Accord de traitement de données

                                                                   

Accord de traitement des données

Le client acceptant ces conditions ( « Client » ) et DataXali ( « Fournisseur » ) ont conclu un accord en vertu duquel le Fournisseur a accepté de fournir certains Services, qui peuvent être modifiés de temps à autre (« Accord » ).

Cet accord de traitement de données et ses annexes (le « DPA »), qui est conclu entre le fournisseur et le client (chacun, une « partie » et ensemble, « les parties »), font partie de l'accord et constituent l'accord des parties relatif à Traitement par le fournisseur des données personnelles du client. Ce DPA pourra être mis à jour de temps à autre et entrera en vigueur et remplacera tout accord de traitement de données précédemment applicable à compter de la date d'entrée en vigueur (telle que définie ci-dessous). En cas de conflit ou d'incohérence entre les termes du présent DPA et le reste de l'accord, les termes du présent DPA prévaudront. Les définitions sont fournies dans la section 27. Pour plus de clarté, les conditions de ce DPA s'appliquent uniquement au traitement des données personnelles du client dans des environnements contrôlés par le fournisseur et les sous-traitants du fournisseur. Cela inclut les données personnelles du client envoyées au fournisseur par les services, mais n'inclut pas les données personnelles du client qui restent dans les locaux du client ou dans tout environnement d'exploitation tiers sélectionné par le client.

Les parties reconnaissent et conviennent que (a) en vertu de la législation sur la protection des données, le fournisseur est un sous-traitant des données personnelles du client répertoriées à l'annexe 1 , (b) le client souscrivant aux services du fournisseur peut être un contrôleur de données ou un sous-traitant, selon le cas, de Données personnelles du client et (c) chaque partie se conformera aux obligations qui lui sont applicables en vertu de la législation sur la protection des données en ce qui concerne le traitement de ces données personnelles du client. Cependant, le Fournisseur n'est pas responsable du respect des lois ou réglementations applicables au Client ou à son secteur d'activité. Le Fournisseur n'est pas responsable de déterminer si les données du Client comprennent des informations soumises à une loi ou à une réglementation spécifique.

Des détails sur les catégories de données traitées et les personnes concernées, les opérations de traitement, le lieu du traitement, ainsi que la finalité et la durée du traitement sont fournis en Annexe 1 .

Durée . Le présent DPA prendra effet à la date d'entrée en vigueur de l'accord et, malgré l'expiration de la durée, restera en vigueur jusqu'à la suppression, et expirera automatiquement, de toutes les données personnelles du client par le fournisseur, comme décrit dans le présent DPA.

Portée . Les Parties reconnaissent et conviennent que la Législation sur la protection des données s'appliquera au Traitement des Données Personnelles du Client si : (a) le Traitement est effectué dans le cadre des activités d'un établissement du Client sur le territoire de l'EEE/Suisse/le Royaume-Uni; et/ou (b) les données personnelles du client concernent des personnes concernées qui se trouvent dans l'EEE/Suisse/Royaume-Uni et le traitement concerne l'offre de biens ou de services dans l'EEE/Suisse/Royaume-Uni ou le suivi de leur comportement dans l’EEE/Suisse/Royaume-Uni.

Législation non européenne sur la protection des données . Les Parties reconnaissent et conviennent que la législation non européenne sur la protection des données peut également s'appliquer au traitement des données personnelles des clients. Sauf indication contraire dans le présent DPA, les termes du présent DPA s'appliqueront indépendamment du fait que la législation sur la protection des données ou la législation non européenne sur la protection des données s'applique au traitement des données personnelles du client par le fournisseur. Si une législation non européenne sur la protection des données s'applique au traitement des données personnelles des clients par l'une ou l'autre des parties, les parties reconnaissent et conviennent que la partie concernée se conformera à toutes les obligations qui lui sont applicables en vertu de cette législation en ce qui concerne le traitement de ces données personnelles des clients.

Responsable du traitement des données tiers . Si la législation sur la protection des données s'applique au traitement des données personnelles du client et que le client est un sous-traitant agissant sous les instructions d'un contrôleur de données tiers, le client garantit au fournisseur que les instructions et les actions du client concernant ces données personnelles du client, y compris ses la nomination en tant que sous-traitant des données a été autorisée par le responsable du traitement des données tiers et devra en fournir la preuve, à la demande du fournisseur.

