aux présentes en Annexe 1 conformément à la décision de la Commission européenne (C(2010)593) du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n’assurent pas un niveau adéquat de protection des données.

1.2. Les termes commençant par une majuscule qui ne sont pas autrement définis dans le présent document ont la signification qui leur est donnée dans l’Accord.

2. DÉTAILS DU TRAITEMENT

2.1. Catégories de personnes concernées. Le présent Addenda s’applique au Traitement des Données personnelles du Développeur relatives aux utilisateurs finaux des produits et services du Développeur.

2.2. Types de données personnelles. Les Données Personnelles du Développeur comprennent les Données Personnelles dont l’étendue est déterminée et contrôlée par le Développeur à sa seule discrétion, telles que l’adresse IP, l’agent utilisateur du navigateur, la marque, le modèle et le système d’exploitation des appareils de l’utilisateur final, les informations relatives à l’utilisation par les utilisateurs finaux des produits du Développeur qui intègrent le Service (c’est-à-dire la durée d’exécution du Service), un identifiant unique d’appareil/d’application qui ne peut pas être utilisé pour suivre les appareils à travers les applications ou les sites web, et, avec la permission de l’utilisateur final, les données de l’appareil photo de l’appareil de l’utilisateur final.

2.3. Objet et nature du traitement. L’objet du traitement des données personnelles du développeur par DEVAR est la fourniture de services au développeur, ce qui implique le traitement des données personnelles du développeur. Les données personnelles du développeur seront soumises aux activités de traitement que DEVAR doit effectuer afin de fournir les services conformément à l’accord.

2.4. Objectif du traitement. Les données personnelles du développeur sont traitées par DEVAR dans le but de fournir les services prévus dans l’accord.

2.5. Durée du traitement. Les données personnelles du développeur seront traitées pendant la durée de l’accord, sous réserve de la section 10 du présent addenda.

3. TRAITEMENT DES DONNEES PERSONNELLES DU DEVELOPPEUR

3.1. Les parties reconnaissent et conviennent que le développeur est le contrôleur des données personnelles du développeur et que DEVAR est le responsable du traitement de ces données. DEVAR ne traitera les données personnelles du développeur qu’en tant que sous-traitant pour le compte et conformément aux instructions écrites préalables du développeur, y compris en ce qui concerne les transferts de données personnelles. DEVAR reçoit par la présente instruction de traiter les données personnelles du développeur dans la mesure nécessaire pour permettre à DEVAR de fournir les services conformément à l’accord.

3.2. Si DEVAR ne peut pas traiter les données personnelles du développeur conformément aux instructions du développeur en raison d’une exigence légale en vertu de toute loi applicable de l’Union européenne ou d’un État membre, DEVAR (i) notifiera rapidement au développeur cette incapacité, en fournissant un niveau raisonnable de détails sur les instructions auxquelles elle ne peut pas se conformer et les raisons pour lesquelles elle ne peut pas se conformer, dans toute la mesure permise par la loi applicable ; et (ii) cessera tout traitement des données personnelles du développeur concernées (autres que le simple stockage et le maintien de la sécurité des données personnelles du développeur concernées) jusqu’à ce que le développeur émette de nouvelles instructions auxquelles DEVAR est en mesure de se conformer.

3.3. Le développeur et DEVAR se conformeront à leurs obligations respectives en vertu de la législation sur la protection des données. Le développeur s’assurera qu’il a obtenu (ou obtiendra) tous les droits et consentements (le cas échéant) nécessaires pour que DEVAR puisse traiter les données personnelles du développeur conformément au présent avenant.

3.4. Le développeur reconnaît que DEVAR ne conserve pas les données personnelles du développeur d’une manière qui permette à DEVAR d’associer les données personnelles du développeur à une personne donnée. En conséquence, le développeur convient que DEVAR n’est pas tenue de fournir l’assistance offerte dans les sections 7, 8 et 9 du présent avenant à moins que (a) les objectifs pour lesquels le développeur traite les données personnelles du développeur exigent que le développeur identifie la personne concernée et (b) que le développeur fournisse à DEVAR des informations suffisantes pour permettre à DEVAR d’associer les données personnelles du développeur à une personne concernée.

