Addenda relatif au traitement des données (DPA)
Dernière révision 21/08/2023
Le présent Avenant relatif au traitement des données (« APD ») est établi et conclu à la date de son acceptation et fait partie du Contrat de licence de l’utilisateur final ou de tout autre contrat de licence des produits Claroty dans lequel le présent Avenant est incorporé (le « Contrat »). L’Utilisateur reconnaît que vous, au nom de votre entité qui est partie au Contrat (collectivement, « Vous », « Utilisateur » ou « Responsable du traitement des données ») avez lu et compris le présent ATD et acceptez de vous y conformer, et concluez un accord juridique contraignant avec Claroty tel que défini ci-dessous (« Claroty » ou « Sous-traitant des données ») pour refléter l’accord des parties concernant le Traitement des Données à caractère personnel (tel que ces termes sont définis ci-dessous) des personnes protégées par le RGPD. Les deux parties seront dénommées les « Parties » et chacune, une « Partie ».
ATTENDU QUE Claroty Claroty fournira les produits et/ou services énoncés dans le Contrat (collectivement, les « Services ») à l’Utilisateur, comme décrit dans le Contrat ; et
ATTENDU QUE, dans le cadre de la fourniture des Services en vertu du Contrat, Claroty peut traiter les Données à caractère personnel pour le compte de l’Utilisateur, et les Parties souhaitent énoncer les dispositions concernant le traitement des Données à caractère personnel (définies ci-dessous) dans le cadre des Services et conviennent de se conformer aux dispositions suivantes concernant toutes les Données à caractère personnel, chacune agissant raisonnablement et de bonne foi.
EN CONSÉQUENCE, compte tenu des promesses mutuelles énoncées dans les présentes et de toute autre contrepartie valable, dont la réception et la suffisance sont reconnues par les Parties, les parties, qui entendent être juridiquement liées, conviennent de ce qui suit :
Le présent ATD s’applique au traitement de toutes Données à caractère personnel (telles que définies ci-dessous) collectées, fournies ou autrement mises à la disposition de la Société en lien avec la fourniture du Logiciel et de tous services liés au Logiciel en vertu du Contrat, si le Traitement desdites Données à caractère personnel est soumis au RGPD, uniquement dans la mesure où le Client est un Responsable du traitement des Données à caractère personnel et que la Société est un Sous-traitant. L’ATD vise à satisfaire aux exigences de la législation de l’Union européenne sur la protection des données, y compris l’article 28(3) du RGPD. Le présent ATD entrera en vigueur pendant la durée du Contrat ou jusqu’à la suppression des Données à caractère personnel conformément aux instructions du Client en vertu du présent ATD, selon la première éventualité.
1. INTERPRÉTATION ET DÉFINITIONS
1.1 Les titres contenus dans le présent ATD sont fournis à titre de commodité uniquement et ne doivent pas être interprétés comme limitant ou affectant autrement les dispositions du présent ATD.
1.2 Les références aux clauses ou sections sont des références aux clauses ou sections du présent ATD, sauf indication contraire.
1.3 Les mots utilisés au singulier comprennent le pluriel et vice versa, selon le contexte.
1.4 Les termes commençant par une majuscule qui ne sont pas définis dans les présentes auront la signification qui leur est attribuée dans le Contrat.
1.5 Définitions :
« Société affiliée » désigne toute entité qui contrôle, est contrôlée par ou est sous contrôle commun avec l’entité concernée, directement ou indirectement. « Contrôle », aux fins de la présente définition, désigne la propriété directe ou indirecte ou le contrôle de plus de 50 % des droits de vote de l’entité concernée.
« Affilié autorisé » désigne tout Affilié(s) de l’Utilisateur qui (a) est soumis aux Lois et réglementations sur la protection des données de l’Union européenne, de l’Espace économique européen et/ou de leurs États membres, de la Suisse et/ou du Royaume-Uni, et (b) est autorisé à utiliser les Services conformément au Contrat entre l’Utilisateur et Claroty, mais n’a pas signé son propre contrat avec Claroty et n’est pas un « Utilisateur » tel que défini en vertu du Contrat.
« Responsable du traitement » ou « Responsable du traitement » désigne l’entité qui détermine les finalités et les moyens du Traitement des Données à caractère personnel. Aux fins du présent ATD uniquement, et sauf indication contraire, le terme « Responsable du traitement des données » inclura l’Utilisateur et/ou les Affiliés autorisés de l’Utilisateur.