Instructions du client . En concluant le présent DPA, le Client demande au Fournisseur de traiter les Données personnelles du Client uniquement conformément à la Législation sur la protection des données et/ou à la Législation non européenne sur la protection des données, selon le cas : (a) pour fournir les Services et le support technique associé ; (b) comme spécifié par le Client ou requis par l'utilisation par le Client des Services et du support technique associé ; (c) tel que documenté dans le formulaire du Contrat, y compris le présent DPA ; et (d) comme documenté davantage dans toute autre instruction légitime et écrite donnée par le Client et reconnue par le Fournisseur comme constituant des instructions aux fins du présent DPA. À compter de la date d'entrée en vigueur, le fournisseur se conformera aux instructions du client fournies dans cette section, y compris en ce qui concerne les transferts de données personnelles, conformément à la section 21. Le fournisseur ne doit pas traiter, transférer, modifier, amender ou altérer les données personnelles du client ni divulguer ou permettre la divulgation des données personnelles du client à tout tiers autrement que conformément aux instructions du client (que ce soit dans le contrat ou autrement), à moins que la loi de l'UE ou la loi de l'État membre de l'UE à laquelle le sous-traitant est soumis n'exige un autre traitement des données personnelles du client par Le Fournisseur, auquel cas le Fournisseur informera le Client avant de mettre en œuvre le Traitement (sauf si cette loi interdit au Sous-traitant de le faire pour des raisons importantes d'intérêt public) via l'Adresse e-mail de notification. Le Fournisseur s'engage à informer immédiatement le Client si, à son avis, une instruction viole la législation applicable en matière de protection des données. Le client déclare, garantit et s'engage qu'il possède et conservera pendant toute la durée de vie tous les droits, consentements et autorisations nécessaires pour fournir les données client au fournisseur et pour autoriser le fournisseur à utiliser, divulguer, conserver et autrement traiter ces données client comme prévu par le présent DPA. .

dix 

Suppression pendant la durée . Le Fournisseur permettra au Client de supprimer les Données personnelles du Client pendant la Durée d'une manière cohérente avec la fonctionnalité des Services. Si le client ou un utilisateur final utilise les services pour supprimer des données personnelles du client pendant la durée et que les données personnelles du client ne peuvent pas être récupérées par le client ou un utilisateur final, cette utilisation constituera une instruction du client au fournisseur de supprimer les données personnelles du client pertinentes de Les systèmes du fournisseur conformément à la législation applicable en matière de protection des données. Le Fournisseur se conformera à cette instruction dès que raisonnablement possible et dans un délai maximum de 90 jours, à moins que la loi de l'UE ou d'un État membre de l'UE n'exige ou ne justifie que ces données personnelles soient conservées par le Fournisseur pendant une période plus longue. À titre exceptionnel, le Fournisseur et/ou ses Sous-traitants peuvent continuer à traiter les informations dérivées des Données Client qui ont été agrégées ou stockées d'une manière qui n'identifie pas les individus ou les clients afin d'améliorer les systèmes et services du Fournisseur et/ou de ses Sous-traitants.

11 

Suppression à l'expiration du terme . Sous réserve de l'article 12 (Instructions de suppression différée), à ​​l'expiration de la Durée, le Client doit demander au Fournisseur de supprimer toutes les Données personnelles du Client (y compris les copies existantes) des systèmes du Fournisseur conformément à la législation applicable en matière de protection des données. Le Sous-traitant se conformera à cette Instruction dès que raisonnablement possible et dans un délai maximum de 90 jours, à moins que la loi de l'UE ou d'un État membre de l'UE n'exige ou ne justifie que ces Données personnelles du client soient conservées par le Sous-traitant pendant une période plus longue. Sans préjudice de l'article 20 (Droits et demandes des personnes concernées), le Client reconnaît et accepte qu'il sera responsable de l'exportation, avant l'expiration de la Durée, de toutes les Données Client qu'il souhaite conserver par la suite. À titre exceptionnel, le Fournisseur et/ou ses Sous-traitants peuvent continuer à traiter les informations dérivées des Données Client qui ont été agrégées ou stockées d'une manière qui n'identifie pas les individus ou les clients afin d'améliorer les systèmes et services du Fournisseur et/ou de ses Sous-traitants.

12 

Instruction de suppression différée . Dans la mesure où les données personnelles du client couvertes par l'instruction de suppression décrite dans la section 11 (Suppression à l'expiration de la durée) sont également traitées, à l'expiration de la durée en vertu de la section 11, dans le cadre d'un accord entre le client et le fournisseur ayant une durée continue, une telle suppression Les instructions ne prendront effet à l’égard de ces données personnelles du client qu’à l’expiration de la durée continue. Pour plus de clarté, en cas d'instruction de suppression différée, le présent DPA continuera de s'appliquer à ces données personnelles du client jusqu'à leur suppression par le fournisseur.

13 

Mesure de sécurité des fournisseurs . Le Fournisseur mettra en œuvre et maintiendra des mesures techniques et organisationnelles pour protéger les données personnelles du Client contre la destruction accidentelle ou illégale, la perte, l'altération, la divulgation ou l'accès non autorisé, comme décrit à l'Annexe 2 (les « Mesures de sécurité »). Comme décrit à l'Annexe 2 , les mesures de sécurité comprennent des mesures visant à garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes du fournisseur, à restaurer l'accès en temps opportun aux données personnelles du client après un incident de données et à tester régulièrement leur efficacité. Le Fournisseur peut mettre à jour ou modifier les mesures de sécurité de l'Annexe 2 de temps à autre, à condition que ces mises à jour et modifications n'entraînent pas de dégradation de la sécurité globale des Services ou des Systèmes du Fournisseur. Le Client reconnaît que les Données Client seront hébergées dans les centres de données d'un Fournisseur de Services Tiers , par un Fournisseur de Services Tiers et/ou une ou plusieurs de ses entités affiliées (collectivement, les « Prestataires de Services Tiers ») (et non par le Fournisseur) et, en conséquence, que la plupart des mesures de sécurité techniques et organisationnelles relatives aux Données Personnelles du Client (telles que mentionnées notamment à l' Annexe 2 ) seront fournies par le Prestataire Tiers concerné sous sa propre responsabilité. En conséquence, et nonobstant toute autre disposition du Contrat, le Fournisseur décline toute responsabilité en ce qui concerne tout acte et/ou omission du Prestataire de Services Tiers , y compris notamment (sans limitation) pour les problèmes techniques et organisationnels de ce Prestataire de Services Tiers. mesures de sécurité telles qu'énumérées à titre informatif uniquement et sans aucune représentation à l'Annexe 2. Le Client s'engage à décliner toute responsabilité du Fournisseur, en cas de non-conformité du Prestataire de Services Tiers en vertu de l'accord applicable.