3.5. Dans le cadre de l’exécution de l’Accord, les Clauses contractuelles standard jointes au présent Addenda en tant qu’Annexe 1 s’appliqueront aux Données personnelles du développeur qui sont transférées en dehors de l’Espace économique européen ( » EEE »), soit directement, soit par transfert ultérieur, vers tout pays qui n’est pas reconnu par la Commission européenne comme fournissant un niveau adéquat de protection des données personnelles (tel que décrit dans le GDPR). Les Clauses contractuelles types cesseront de s’appliquer si DEVAR a mis en œuvre un autre mécanisme de conformité reconnu pour le transfert légal de données à caractère personnel en dehors de l’EEE conformément à l’article 46 du GDPR, comme la certification au cadre du Privacy Shield.

4. CONFIDENTIALITÉ

4.1. DEVAR s’assurera que toute personne qu’elle autorise à traiter les données personnelles du développeur en son nom est soumise à des obligations de confidentialité en ce qui concerne ces données personnelles du développeur.

5. MESURES DE SÉCURITÉ

5.1. DEVAR mettra en œuvre des mesures techniques et organisationnelles appropriées pour se protéger contre la destruction, la perte, l’altération, la divulgation non autorisée des données personnelles du développeur ou l’accès à celles-ci, de manière accidentelle ou illégale (décrites à l’annexe 2 des Clauses contractuelles types).

5.2. DEVAR, à la demande du développeur et sous réserve que le développeur paie tous les frais de DEVAR aux taux en vigueur, ainsi que toutes les dépenses, fournira au développeur l’assistance raisonnable nécessaire à l’exécution de l’obligation du développeur de conserver les données personnelles du développeur en toute sécurité.

6. SOUS-TRAITEMENT

6.1. Le développeur autorise DEVAR à nommer des sous-traitants pour effectuer des services spécifiques au nom de DEVAR, ce qui peut nécessiter que ces sous-traitants traitent les données personnelles du développeur. Pour éviter toute ambiguïté, l’autorisation susmentionnée constitue le consentement écrit préalable du développeur au sous-traitement par DEVAR aux fins de la clause 11 des Clauses contractuelles types. DEVAR informera le développeur de tout changement prévu concernant l’ajout ou le remplacement de sous-traitants et le développeur aura la possibilité de s’opposer à ces changements pour des motifs raisonnables dans un délai de quinze (15) jours ouvrables à compter de la date de notification.

6.2. DEVAR conclura un accord écrit contraignant avec le sous-traitant ultérieur qui impose à ce dernier les mêmes obligations que celles qui s’appliquent à DEVAR en vertu du présent addendum. Si l’un de ses sous-traitants secondaires ne remplit pas ses obligations en matière de protection des données, DEVAR sera responsable envers le développeur de l’exécution des obligations de ses sous-traitants secondaires.

6.3. Nonobstant ce qui précède, si DEVAR engage un fournisseur important en tant que sous-traitant secondaire, tel qu’Amazon Web Services, Inc, Microsoft, Inc. ou Google, Inc. (un « super-sous-processeur »), le développeur reconnaît que DEVAR aura le droit de contracter selon les conditions standard du super-sous-processeur et, dans la mesure où le présent addenda impose des obligations et des responsabilités qui sont incompatibles avec les obligations et les responsabilités assumées par le super-sous-processeur en vertu des conditions standard du super-sous-processeur, les conditions standard du super-sous-processeur s’appliqueront mutuellement entre DEVAR et le développeur, à l’exclusion des conditions incompatibles du présent addenda.