« Lois et réglementations sur la protection des données » désigne toutes les lois et réglementations de l’Union européenne, de l’Espace économique européen et de leurs États membres, et du Royaume-Uni, applicables au Traitement des Données à caractère personnel en vertu du Contrat.
« Personne concernée » désigne la personne identifiée ou identifiable à laquelle se rapportent les Données à caractère personnel.
« État membre » désigne un pays qui appartient à l’Union européenne et/ou à l’Espace économique européen. « Union » désigne l’Union européenne.
« RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil de 27 April 2016 sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel et sur la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement général sur la protection des données).
« Claroty » désigne l’entité Claroty concernée telle que spécifiée dans le Contrat.
« Claroty Group » désigne Claroty et ses Sociétés affiliées engagées dans le Traitement des Données à caractère personnel.
« Données à caractère personnel » désigne toute information relative à une personne physique identifiée ou identifiable ; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, en particulier par référence à un identifiant tel qu’un nom, un numéro d’identification, un données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique. Afin d’éviter toute ambiguïté, les coordonnées professionnelles de l’Utilisateur ne sont pas considérées en elles-mêmes comme des Données à caractère personnel soumises au présent ATD.
« Processus(ing) » désigne toute opération ou ensemble d’opérations effectuées ou non sur des Données à caractère personnel, que ce soit par des moyens automatiques, tels que la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction.
« Sous-traitant » ou « Sous-traitant » désigne l’entité qui Traite les Données à caractère personnel pour le compte du Responsable du traitement.
« Documentation de sécurité » désigne la Documentation de sécurité applicable aux Services spécifiques achetés par l’Utilisateur, telle que mise à jour de temps à autre, telle que raisonnablement disponible par Claroty
« Sous-traitant ultérieur » désigne tout Sous-traitant engagé par Claroty et/ou la Société affiliée de Claroty pour traiter les Données à caractère personnel dans le cadre du présent ATD.
« Autorité de contrôle » désigne une autorité publique indépendante qui est établie par un État membre de l’UE conformément au RGPD ou à l’ICO en vertu du RGPD du Royaume-Uni.
2. TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
2.1 Rôles des Parties. Les Parties reconnaissent et conviennent qu’en ce qui concerne le Traitement des Données à caractère personnel, (i) l’Utilisateur est le Responsable du traitement, (ii) Claroty est le Sous-traitant et que (iii) Claroty peut engager des Sous-traitants ultérieurs conformément aux exigences énoncées à la Section 5 « Sous-traitants ultérieurs » ci-dessous. L’Utilisateur, les fournisseurs de l’Utilisateur et/ou les partenaires commerciaux de l’Utilisateur et les Personnes concernées fourniront les Données à caractère personnel à Claroty en fournissant les Données à caractère personnel au Service de Claroty. Afin d’éviter toute ambiguïté, les informations de connexion à la plateforme de Claroty sont soumises à la politique de confidentialité de Claroty, telle que mise à jour de temps à autre, et non au présent ATD, et par conséquent, Claroty est un Responsable du traitement de ces Données à caractère personnel.
2.2 Traitement des Données à caractère personnel par l’Utilisateur. L’Utilisateur devra, dans le cadre de son utilisation des Services, Traiter les Données à caractère personnel conformément aux exigences des Lois et réglementations sur la protection des données et se conformer à tout moment aux obligations applicables aux responsables du traitement des données (y compris, sans s’y limiter, l’Article 24 du RGPD). Afin d’éviter toute ambiguïté, les instructions de l’Utilisateur pour le Traitement des Données à caractère personnel doivent être conformes aux Lois et réglementations sur la protection des données. L’Utilisateur sera seul responsable des moyens par lesquels il a acquis des Données à caractère personnel. Sans limitation, l’Utilisateur se conformera à toutes les obligations liées à la transparence (y compris, sans limitation, l’affichage de tous les avis ou politiques de confidentialité pertinents et requis) et disposera de toutes les bases juridiques requises afin de collecter, traiter et transférer à Claroty les Données à caractère personnel et d’autoriser le Traitement par Claroty des Données à caractère personnel qui est autorisé dans le présent ATD. L’Utilisateur défendra, dégagera de toute responsabilité et indemnisera Claroty, ses Sociétés affiliées et ses filiales (y compris, sans limitation, leurs administrateurs, dirigeants, agents, sous-traitants et/ou employés) contre toute responsabilité de quelque nature que ce soit liée à toute violation, violation ou violation par l’Utilisateur et/ou ses utilisateurs autorisés de toute Loi et réglementation sur la protection des données et/ou du présent ATD et/ou de la présente Section. »