14 

Conformité à la sécurité par processeur . Le Fournisseur prendra les mesures appropriées pour garantir le respect des mesures de sécurité par ses employés, sous-traitants, agents et sous-traitants dans la mesure applicable à leur champ d'activité, notamment en s'assurant que toutes les personnes autorisées à traiter les données personnelles du client se sont engagées à respecter la confidentialité ou sont sous une obligation légale appropriée de confidentialité et que ce personnel a suivi une formation appropriée conformément à la législation sur la protection des données.

15 

Assistance à la sécurité du processeur . Le Client accepte que le Fournisseur (en tenant compte de la nature du traitement des données personnelles du Client et des informations dont il dispose) aidera le Client à garantir le respect de ses obligations en matière de sécurité des données personnelles du Client et des violations de données personnelles du Client, en particulier en en cas d'incident de données, y compris, le cas échéant, les obligations du Client en vertu des articles 32 à 34 (inclus) du RGPD, en : (a) mettant en œuvre et maintenant les mesures de sécurité conformément à l'article 13 (Mesures de sécurité du fournisseur) ; (b) se conformer aux termes de la section 16 (Incidents liés aux données).

16 

Incidents de données . Si le Fournisseur prend connaissance d'un Incident de données, il devra : (a) informer le Client de l'Incident de données rapidement et sans retard injustifié ; et (b) prendre rapidement des mesures raisonnables pour minimiser les dommages et sécuriser les données personnelles du client. Les notifications décriveront, dans la mesure du possible, les détails de l'incident de données, y compris les mesures prises pour atténuer les risques potentiels et les mesures que le fournisseur recommande au client de prendre pour résoudre l'incident de données. Les notifications de tout incident de données seront envoyées à l'adresse e-mail de notification ou, à la discrétion du fournisseur, par communication directe (par exemple, par appel téléphonique ou lors d'une réunion en personne). Le client est seul responsable de s’assurer que l’adresse e-mail de notification est actuelle et valide à tout moment. Le Fournisseur n'évaluera pas le contenu des Données Client afin d'identifier les informations soumises à des exigences légales spécifiques. Le Client est seul responsable du respect des obligations de notification prévues par la législation sur la protection des données ou la législation non européenne sur la protection des données, selon le cas, et de remplir toute obligation de notification à un tiers liée à tout incident de données. La notification ou la réponse du fournisseur à un incident de données en vertu du présent article 16 (Incidents de données) ne sera pas interprétée comme une reconnaissance par le fournisseur de toute faute ou responsabilité concernant l'incident de données. Le Client doit informer le Fournisseur dans les plus brefs délais de toute utilisation abusive possible de ses comptes ou de ses identifiants d'authentification ou de tout incident de données lié aux Services.

17 

Responsabilités et évaluation du client en matière de sécurité . Le Client accepte que, sans préjudice des obligations du Fournisseur en vertu des Sections 13 à 15 (Mesures de sécurité du Fournisseur, Conformité de sécurité par le processeur, Assistance à la sécurité du processeur) et de la Section 16 (Incidents liés aux données) : (a) Le Client est seul responsable de son utilisation des Services, notamment : (i) faire un usage approprié des Services pour garantir un niveau de sécurité adapté au risque relatif aux Données Client ; (ii) sécuriser les informations d'authentification du compte, les systèmes et les appareils que le Client utilise pour accéder aux Services ; et (iii) sauvegarder les données du client ; et (b) Le Fournisseur n'a aucune obligation de protéger les Données Client que le Client choisit de stocker ou de transférer en dehors des systèmes du Sous-traitant et de ses Sous-traitants ultérieurs (par exemple, stockage hors ligne ou sur site, ou Fournisseur de services tiers du Client). Le Client est seul responsable d'évaluer si les Services, les mesures de sécurité et les engagements du Fournisseur en vertu des sections 13 à 17 répondent aux besoins du Client, y compris en ce qui concerne les obligations de sécurité du Client en vertu de la Législation sur la protection des données et/ou de la Législation non européenne sur la protection des données, comme en vigueur. Le Client reconnaît et accepte que (compte tenu de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement des Données Personnelles du Client ainsi que des risques pour les individus) les Mesures de Sécurité mises en œuvre et maintenues par Le Fournisseur, tel qu'énoncé à la Section 13 (Mesures de sécurité du Fournisseur) et à l'Annexe 2, fournit un niveau de sécurité approprié au risque concernant les Données Client. Le Client est responsable de la mise en œuvre et du maintien des protections de confidentialité et des mesures de sécurité pour les composants qu'il fournit et/ou contrôle.