7. DROITS DES PERSONNES CONCERNÉES

7.1. Sous réserve de la section 3.4, DEVAR fournit au développeur l’assistance nécessaire à l’exécution de l’obligation du développeur de répondre aux demandes d’exercice des droits des personnes concernées. Le développeur est seul responsable de la réponse à ces demandes. DEVAR ne répondra pas à ces demandes sans le consentement écrit préalable du développeur et sans instructions écrites.

8. VIOLATIONS DE DONNÉES À CARACTÈRE PERSONNEL

8.1. DEVAR informera le développeur dans les meilleurs délais dès qu’elle aura connaissance d’une violation de données à caractère personnel affectant les données à caractère personnel du développeur. À la demande du développeur et sous réserve de la section 3.4, DEVAR fournira rapidement au développeur toute l’assistance raisonnable nécessaire pour permettre au développeur de notifier les violations de sécurité pertinentes aux autorités compétentes en matière de protection des données et/ou aux personnes concernées, si le développeur est tenu de le faire en vertu du GDPR. Le développeur est seul responsable du respect des exigences de notification des incidents de données qui lui sont applicables et de l’exécution de toute obligation de notification à un tiers liée à un incident de données.

9. ÉVALUATION DE L’IMPACT SUR LA PROTECTION DES DONNÉES ; CONSULTATION PRÉALABLE

9.1. Sous réserve de la section 3.4, DEVAR fournira au développeur, à sa demande, une assistance raisonnable pour faciliter la réalisation d’évaluations de l’impact sur la protection des données et la consultation des autorités chargées de la protection des données, si le développeur est tenu d’entreprendre de telles activités en vertu du GDPR, et uniquement dans la mesure où cette assistance est nécessaire et concerne le traitement par DEVAR des données à caractère personnel du développeur, en tenant compte de la nature du traitement et des informations dont dispose DEVAR.

10. RETOUR OU SUPPRESSION DES DONNÉES PERSONNELLES DU DÉVELOPPEUR

10.1. DEVAR renverra ou supprimera, au choix du développeur, les données à caractère personnel du développeur après la fin de la fourniture des services liés au traitement, et supprimera les copies existantes, à moins que la législation applicable de l’Union européenne ou d’un État membre n’exige le stockage des données. Sans préjudice de ce qui précède, DEVAR peut conserver des données anonymes conformément à l’Accord.

11. INFORMATIONS

11.1 DEVAR, à la demande du développeur et à condition que ce dernier accepte les obligations de non-divulgation acceptables pour DEVAR et paie tous les frais de DEVAR aux taux en vigueur ainsi que toutes les dépenses, fournira au développeur toutes les informations nécessaires pour que ce dernier puisse démontrer qu’il respecte ses obligations en vertu de DEVAR et permettre des audits, y compris des inspections menées par le développeur ou par l’auditeur au nom du développeur (à condition que cet auditeur accepte les obligations en vertu des obligations de confidentialité de DEVAR). Par souci de clarté, toutes les informations fournies ou reçues par un développeur en vertu de la présente section 11.1 sont considérées comme confidentielles par le DEVAR. DEVAR notifiera immédiatement DEVAR si elle estime que les instructions d’un développeur sont en violation de la loi sur la protection des données, et à condition que de telles inspections soient effectuées avec un préavis écrit d’au moins six semaines au cours d’un jour ouvrable normal, à une date et une heure convenues d’un commun accord, au maximum une fois par an. Par souci de clarté, toutes les informations fournies ou reçues par un développeur en vertu de la présente section 11.1 sont considérées comme confidentielles par DEVAR. DEVAR notifie immédiatement DEVAR s’il estime que les instructions d’un développeur sont en violation de la législation sur la protection des données. et à condition que ces inspections soient effectuées avec un préavis écrit d’au moins six semaines au cours d’un jour ouvrable normal, à une date et à une heure convenues d’un commun accord, au maximum une fois par an. Par souci de clarté, toutes les informations fournies ou reçues par un promoteur en vertu de la présente section 11.1 sont considérées comme confidentielles pour DEVAR. DEVAR informera immédiatement DEVAR si elle estime que l’instruction du développeur viole la législation sur la protection des données. La section 11.1 est considérée comme une information confidentielle de DEVAR. DEVAR informera immédiatement le développeur s’il estime que les instructions du développeur violent la législation sur la protection des données. Le numéro 1 est considéré comme une information confidentielle de DEVAR. DEVAR informera immédiatement le développeur s’il estime que les instructions du développeur sont contraires à la législation sur la protection des données.