2.3 Traitement des Données à caractère personnel par Claroty.
2.3.1 Sous réserve du Contrat, Claroty traitera les Données à caractère personnel qui sont soumises au présent ATD uniquement conformément aux instructions documentées de l’Utilisateur et uniquement dans la mesure nécessaire à l’exécution des Services et à l’exécution du Contrat et du présent ATD, sauf si le droit de l’Union ou d’un État membre l’exige autrement ou (dans toute la mesure permise par la loi) toute autre loi applicable à laquelle Claroty est soumise, auquel cas, Claroty informera l’Utilisateur de l’exigence légale avant le traitement, à moins que cette loi n’interdise de telles informations pour des motifs importants d’intérêt public. La durée du Traitement, la nature et les finalités du Traitement, ainsi que les types de Données à caractère personnel Traitées et les catégories de Personnes concernées en vertu du présent ATD sont précisées plus en détail dans l’ Annexe 1 (Détails du Traitement) du présent ATD.
2.3.2 Dans la mesure où Claroty ou ses Sociétés affiliées ne peuvent pas se conformer à une demande (y compris, sans limitation, toute instruction, direction, code de conduite, certification, ou tout changement de quelque nature que ce soit) de l’Utilisateur et/ou de ses utilisateurs autorisés concernant le Traitement des Données à caractère personnel ou lorsque Claroty considère qu’une telle demande est illégale, Claroty (i) informera l’Utilisateur, fournir des détails pertinents sur le problème (mais pas des conseils juridiques), (ii) Claroty peut, sans aucune responsabilité envers l’Utilisateur, cesser temporairement tout Traitement des Données à caractère personnel affectées (autre que le stockage sécurisé de ces données), et (iii) si les Parties ne conviennent pas d’une résolution à la question en question et de ses coûts, chaque Partie peut, comme seul recours, résilier le Contrat et le présent ATD en ce qui concerne le Traitement concerné, et l’Utilisateur paiera à Claroty tous les montants dus à Claroty ou dus avant la date de résiliation. L’Utilisateur n’aura aucune autre réclamation à l’encontre de Claroty (y compris, mais sans s’y limiter, la demande de remboursements pour les Services) en raison de la résiliation du Contrat et/ou de l’ATD dans la situation décrite dans le présent paragraphe (à l’exclusion des obligations relatives à la résiliation du présent ATD énoncées ci-dessous).
2.3.3 Claroty ne sera pas responsable en cas de réclamation déposée par un tiers, y compris, mais sans s’y limiter, une Personne concernée, découlant de tout acte ou omission de Claroty, dans la mesure où cela résulte des instructions de l’Utilisateur.
3. DROITS DES SUJETS DE DONNÉES
Si Claroty reçoit une demande d’une Personne concernée d’exercer son droit prévu au Chapitre III du RGPD (« Demande de la Personne concernée »), Claroty devra, dans la mesure autorisée par la loi, notifier et transmettre rapidement ladite Demande de la Personne concernée à l’Utilisateur. Compte tenu de la nature du Traitement, Claroty déploiera des efforts commercialement raisonnables pour aider l’Utilisateur par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l’exécution de l’obligation de l’Utilisateur de répondre à une Demande de la Personne concernée en vertu des Lois et réglementations sur la protection des données. Dans la mesure permise par la loi, l’Utilisateur sera responsable de tous les coûts découlant de la fourniture d’une telle assistance par Claroty.
4. PERSONNEL DE LA RÉCLAMATION
4.1 Confidentialité. Claroty accordera l’accès aux Données à caractère personnel aux personnes sous son autorité (y compris, sans s’y limiter, son personnel) uniquement sur la base du besoin de savoir et s’assurera que les personnes impliquées dans le Traitement des Données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée.
4.2 Claroty peut divulguer et Traiter les Données à caractère personnel (a) comme autorisé en vertu des présentes (b) dans la mesure requise par un tribunal compétent ou une Autorité de contrôle et/ou autrement comme requis par les lois applicables (dans ce cas, Claroty informera l’Utilisateur de l’exigence légale avant la divulgation, à moins que cette loi n’interdise de telles informations pour des motifs importants d’intérêt public), ou (c) sur la base du « besoin de savoir » en vertu d’une obligation de confidentialité envers le ou les conseiller(s) juridiques, conseiller(s) en protection des données, ou comptable(s).