18 

Audits de conformité . Si la législation sur la protection des données s'applique au traitement des données personnelles du client, et dans la mesure où les exigences d'audit du client en vertu de la législation sur la protection des données ne peuvent raisonnablement être satisfaites au moyen de rapports d'audit, de documentation ou d'informations de conformité que le fournisseur met généralement à la disposition de ses clients, le fournisseur autorisera le client. ou un auditeur indépendant nommé par le Client pour effectuer des audits (y compris des inspections), pas plus d'une fois par année civile, sur préavis écrit d'au moins trente (30) jours au Fournisseur, afin de vérifier le respect par le Fournisseur de ses obligations relatives aux Données personnelles du Client en vertu ce DPA. Le Fournisseur contribuera à ces audits comme décrit dans la présente Section 18 (Audits de conformité). Si le Client décide de procéder à un audit comme décrit ci-dessus, alors le Client supportera tous les coûts et dépenses qui y sont liés, y compris, mais sans s'y limiter, les honoraires des auditeurs, les frais de transport, les frais juridiques. Si le Client a conclu des SCC comme décrit à l'article 21 (Transfert de données personnelles), le Fournisseur, sans préjudice des droits d'audit d'une Autorité de surveillance en vertu de ces SCC, permettra au Client ou à un auditeur indépendant nommé par le Client de mener des audits comme décrit dans les CSC. En tout état de cause, tout audit mandaté par le Client conformément au présent article 18 ne doit pas nuire ou autrement perturber le cours habituel des affaires du Fournisseur.

19 

Évaluations d'impact et consultations . Le Client accepte que le Fournisseur (en tenant compte de la nature du Traitement et des informations dont dispose le Sous-traitant) fournisse au Client une assistance raisonnable pour assurer le respect de toutes les obligations du Client relatives aux Données personnelles du Client en ce qui concerne les évaluations d'impact sur la protection des données et la consultation préalable, y compris, le cas échéant, les obligations du Client en vertu des articles 35 et 36 du RGPD, dans la mesure où les informations nécessaires sont disponibles pour le Fournisseur.

20 

Droits et demandes des personnes concernées . Pendant la Durée, le Fournisseur permettra, d'une manière compatible avec la fonctionnalité des Services, de permettre au Client d'accéder, de rectifier et de restreindre le Traitement des Données personnelles du Client, ou d'effacer les Données personnelles du Client, le cas échéant, y compris via la fonctionnalité de suppression fournie par le Fournisseur comme décrit à l'article 10 (Suppression pendant la durée) et d'exporter les données personnelles du client, comme l'exige la législation sur la protection des données et/ou la législation non européenne sur la protection des données, le cas échéant. Pendant la Durée, si le Fournisseur reçoit une demande d'une personne concernée concernant les données personnelles du Client, le Fournisseur conseillera à la Personne concernée de soumettre sa demande au Client ou de signaler directement cette demande au Client en utilisant l'adresse e-mail de notification ou toute autre communication. canal, et le Client sera responsable de répondre à une telle demande, y compris, si nécessaire, en utilisant la fonctionnalité des Services. Le Client accepte que (compte tenu de la nature du traitement des données personnelles du Client) le Fournisseur fournira au Client une assistance raisonnable pour remplir toute obligation de répondre aux demandes des Personnes concernées, y compris, le cas échéant, l'obligation du Client de répondre aux demandes d'exercice du droit de la Personne concernée. droits prévus au chapitre III du RGPD, en respectant les engagements énoncés dans la présente section 20, dans la mesure où le Fournisseur est en mesure de répondre à de telles demandes. Le Client sera responsable, dans la mesure légalement permise, de tous les coûts et dépenses découlant d'une telle assistance de la part du Fournisseur.