12. RESPONSABILITÉ

12.1. La responsabilité de chaque partie à l’égard de l’autre partie dans le cadre du présent avenant ou en relation avec celui-ci sera limitée conformément aux dispositions de l’accord.

12.2. Le développeur reconnaît que DEVAR dépend du développeur pour savoir dans quelle mesure DEVAR a le droit de traiter les données personnelles du développeur pour le compte du développeur dans le cadre de l’exécution des services. Par conséquent, DEVAR ne sera pas responsable, en vertu de l’accord, de toute réclamation déposée par une personne concernée à la suite d’une action ou d’une omission de DEVAR résultant des instructions du développeur ou du non-respect par le développeur de ses obligations en vertu de la législation applicable en matière de protection des données.

13. DISPOSITIONS GÉNÉRALES

13.1. En ce qui concerne l’objet du présent avenant, en cas d’incohérence entre les dispositions du présent avenant et celles de l’accord, les dispositions du présent avenant prévalent.

ANNEXE 1

Décision de la Commission C (2010)593
Clauses contractuelles types (transformateurs)

Aux fins de l’article 26, paragraphe 2, de la directive 95/46/CE relative au transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n’assurent pas un niveau de protection adéquat des données

Nom de l’organisation exportatrice de données : l’entité identifiée comme développeur dans l’addendum (l’exportateur de données).

Et

Nom de l’organisation importatrice de données : DEVAR (l’importateur de données)

chaque « partie » ; ensemble « les parties »,

SONT CONVENUES des clauses contractuelles suivantes (les clauses) afin de mettre en place des garanties adéquates en matière de protection de la vie privée et des libertés et droits fondamentaux des personnes physiques pour le transfert par l’exportateur de données à l’importateur de données des données à caractère personnel spécifiées à l’annexe 1.

Clause 1

Définitions

Aux fins des présentes clauses, on entend par

(a) « données à caractère personnel », « catégories particulières de données », « traitement », « responsable du traitement », « sous-traitant », « personne concernée » et « autorité de contrôle » ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

(b) « l’exportateur de données » : le responsable du traitement qui transfère les données à caractère personnel ;

(c) « l’importateur de données » : le sous-traitant qui accepte de recevoir de l’exportateur de données des données à caractère personnel destinées à être traitées pour son compte après le transfert conformément à ses instructions et aux termes des clauses et qui n’est pas soumis au système d’un pays tiers assurant une protection adéquate au sens de l’article 25, paragraphe 1, de la directive 95/46/CE ;

(d) « le sous-traitant ultérieur » : tout sous-traitant engagé par l’importateur de données ou par tout autre sous-traitant ultérieur de l’importateur de données qui accepte de recevoir de l’importateur de données ou de tout autre sous-traitant ultérieur de l’importateur de données des données à caractère personnel exclusivement destinées à des activités de traitement à effectuer pour le compte de l’exportateur de données après le transfert conformément à ses instructions, aux clauses et aux termes du contrat de sous-traitance écrit ;

(e) « loi applicable en matière de protection des données » : la législation protégeant les libertés et droits fondamentaux des personnes et, en particulier, leur droit à la vie privée en ce qui concerne le traitement des données à caractère personnel, applicable à un responsable du traitement dans l’État membre où l’exportateur de données est établi ;

(f) « mesures de sécurité techniques et organisationnelles » : les mesures visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement implique la transmission de données par l’intermédiaire d’un réseau, et contre toute autre forme de traitement illicite.