5. AUTORISATION CONCERNANT LES SOUS-TRAITANTS ULTÉRIEURS
5.1 La liste actuelle des Sous-traitants ultérieurs de Claroty est incluse dans l’Annexe 2 (« Liste des Sous-traitants ultérieurs ») et est par les présentes approuvée par le Responsable du traitement des données. La Liste des Sous-traitants ultérieurs à la date de signature du présent ATD est autorisée par les présentes par l’Utilisateur.
5.2 Claroty notifiera tout nouveau Sous-traitant ultérieur(s) avant d’autoriser ledit nouveau Sous-traitant ultérieur(s) à Traiter les Données à caractère personnel en lien avec la fourniture des Services.
5.3 Droit d’opposition pour les nouveaux sous-traitants ultérieurs. L’Utilisateur peut raisonnablement s’opposer à l’utilisation par Claroty d’un nouveau Sous-traitant ultérieur pour des raisons liées au RGPD en en informant Claroty rapidement par écrit dans les trois (3) jours ouvrables suivant la réception de l’avis de Claroty conformément au mécanisme énoncé à la Section 5.1 et ladite objection écrite inclura les raisons liées au RGPD pour s’opposer à l’utilisation par Claroty dudit nouveau Sous-traitant ultérieur. Le fait de ne pas s’opposer à ce nouveau Sous-traitant ultérieur par écrit dans les trois (3) jours ouvrables suivant la notification de Claroty sera considéré comme l’acceptation du nouveau Sous-traitant ultérieur. Dans le cas où l’Utilisateur s’oppose raisonnablement à un nouveau Sous-traitant ultérieur, tel qu’autorisé dans les phrases précédentes, Claroty déploiera des efforts raisonnables pour mettre à la disposition de l’Utilisateur une modification des Services ou recommandera une modification commercialement raisonnable de l’utilisation des Services par l’Utilisateur afin d’éviter le Traitement des Données à caractère personnel par le nouveau Sous-traitant ultérieur opposé sans surcharger déraisonnablement l’Utilisateur. Si Claroty n’est pas en mesure de mettre à disposition ce changement dans un délai raisonnable, qui ne dépassera pas trente (30) jours, L’utilisateur peut, comme seul recours, résilier le Contrat applicable et le présent ATD en ce qui concerne uniquement les Services qui ne peuvent pas être fournis par Claroty sans l’utilisation du nouveau Sous-traitant ultérieur opposé en fournissant un avis écrit à Claroty , à condition que tous les montants dus en vertu du Contrat avant la date de résiliation concernant le Traitement en question soient dûment payés à Claroty. Jusqu’à ce qu’une décision soit prise concernant le nouveau Sous-traitant ultérieur, Claroty peut suspendre temporairement le Traitement des Données à caractère personnel affectées. L’Utilisateur n’aura aucune autre réclamation à l’encontre de Claroty en raison de la résiliation du Contrat (y compris, sans s’y limiter, la demande de remboursements) et/ou de l’ATD dans la situation décrite dans le présent paragraphe.
5.4 Accords avec les Sous-traitants ultérieurs. Dans le cas où les Sous-traitants ultérieurs sont engagés par Claroty, Claroty conclura des accords contractuels avec les Sous-traitants ultérieurs qui sont rédigés de manière à refléter les obligations de protection des données énoncées dans le présent ATD. Conformément aux articles 28.7 et 28.8 du RGPD, si et lorsque la Commission européenne établit les clauses contractuelles types visées dans ledit article, les Parties peuvent réviser le présent ATD de bonne foi pour l’ajuster à ces clauses contractuelles types.
6. SÉCURITÉ
6.1 Contrôles pour la protection des données personnelles. Compte tenu de l’état de l’art, les coûts de mise en œuvre, la portée, le contexte, les finalités du Traitement ainsi que le risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, Claroty maintiendra les mesures techniques et organisationnelles standard du secteur requises en vertu de l’article 32 du RGPD pour la protection de la sécurité (y compris la protection contre le Traitement non autorisé ou illégal et contre la destruction accidentelle ou illégale, perte, altération ou dommage, la divulgation non autorisée de, ou l’accès à, Données à caractère personnel), la confidentialité et l’intégrité des Données à caractère personnel, tel qu’indiqué dans la Documentation de sécurité qui est par les présentes approuvée par l’Utilisateur. À la demande de l’Utilisateur, Claroty déploiera des efforts commercialement raisonnables pour aider l’Utilisateur, aux frais de l’Utilisateur, à assurer le respect des obligations en vertu des Articles 32 à 36 du RGPD en tenant compte de la nature du traitement, de l’état de l’art et des informations à la disposition de Claroty.