21 

Transfert de données personnelles . Le client reconnaît et accepte que le fournisseur puisse, sous réserve de la présente section 21 (Transfert de données personnelles), stocker et traiter les données du client aux États-Unis et dans tout autre pays en dehors de l'EEE dans lequel le fournisseur ou ses sous-traitants disposent d'installations. Si le stockage et/ou le traitement des données personnelles du client impliquent un transfert restreint, le fournisseur et le client conviennent par la présente de conclure les CCT applicables figurant à l'annexe 4 ou à l'annexe 5.le cas échéant, et ces conditions sont incorporées par référence dans le présent DPA. Dans la mesure où il existe un conflit entre une condition des CSC et toute autre partie du présent DPA ou de l'Accord, la durée des CSC prévaudra. Tous les transferts restreints doivent être effectués conformément à ces CCT. Le fournisseur imposera, dans le cadre d'un accord écrit, aux sous-traitants ultérieurs, le cas échéant, les mêmes obligations que celles imposées au sous-traitant en vertu du présent DPA et des CSC. Lorsque le sous-traitant ne remplit pas ses obligations en matière de protection des données en vertu d'un tel accord écrit, le fournisseur reste entièrement responsable envers le client de l'exécution des obligations du sous-traitant en vertu de cet accord. En outre, lorsque la fourniture des services implique un transfert restreint du fournisseur à un sous-traitant situé en dehors de l'UE, le client (en son nom et au nom de ses sociétés affiliées concernées) donne mandat au fournisseur, mandat que le fournisseur accepte par la présente, de saisir rapidement, au nom du client. et en son nom en tant qu'exportateur de données (le sous-traitant étant l'importateur de données), dans un accord de traitement de données avec tout sous-traitant engagé par le fournisseur dans un tel transfert restreint, avant que ce sous-traitant ne traite pour la première fois les données personnelles du client, afin de garantir que tout transfert restreint est conforme aux Législation sur la protection des données. Un tel accord de traitement de données doit (a) répondre aux conditions énoncées à l'article 28 du RGPD et offrir au moins le même niveau de protection des données personnelles du client que celles énoncées dans le présent DPA et (b) intégrer des CSC. Lorsque le fournisseur utilise la plateforme cloud d'un fournisseur de services tiers pour héberger et/ou fournir les services, les informations sur les emplacements des centres de données des fournisseurs de services tiers du fournisseur sont disponibles sur les pages des fournisseurs de services tiers spécifiant les emplacements des serveurs et peuvent être mises à jour par le Fournisseur de services tiers de temps à autre. Si le Client a conclu des CSC comme décrit dans la présente Section 21 (Transfert de données personnelles), le Fournisseur veillera, nonobstant toute disposition contraire du Contrat, à ce que toute divulgation de Données personnelles du Client et toute notification relative à de telles divulgations soient être effectuée conformément à ces CCT. Si, à tout moment, une autorité de contrôle ou un tribunal compétent pour une partie exige que les transferts des contrôleurs/processeurs dans l'UE ou au Royaume-Uni vers des sous-traitants établis en dehors de l'UE ou du Royaume-Uni doivent être soumis à des garanties supplémentaires spécifiques (y compris, mais non limité à des mesures techniques et organisationnelles spécifiques), les parties travailleront ensemble de bonne foi pour mettre en œuvre ces garanties et veilleront à ce que tout transfert de données personnelles du client soit effectué avec le bénéfice de ces garanties supplémentaires. De la même manière,si une autorité de contrôle adopte des clauses contractuelles types révisées pour les questions abordées dans le présent DPA et que le client informe le fournisseur qu'il souhaite incorporer tout élément de ces clauses contractuelles types dans le présent DPA, le fournisseur et le client peuvent convenir de modifier le présent DPA pour incorporer toutes les modifications proposées. comme raisonnablement requis par les clauses contractuelles types nouvellement adoptées. Dans le cas où les CCT inclus dansL'Annexe 4 et l'Annexe 5 sont considérées comme n'étant plus un mécanisme de transfert valide pour légitimer les transferts restreints, le fournisseur et le client peuvent convenir de modifier le présent DPA afin d'établir un transfert légitime des données personnelles du client en dehors de l'EEE. Pour plus de clarté, le Fournisseur ne contrôle ni ne limite les régions à partir desquelles le Client ou les Utilisateurs finaux du Client peuvent accéder ou déplacer les Données Client.

22 

Sous-traitants . Le client autorise spécifiquement par la présente l'engagement des sociétés affiliées du fournisseur en tant que sous-traitants ultérieurs conformément à l'accord et pour la durée. De plus, le Client autorise par les présentes l'engagement de tout autre tiers en tant que Sous-traitants ultérieurs (« Sous-traitants tiers »), sous réserve du respect par le Fournisseur de la présente Section 22. Le Client autorise par la présente tous les « Sous-traitants ultérieurs » répertoriés à l'Annexe 3 . Si le client a conclu des CSC comme décrit à l'article 21 (Transfert de données personnelles), les autorisations ci-dessus constitueront le consentement écrit préalable du client à la sous-traitance par le fournisseur du traitement des données personnelles du client si un tel consentement est requis en vertu des CSC et de la législation sur la protection des données. et/ou la législation non européenne sur la protection des données, le cas échéant. Les informations sur les sous-traitants ultérieurs sont disponibles à l' Annexe 3 et peuvent être mises à jour par le Fournisseur de temps à autre conformément au présent DPA. Lorsqu'il engage un sous-traitant ultérieur, le fournisseur : (a) garantira, par le biais d'un instrument juridique ou d'un contrat écrit, que : (i) le sous-traitant accède et traite les données personnelles du client uniquement dans la mesure nécessaire pour exécuter les obligations qui lui sont sous-traitées, et ce conformément avec l'Accord (y compris le présent DPA) et tous les CCS conclus comme décrit à l'article 21 (Transfert de données personnelles), le cas échéant ; et (ii) si le RGPD s'applique au traitement des données personnelles des clients, les obligations de protection des données énoncées à l'article 28, paragraphe 3, du RGPD, telles que décrites dans le présent DPA, sont imposées par ledit instrument juridique ou contrat au sous-traitant ultérieur ; et (b) restent entièrement responsables de toutes les obligations sous-traitées et de tous les actes et omissions du sous-traitant. Lorsqu'un Sous-traitant tiers non répertorié dans l'Annexe 3 à la Date d'entrée en vigueur du Contrat est engagé pendant la Durée, le Fournisseur devra, au moins trente (30) jours avant que le nouveau Sous-traitant tiers ne traite les Données personnelles du Client, informera le Client de l'engagement. (y compris le nom et l'emplacement du sous-traitant tiers concerné et les activités qu'il effectuera) en envoyant un e-mail à l'adresse e-mail de notification. Le Client peut s'opposer à tout nouveau sous-traitant tiers en résiliant le Contrat immédiatement après notification écrite au Fournisseur, à condition que le Client envoie cet avis dans les trente (30) jours suivant avoir été informé de l'engagement du Sous-traitant tiers. Ce droit de résiliation constitue le seul et unique recours du Client si celui-ci s'oppose à tout nouveau sous-traitant tiers.