Clause 2

Modalités du transfert

Les modalités du transfert et, en particulier, les catégories particulières de données à caractère personnel, le cas échéant, sont précisées à l’appendice 1, qui fait partie intégrante des présentes clauses.

Clause 3

Clause relative aux tiers bénéficiaires

1. La personne concernée peut opposer à l’exportateur de données la présente clause, la clause 4, points b) à i), la clause 5, points a) à e) et g) à j), la clause 6, points 1 et 2, la clause 7, la clause 8, point 2, et les clauses 9 à 12 en tant que tiers bénéficiaire.

2. La personne concernée peut faire appliquer la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 à l’encontre de l’importateur de données dans les cas où l’exportateur de données a disparu dans les faits ou a cessé d’exister en droit, à moins qu’une entité succédant à l’exportateur de données n’ait assumé l’intégralité des obligations juridiques de ce dernier par contrat ou par effet de la loi, reprenant ainsi les droits et obligations de l’exportateur de données, auquel cas la personne concernée peut les faire appliquer à l’encontre de cette entité.

3. La personne concernée peut opposer au sous-traitant ultérieur la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, dans les cas où l’exportateur de données et l’importateur de données ont disparu dans les faits, ont cessé d’exister en droit ou sont devenus insolvables, à moins qu’une entité succédant à l’exportateur de données n’ait assumé l’ensemble des obligations légales de ce dernier par contrat ou par effet de la loi, en conséquence de quoi elle assume les droits et obligations de l’exportateur de données, auquel cas la personne concernée peut les faire valoir auprès de cette entité. La responsabilité civile du sous-traitant secondaire est limitée à ses propres opérations de traitement en vertu des présentes clauses.

4. Les parties ne s’opposent pas à ce qu’une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si le droit national le permet.

Clause 4

Obligations de l’exportateur de données

L’exportateur de données accepte et garantit

(a) que le traitement, y compris le transfert lui-même, des données à caractère personnel a été et continuera d’être effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l’État membre dans lequel l’exportateur de données est établi) et n’enfreint pas les dispositions pertinentes de cet État ;

(b) qu’il a donné instruction à l’importateur de données de traiter les données à caractère personnel transférées uniquement pour le compte de l’exportateur de données et conformément à la législation applicable en matière de protection des données et aux clauses, et qu’il continuera à le faire pendant toute la durée des services de traitement des données à caractère personnel ;

(c) que l’importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l’annexe 2 du présent contrat ;

(d) qu’après évaluation des exigences de la législation applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données sur un réseau, et contre toute autre forme de traitement illicite, et que ces mesures assurent un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger, compte tenu de l’état de l’art et du coût de leur mise en œuvre ;

(e) qu’il veillera au respect des mesures de sécurité ;

(f) que, si le transfert porte sur des catégories particulières de données, la personne concernée a été informée ou sera informée avant ou dès que possible après le transfert que ses données pourraient être transmises à un pays tiers n’assurant pas une protection adéquate au sens de la directive 95/46/CE ;

(g) transmettre à l’autorité de contrôle de la protection des données toute notification reçue de l’importateur de données ou de tout sous-traitant conformément à la clause 5, point b), et à la clause 8, paragraphe 3, si l’exportateur de données décide de poursuivre le transfert ou de lever la suspension ;

(h) à mettre à la disposition des personnes concernées qui en font la demande une copie des clauses, à l’exception de l’appendice 2, et une description succincte des mesures de sécurité, ainsi qu’une copie de tout contrat de services de sous-traitance qui doit être conclu conformément aux clauses, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut retirer ces informations commerciales ;

(i) qu’en cas de sous-traitance, l’activité de traitement est effectuée conformément à la clause 11 par un sous-traitant qui assure au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l’importateur de données en vertu des clauses ; et

(j) qu’il veillera au respect de la clause 4, points (a) à (i).