6.2 Certifications et audits de tiers. Sur demande écrite de l’Utilisateur à des intervalles raisonnables, et sous réserve des obligations de confidentialité énoncées dans le Contrat et le présent ATD, Claroty doit mettre à la disposition de l’Utilisateur qui n’est pas un concurrent de Claroty (ou de l’Utilisateur indépendant, auditeur tiers qui n’est pas un concurrent de Claroty) une copie ou un résumé des audits ou certifications tiers les plus récents de Claroty, le cas échéant (à condition, cependant, que ces audits, certifications et les résultats qui en découlent, y compris les documents reflétant le résultat de l’audit et/ou les certifications, ne doit être utilisé par l’Utilisateur que pour évaluer la conformité au présent ATD, et ne doivent pas être utilisés à d’autres fins ou divulgués à un tiers sans l’approbation écrite préalable de Claroty et, à la première demande de Claroty, L’Utilisateur doit restituer tous les dossiers ou documents en sa possession ou sous son contrôle fournis par Claroty dans le cadre de l’audit et/ou de la certification). Aux frais et dépens de l’Utilisateur, Claroty autorisera et contribuera aux audits, y compris les inspections de Claroty, menés par le responsable du traitement ou un autre auditeur mandaté par le responsable du traitement (qui n’est pas un concurrent direct ou indirect de Claroty), à condition que les parties conviennent de la portée, de la méthodologie, du calendrier et des conditions de ces audits et inspections. Nonobstant toute disposition contraire, ces audits et/ou inspections ne contiendront aucune information, y compris, mais sans s’y limiter, des données à caractère personnel qui n’appartiennent pas à l’Utilisateur.
7. GESTION ET NOTIFICATION DES INCIDENTS LIÉS AUX DONNÉES PERSONNELLES
Dans la mesure requise par les Lois et réglementations applicables en matière de protection des données, Claroty informera l’Utilisateur sans retard injustifié après avoir pris connaissance de la destruction, perte, altération, divulgation non autorisée ou accès accidentel ou illégal aux Données à caractère personnel, y compris les Données à caractère personnel, transmises, stockées ou autrement Traitées par Claroty ou ses Sous-traitants ultérieurs dont Claroty prend connaissance (un « Incident de données à caractère personnel »).
Claroty fera des efforts raisonnables pour identifier la cause de cet Incident de données à caractère personnel et prendra les mesures que Claroty jugera nécessaires, possibles et raisonnables afin de remédier à la cause de cet Incident de données à caractère personnel dans la mesure où la mesures correctives est sous le contrôle raisonnable de Claroty. Les obligations des présentes ne s’appliqueront pas aux incidents causés par l’Utilisateur ou les utilisateurs de l’Utilisateur ou qui ne sont pas autrement liés à la fourniture des Services. Dans tous les cas, l’Utilisateur sera la partie responsable de la notification aux autorités de contrôle et/ou aux personnes concernées (lorsque les Lois et réglementations sur la protection des données l’exigent).
8. RESTITUTION ET SUPPRESSION DES DONNÉES À CARACTÈRE PERSONNEL
Sous réserve du Contrat, Claroty , au choix de l’Utilisateur, supprimera ou restituera les Données à caractère personnel à l’Utilisateur après la fin de la fourniture des Services relatifs au Traitement, et supprimera les copies existantes, sauf si la loi applicable exige le stockage des Données à caractère personnel. Dans tous les cas, dans la mesure requise ou autorisée par la loi applicable, Claroty peut conserver une copie des Données à caractère personnel à des fins de preuve et/ou pour l’établissement, l’exercice ou la défense de réclamations légales et/ou pour se conformer aux lois et réglementations applicables. Si l’Utilisateur demande que les Données à caractère personnel soient retournées, les Données à caractère personnel seront retournées dans le format généralement disponible pour les clients de Claroty.