23 

Traitement des enregistrements . Le Client reconnaît que le Fournisseur est tenu, en vertu du RGPD : (a) de collecter et de conserver des enregistrements de certaines informations, y compris le nom et les coordonnées de tout Sous-traitant et/ou Contrôleur de données au nom duquel le Sous-traitant agit et, le cas échéant, de le représentant local et le délégué à la protection des données de ce sous-traitant ou du responsable du traitement, ainsi que les catégories de traitement effectués pour le compte de chaque responsable du traitement, si possible une description générale des mesures de sécurité techniques et organisationnelles ; et (b) mettre ces informations à la disposition des autorités de contrôle. Le Client déclare et garantit qu'il fournira ces informations au Fournisseur et qu'il les maintiendra exactes et à jour.

24 

Loi californienne sur la protection de la vie privée des consommateurs (CCPA) . Dans la mesure où le CCPA s'applique à la collecte, à la conservation, à l'utilisation et à la divulgation des informations personnelles du client (telles que définies dans le CCPA) pour fournir le service au client conformément à l'accord, les parties reconnaissent et conviennent que le fournisseur ne reçoit aucun Informations personnelles du client (« Informations personnelles du titulaire de licence ») en contrepartie des services ou d'autres éléments fournis par le fournisseur au client. Sauf indication expresse dans le Contrat, le Fournisseur ne doit pas (a) avoir, tirer ou exercer des droits ou des avantages concernant les informations personnelles du client, (b) vendre les informations personnelles du client, ou (c) collecter, conserver, partager ou utiliser les informations personnelles du client. Informations, sauf si elles sont nécessaires dans le seul but d'exécuter les services et les services professionnels qui y sont liés, le cas échéant ou dans la mesure permise par le CCPA. Le fournisseur s'engage à s'abstenir de prendre toute mesure qui pourrait amener tout transfert d'informations personnelles du client, soit vers le fournisseur, soit depuis le fournisseur, à être qualifié de vente d'informations personnelles en vertu du CCPA. Le fournisseur comprend et se conformera aux restrictions énoncées dans la présente section et aux exigences applicables du CCPA. Aux fins de la présente section, le fournisseur est un fournisseur de services et les termes « informations personnelles », « vente », « vente » et « fournisseur de services » auront la même signification que dans le CCPA. Si une autorité américaine adopte des dispositions révisées du CCPA pour les questions abordées dans le présent DPA et que le Client informe le Fournisseur qu'il souhaite incorporer tout élément de ces dispositions révisées dans le présent DPA, le Fournisseur et le Client peuvent convenir de modifier le présent DPA pour incorporer toutes les modifications proposées dans la mesure du raisonnable. requis par les dispositions nouvellement adoptées.

25 

Plafond de responsabilité convenu . Le plafond de responsabilité énoncé dans l'Accord régissant la fourniture des Services auxquels fait partie le présent DPA s'applique à toute violation des dispositions du présent DPA ou à tout dommage pouvant résulter du non-respect par le Fournisseur ou sa Société affiliée de la législation sur la protection des données. Rien dans la présente Section 25 (Plafond de responsabilité convenu) n'affectera les conditions restantes du Contrat relatives à la responsabilité (y compris toute exclusion spécifique de toute limitation de responsabilité).

26 

Divers.

26.1 

Le Client comprend que le Fournisseur peut posséder des informations de contact limitées, voire inexistantes, sur les élèves du Client et leurs parents. Par conséquent, le Client sera responsable d'obtenir tout consentement parental pour l'utilisation des Services par tout Utilisateur final qui peut être requis par la loi applicable et de transmettre une notification au nom du Fournisseur aux étudiants (ou, en ce qui concerne un étudiant de moins de 18 ans et ne fréquentant pas un établissement postsecondaire, au parent de l'étudiant) de toute ordonnance judiciaire ou assignation à comparaître légalement émise exigeant la divulgation des données client en possession du fournisseur, comme peut l'exiger la loi applicable.

26.2 

Si le Client utilise les Services pour traiter des Données biométriques, il est responsable de : (i) fournir des informations aux personnes concernées, notamment en ce qui concerne les périodes de conservation et de destruction ; (ii) obtenir le consentement des personnes concernées ; et (iii) supprimer les données biométriques, le tout de manière appropriée et requise par la législation applicable en matière de protection des données. Aux fins de cette section, « Données biométriques » aura la signification définie à l'article 4 du RGPD et, le cas échéant, les termes équivalents dans d'autres législations sur la protection des données.