Clause 5

Obligations de l’importateur de données

L’importateur de données accepte et garantit

(a) de traiter les données à caractère personnel uniquement pour le compte de l’exportateur de données et conformément à ses instructions et aux clauses ; s’il ne peut assurer cette conformité pour quelque raison que ce soit, il s’engage à informer rapidement l’exportateur de données de son incapacité à se conformer, auquel cas l’exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;

(b) qu’il n’a aucune raison de croire que la législation qui lui est applicable l’empêche de respecter les instructions reçues de l’exportateur de données et ses obligations en vertu du contrat et qu’en cas de modification de cette législation susceptible d’avoir un effet négatif important sur les garanties et les obligations prévues par les clauses, il notifiera rapidement la modification à l’exportateur de données dès qu’il en aura connaissance, auquel cas l’exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;

(c) qu’il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l’annexe 2 avant de traiter les données à caractère personnel transférées ;

(d) qu’il notifiera rapidement à l’exportateur de données :

(i) toute demande juridiquement contraignante de divulgation des données à caractère personnel par une autorité chargée de l’application de la loi, sauf interdiction contraire, telle qu’une interdiction en vertu du droit pénal visant à préserver la confidentialité d’une enquête menée par une autorité chargée de l’application de la loi,

(ii) tout accès accidentel ou non autorisé, et

(iii) toute demande reçue directement des personnes concernées, sans répondre à cette demande, à moins qu’il n’ait été autrement autorisé à le faire ;

(e) traiter rapidement et correctement toutes les demandes de l’exportateur de données relatives à son traitement des données à caractère personnel faisant l’objet du transfert et se conformer à l’avis de l’autorité de contrôle en ce qui concerne le traitement des données transférées ;

(f) à la demande de l’exportateur de données, soumettre ses installations de traitement des données à un audit des activités de traitement couvertes par les présentes clauses, qui sera effectué par l’exportateur de données ou par un organisme de contrôle composé de membres indépendants et possédant les qualifications professionnelles requises, soumis à une obligation de confidentialité, choisi par l’exportateur de données, le cas échéant, en accord avec l’autorité de contrôle ;

(g) mettre à la disposition de la personne concernée qui en fait la demande une copie des clauses ou de tout contrat de sous-traitance existant, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales, à l’exception de l’annexe 2, qui est remplacée par une description sommaire des mesures de sécurité dans les cas où la personne concernée n’est pas en mesure d’en obtenir une copie auprès de l’exportateur de données ;

(h) qu’en cas de sous-traitement, il a préalablement informé l’exportateur de données et obtenu son consentement écrit ;

(i) que les services de traitement par le sous-traitant seront effectués conformément à la clause 11 ;

(j) à envoyer rapidement à l’exportateur de données une copie de tout accord de sous-traitance qu’il conclut en vertu des présentes clauses.

Clause 6

Responsabilité

1. Les parties conviennent que toute personne concernée ayant subi un préjudice du fait d’un manquement aux obligations visées à la clause 3 ou à la clause 11 de la part d’une partie ou d’un sous-traitant a le droit d’être indemnisée par l’exportateur de données pour le préjudice subi.

2. Si une personne concernée n’est pas en mesure d’introduire une demande d’indemnisation conformément au paragraphe 1 à l’encontre de l’exportateur de données, en raison d’un manquement de l’importateur de données ou de son sous-traitant à l’une des obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données a disparu dans les faits, a cessé d’exister en droit ou est devenu insolvable, l’importateur de données accepte que l’exportateur de données ne soit pas en mesure d’introduire une demande d’indemnisation conformément au paragraphe 1 à l’encontre du sous-traitant, l’importateur de données accepte que la personne concernée puisse intenter une action contre l’importateur de données comme s’il s’agissait de l’exportateur de données, à moins qu’une entité succédant à l’exportateur de données n’ait assumé l’ensemble des obligations légales de ce dernier par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits contre cette entité.