26.3 

Ni les droits ni les obligations d'une Partie ne peuvent être cédés en tout ou partie sans l'accord écrit préalable de l'autre Partie, étant toutefois entendu que le présent DPA pourra être transféré ou cédé en cas de restructuration ou de changement de contrôle affectant une partie aux présentes.

26.4 

En cas de différend survenant entre les Parties dans le cadre du présent DPA, les Parties négocieront de bonne foi pour résoudre leur différend. Si le litige ne peut être résolu par des négociations de bonne foi entre les parties, le litige sera définitivement réglé par un tribunal public compétent pour le siège du fournisseur.

26,5 

Le présent DPA est régi par le droit de l'État du Luxembourg, sans référence à ses règles de conflits de lois. Les deux parties soumettent irrévocablement tout litige relatif aux présentes Conditions à la compétence des tribunaux situés dans l'État de Luxembourg.

26.6 

Si une disposition du présent DPA est jugée invalide ou inapplicable par un tribunal compétent, le reste du présent DPA restera valide et en vigueur. La disposition invalide ou inapplicable sera soit (i) modifiée si nécessaire pour garantir sa validité et son caractère exécutoire, tout en préservant au plus près les intentions des Parties ou, si cela n'est pas possible, (ii) interprétée d'une manière comme si la disposition invalide ou inapplicable ou partie inapplicable n’y avait jamais été contenue.

26,7 

Toute modification du présent DPA doit être faite par écrit, sinon elle est nulle et non avenue.

27 

Définitions . Les termes en majuscules utilisés mais non définis dans le présent DPA ont la signification donnée dans l'Accord. Dans ce DPA, sauf indication contraire :

« Société affiliée » désigne toute entité contrôlant, contrôlée par ou sous contrôle commun avec une Partie, où le « contrôle » est défini comme : (a) la propriété d'au moins cinquante pour cent (50 %) des capitaux propres ou des intérêts bénéficiaires de l'entité. ; (b) le droit de voter ou de nommer une majorité au conseil d'administration ou à tout autre organe directeur de l'entité ; ou (c) le pouvoir d'exercer une influence majoritaire sur la gestion ou les politiques de l'entité.

« Contrat » désigne le Contrat de services conclu entre le Fournisseur et le Client pour la fourniture de Services par le Fournisseur au Client.

« Plafond de responsabilité convenu » désigne le montant maximum monétaire ou basé sur le paiement auquel la responsabilité d'une Partie est plafonnée en vertu du Contrat, soit par période annuelle, soit par événement donnant lieu à une responsabilité, le cas échéant.

« Données client » désigne les données soumises, stockées, envoyées ou reçues via les services par le client, ses sociétés affiliées ou les utilisateurs finaux. Les données client peuvent également inclure des données personnelles envoyées ou autrement mises à disposition par le client au fournisseur et/ou aux sociétés affiliées du fournisseur lorsque le client utilise les solutions des sociétés affiliées au fournisseur.

« Données personnelles client » désigne les données personnelles contenues dans les données client, telles que décrites à l'annexe 1.

« Incident de données » désigne une violation des mesures de sécurité du fournisseur entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux données personnelles du client sur les systèmes gérés ou autrement contrôlés par le fournisseur. Les « incidents de données » n'incluent pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des données personnelles du client, y compris les tentatives de connexion infructueuses, les pings, les analyses de ports, les attaques par déni de service et autres attaques réseau sur les pare-feu ou les systèmes en réseau.

« Date d'entrée en vigueur » désigne la date à laquelle le client et le fournisseur ont accepté le présent DPA et constitue la date d'entrée en vigueur de l'accord.

« EEE » désigne l'Espace économique européen ainsi que, aux fins du présent DPA, la Suisse et le Royaume-Uni.

« Utilisateur final » désigne les personnes physiques autorisées par le Client à accéder ou à utiliser les Services, y compris le personnel, l'employé, l'agent ou l'entrepreneur du Client et de ses Filiales.

« Législation sur la protection des données » désigne, le cas échéant : (a) le RGPD ; et/ou (b) la loi fédérale sur la protection des données du 19 juin 1992 (Suisse) ; et/ou (c) les lois applicables sur la protection des données du Royaume-Uni, ainsi que toute loi sur la protection des données modifiant, remplaçant ou annulant substantiellement le RGPD, la loi fédérale sur la protection des données de Suisse, les lois applicables sur la protection des données du Royaume-Uni et /ou toute autre législation nationale/fédérale ou étatique/provinciale sur la protection des données en vigueur dans un État membre de l'Union européenne, y compris, le cas échéant, les lois, décisions, lignes directrices, notes d'orientation, codes de bonnes pratiques, codes de conduite et mécanismes de certification en matière de protection des données émis de temps à autre par un tribunal compétent ou une autorité de contrôle, concernant le traitement des données personnelles et la vie privée.

« RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95. /46/CE.

« Législation non européenne sur la protection des données » désigne toute législation nationale/fédérale ou étatique/provinciale/émirat sur la protection des données ou la vie privée, autre que la Législation sur la protection des données.

« Adresse(s) e-mail de notification » désigne la ou les adresses e-mail désignées par le Client pour recevoir certaines notifications du Fournisseur.

« Clauses contractuelles types » ou « CCS » désigne les clauses types de protection des données pour le transfert de données personnelles vers des pays tiers situés en dehors de l'EEE qui n'assurent pas un niveau adéquat de protection des données, telles que (i) approuvées par la Commission européenne dans l'Accord de mise en œuvre. Décision (UE) 2021/914 du 4 juin 2021 relative aux clauses contractuelles types pour les transferts restreints pour les personnes concernées de l'UE, telle que modifiée, remplacée ou remplacée par tout ensemble de clauses approuvées par la Commission européenne, et telle que (ii) émise par l'Information Bureau du commissaire conformément au S119A(1) de la loi sur la protection des données de 2018 pour les transferts restreints liés aux personnes concernées au Royaume-Uni et approuvé par le Parlement britannique. Les CSC sont joints en annexe 4 pour les transferts restreints liés aux personnes concernées de l'UE et en annexe 5 pour les transferts restreints liés aux personnes concernées au Royaume-Uni. Les deux annexes font partie du présent DPA, le cas échéant.

« Systèmes du fournisseur » désigne l'infrastructure informatique et de stockage sous-traitée par le fournisseur pour exécuter les services et stocker les données du client. Pour éviter toute ambiguïté, les systèmes du fournisseur n'incluent pas la solution de fournisseur de services tiers utilisée par le client et contractée par le client, ni aucune des offres tierces.

« Transfert restreint » désigne (a) un transfert de données personnelles du client du client au fournisseur ou au sous-traitant ultérieur, ou (b) un transfert ultérieur de données personnelles du client du fournisseur ou du sous-traitant ultérieur vers (ou entre deux établissements du) fournisseur ou sous-traitant ultérieur, dans chaque cas. Dans ce cas, il s'agit d'un transfert vers un pays en dehors de l'EEE, où un tel transfert serait interdit par la législation européenne sur la protection des données en l'absence de CSC ou d'autres instruments juridiques requis par la législation européenne sur la protection des données.

« Sous-traitant(s) » désigne les tiers autorisés par le Sous-traitant en vertu du présent DPA à avoir un accès logique et à traiter les Données du Client au nom du Client afin de fournir une partie des Services et le support technique associé, y compris les Sociétés affiliées du Fournisseur.

« Mesures de sécurité » a la signification donnée à l'article 13 (Mesures de sécurité des fournisseurs).

« Services » désigne les services qui sont utilisés et/ou achetés par le Client conformément au Contrat et à tout Formulaire de commande et/ou Énoncé de travail applicable, qui peuvent inclure Yet Another Mail Merge, Form Publisher, Awesome Table (et Awesome Table modules complémentaires), Playengo, GPT for Work (GPT for Sheets™, GPT for Docs™, GPT in Excel™ et GPT in Microsoft Word™), y compris toute mise à jour ou remplacement de ceux-ci et l'assistance technique fournie par le fournisseur au client de temps à autre. temps. Les Services n'incluent pas (i) la Solution des Fournisseurs Affiliés qui peut avoir fait l'objet d'une licence distincte par le Client, (ii) les Offres de Tiers qui peuvent avoir fait l'objet d'une licence distincte par le Client, ni (iii) la Solution du Fournisseur de Services Tiers utilisée par le Client. .

« Solution des affiliés du fournisseur » désigne toute solution logicielle fournie par un ou plusieurs affiliés du fournisseur, qui complète et/ou est nécessaire pour fournir les services exécutés par le fournisseur, qui ont été (i) sous licence par le client auprès d'une société affiliée du fournisseur ou (ii). ) sous licence du client auprès du fournisseur.

Les termes « Données personnelles », « Personne concernée », « Traitement », « Responsable du traitement », « Sous-traitant » et « Autorité de contrôle » tels qu'utilisés dans le présent DPA ont la signification qui leur est donnée dans le RGPD, et les termes « Données personnelles ». "Importateur" et "Exportateur de données" ont la signification qui leur est donnée dans les CCS, dans chaque cas, indépendamment du fait que la législation européenne sur la protection des données ou la législation non européenne sur la protection des données s'applique.

« Durée » désigne la période allant de la date d'entrée en vigueur du contrat jusqu'à la fin de la fourniture des services par le fournisseur au client en vertu du contrat, y compris, le cas échéant, toute période pendant laquelle la fourniture des services peut être suspendue et toute période post-résiliation pendant laquelle Le Fournisseur peut continuer à fournir les Services au Client à des fins transitoires.

« Solution de fournisseur de services tiers » désigne toute solution ou logiciel sur lequel tout ou partie des services sont exécutés par le fournisseur, qui ont fait l'objet d'une licence distincte par le client, selon le cas, auprès d'un fournisseur de services tiers non affilié. Les Solutions de Prestataires de Services Tiers peuvent notamment inclure des solutions ou logiciels Google, Microsoft et/ou Meta.