L’importateur de données ne peut se prévaloir d’un manquement d’un sous-traitant secondaire à ses obligations pour se soustraire à ses propres responsabilités.

3. Si une personne concernée n’est pas en mesure d’introduire une réclamation contre l’exportateur de données ou l’importateur de données visés aux paragraphes 1 et 2, en raison d’un manquement du sous-traitant secondaire à l’une de ses obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données et l’importateur de données ont disparu dans les faits, ont cessé d’exister en droit ou sont devenus insolvables, le sous-traitant secondaire convient que la personne concernée ne peut pas invoquer un manquement du sous-traitant secondaire à ses obligations pour se soustraire à ses propres responsabilités, le sous-traitant secondaire accepte que la personne concernée puisse introduire une réclamation contre le sous-traitant secondaire en ce qui concerne ses propres opérations de traitement en vertu des clauses, comme s’il était l’exportateur ou l’importateur de données, à moins qu’une entité succédant à l’exportateur ou à l’importateur de données n’ait assumé l’ensemble des obligations légales de ce dernier par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits auprès de cette entité. La responsabilité du sous-traitant secondaire est limitée à ses propres opérations de traitement en vertu des présentes clauses.

Clause 7

Médiation et juridiction

1. L’importateur de données convient que si la personne concernée invoque ses droits de tiers bénéficiaire et/ou demande des dommages-intérêts en vertu des clauses, l’importateur de données acceptera la décision de la personne concernée :

(a) de soumettre le litige à la médiation d’une personne indépendante ou, le cas échéant, de l’autorité de contrôle ;

(b) de porter le litige devant les tribunaux de l’État membre dans lequel l’exportateur de données est établi.

2. Les parties conviennent que le choix effectué par la personne concernée ne porte pas atteinte à ses droits matériels ou procéduraux de demander réparation conformément à d’autres dispositions du droit national ou international.

Clause 8

Coopération avec les autorités de contrôle

1. L’exportateur de données accepte de déposer une copie du présent contrat auprès de l’autorité de contrôle si celle-ci en fait la demande ou si ce dépôt est requis en vertu de la loi applicable en matière de protection des données.

2. Les parties conviennent que l’autorité de contrôle a le droit de procéder à un audit de l’importateur de données et de tout sous-traitant, qui a la même portée et est soumis aux mêmes conditions que celles qui s’appliqueraient à un audit de l’exportateur de données en vertu de la législation applicable en matière de protection des données.

3. L’importateur de données informe rapidement l’exportateur de données de l’existence d’une législation qui lui est applicable ou qui est applicable à tout sous-traitant ultérieur et qui empêche la réalisation d’un audit de l’importateur de données ou de tout sous-traitant ultérieur conformément au paragraphe 2. Dans ce cas, l’exportateur de données est autorisé à prendre les mesures prévues à la clause 5, point (b).

Clause 9

Droit applicable

Les présentes clauses sont régies par le droit de l’État membre dans lequel l’exportateur de données est établi.

Clause 10

Modification du contrat

Les parties s’engagent à ne pas modifier les clauses. Cela n’empêche pas les parties d’ajouter, le cas échéant, des clauses relatives à des questions d’ordre commercial, pour autant qu’elles ne soient pas en contradiction avec les clauses.

Clause 11

Sous-traitement

1. L’importateur de données ne sous-traite aucune des opérations de traitement effectuées pour le compte de l’exportateur de données en vertu des présentes clauses sans l’accord écrit préalable de l’exportateur de données. Lorsque l’importateur de données sous-traite ses obligations au titre des présentes clauses, avec le consentement de l’exportateur de données, il ne peut le faire qu’au moyen d’un accord écrit avec le sous-traitant qui impose au sous-traitant les mêmes obligations que celles imposées à l’importateur de données au titre des présentes clauses. Si le sous-traitant secondaire ne remplit pas ses obligations en matière de protection des données en vertu d’un tel accord écrit, l’importateur de données reste pleinement responsable vis-à-vis de l’exportateur de données de l’exécution des obligations du sous-traitant secondaire en vertu de cet accord.

2. Le contrat écrit préalable entre l’importateur de données et le sous-traitant ultérieur prévoit également une clause de tiers bénéficiaire, conformément à la clause 3, pour les cas où la personne concernée n’est pas en mesure d’introduire la demande d’indemnisation visée au paragraphe 1 de la clause 6 à l’encontre de l’exportateur de données ou de l’importateur de données parce qu’ils ont disparu dans les faits, ont cessé d’exister en droit ou sont devenus insolvables et qu’aucune entité succédant à l’exportateur de données ou à l’importateur de données n’a assumé l’intégralité de leurs obligations juridiques par contrat ou par effet de la loi. La responsabilité civile du sous-traitant secondaire est limitée à ses propres opérations de traitement en vertu des présentes clauses.

3. Les dispositions relatives aux aspects de la protection des données pour la sous-traitance du contrat visé au paragraphe 1 sont régies par le droit de l’État membre dans lequel l’exportateur de données est établi.

4. L’exportateur de données tient une liste des accords de sous-traitance conclus en vertu des présentes clauses et notifiés par l’importateur de données conformément à la clause 5, point j), qui est mise à jour au moins une fois par an. Cette liste est mise à la disposition de l’autorité de contrôle de la protection des données de l’exportateur de données.

Clause 12

Obligation après la cessation des services de traitement des données à caractère personnel

1. Les parties conviennent qu’au terme de la prestation de services de traitement des données, l’importateur de données et le sous-traitant ultérieur doivent, au choix de l’exportateur de données, restituer toutes les données à caractère personnel transférées et leurs copies à l’exportateur de données ou détruire toutes les données à caractère personnel et certifier à l’exportateur de données qu’ils l’ont fait, à moins que la législation imposée à l’importateur de données ne l’empêche de restituer ou de détruire la totalité ou une partie des données à caractère personnel transférées. Dans ce cas, l’importateur de données garantit qu’il assurera la confidentialité des données à caractère personnel transférées et qu’il ne traitera plus activement les données à caractère personnel transférées.

2. L’importateur de données et le sous-traitant secondaire garantissent que, à la demande de l’exportateur de données et/ou de l’autorité de contrôle, ils soumettront leurs installations de traitement des données à un audit des mesures visées au paragraphe 1.

ANNEXE 1 AUX CLAUSES CONTRACTUELLES TYPES

La présente annexe fait partie des clauses et doit être complétée et signée par les parties.

Exportateur de données. L’exportateur de données est l’entité identifiée comme « Développeur » dans l’addendum.

Importateur de données. L’importateur de données est l’entité identifiée comme « DEVAR » dans l’addendum.

Personnes concernées. Les données à caractère personnel transférées concernent les catégories suivantes de personnes concernées (veuillez préciser) :

Les personnes concernées sont définies au point 2.1 de l’addendum.

Catégories de données. Les données à caractère personnel transférées concernent les catégories de données suivantes (veuillez préciser) :

Les catégories de données à caractère personnel sont définies au point 2.2 de l’addendum.

Catégories particulières de données (le cas échéant). Les données à caractère personnel transférées concernent les catégories particulières de données suivantes (veuillez préciser) :

Sans objet.

Opérations de traitement. Les données à caractère personnel transférées feront l’objet des activités de traitement de base suivantes (veuillez préciser) :

Les activités de traitement définies à la section 2 de l’addenda et dans l’accord.

ANNEXE 2 AUX CLAUSES CONTRACTUELLES TYPES

Cette annexe fait partie des clauses et doit être complétée et signée par les parties.

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l’importateur de données conformément aux clauses 4(d) et 5(c) (ou document/législation joint):

Les mesures de sécurité techniques et organisationnelles mises en œuvre par l’importateur de données sont décrites à l’adresse https://mywebar.com/fr/documents/tom

Imprimer cette page