9. AFFILIÉS AUTORISÉS
9.1 Relation contractuelle. Les Parties reconnaissent et conviennent qu’en signant l’ATD, l’Utilisateur conclut l’ATD en son nom et, le cas échéant, au nom et pour le compte de ses Sociétés affiliées autorisées, établissant ainsi un ATD distinct entre Claroty. Chaque Affilié autorisé accepte d’être lié par les obligations en vertu du présent ATD. Tout accès aux Services et toute utilisation des Services par des Affiliés autorisés doivent être conformes aux conditions générales du Contrat et du présent ATD, et toute violation des conditions générales qui y sont énoncées par un Affilié autorisé sera considérée comme une violation par l’Utilisateur.
9.2 Communication. L’Utilisateur demeurera responsable de la coordination de toutes les communications avec Claroty en vertu du Contrat et du présent ATD et sera autorisé à effectuer et recevoir toute communication en relation avec le présent ATD au nom de ses Sociétés affiliées autorisées.
10. TRANSFERTS DE DONNÉES
10.1 Transferts vers des pays qui offrent un niveau adéquat de protection des données. Les Données à caractère personnel peuvent être transférées depuis les États membres de l’UE et les trois pays membres de l’EEE (Norvège, Liechtenstein et Islande ; collectivement, « EEE ») vers des pays qui offrent un niveau adéquat de protection des données en vertu des décisions d’adéquation publiées par les autorités compétentes de protection des données de l’EEE, de l’Union, des États membres ou de la Commission européenne (« Décisions d’adéquation »), sans qu’aucune autre protection ne soit nécessaire.
10.2 Transferts vers d’autres pays. Si le Traitement des Données à caractère personnel inclut des transferts de l’EEE vers des pays en dehors de l’EEE qui ne sont pas soumis à une Décision d’adéquation (« Autres pays »), les Parties se conformeront au Chapitre V du RGPD, y compris, si nécessaire, l’exécution des clauses types de protection des données adoptées par les autorités compétentes de protection des données de l’EEE, le Syndicat, les États membres ou la Commission européenne ou se conformer à l’un des autres mécanismes prévus dans le RGPD pour le transfert de Données à caractère personnel vers ces Autres pays. Dans la mesure où l’Utilisateur et Claroty utiliseront les Clauses contractuelles types comme mécanisme de transfert des Données à caractère personnel de l’Utilisateur, les droits et obligations des parties seront exécutés conformément aux Clauses contractuelles types et au présent ATD, et sous réserve de ceux-ci. En cas de contradictions entre les Clauses contractuelles types et le présent ATD, les Clauses contractuelles types prévaudront.
11. RÉSILIATION
Le présent ATD sera automatiquement résilié à la résiliation ou à l’expiration du Contrat en vertu duquel les Services sont fournis. Les articles 2.2, 2.3.3, 8 et 12 survivront à la résiliation ou à l’expiration du présent ATD pour quelque raison que ce soit. Le présent ATD ne peut, en principe, être résilié séparément du Contrat, sauf lorsque le Traitement prend fin avant la résiliation du Contrat, auquel cas le présent ATD sera automatiquement résilié.
12. RELATION AVEC L’ACCORD
En cas de conflit entre les dispositions du présent ATD et les dispositions du Contrat, les dispositions du présent ATD prévaudront sur les dispositions contradictoires du Contrat. Claroty sera responsable conformément aux limitations énoncées dans le Contrat.
13. MODIFICATIONS
Le présent ATD peut être modifié à tout moment par un instrument écrit dûment signé par chacune des Parties.
14. EFFET JURIDIQUE
Claroty peut céder le présent ATD ou ses droits ou obligations en vertu des présentes à toute Société affiliée de celui-ci, ou à un successeur ou à toute Société affiliée de celui-ci, dans le cadre d’une fusion, consolidation ou acquisition de la totalité ou de la quasi-totalité de ses actions, actifs ou activités liés au présent ATD ou au Contrat. Toute obligation de Claroty en vertu des présentes peut être exécutée (en tout ou en partie), et tout droit ou recours de Claroty (y compris les droits de facturation et de paiement) peut être exercé (en tout ou en partie), par une Société affiliée de Claroty.
Liste des horaires
ANNEXE 1 - DÉTAILS DU TRAITEMENT
ANNEXE 2 - LISTE DES SOUS-TRAITANTS ULTÉRIEURS
ANNEXE 3 – CLAUSES CONTRACTUELLES TYPES
ANNEXE 1 - DÉTAILS DU TRAITEMENT
Claroty traitera les Données à caractère personnel dans la mesure nécessaire à l’exécution des Services conformément au Contrat, conformément aux instructions supplémentaires de l’Utilisateur concernant son utilisation des Services.
Nature et finalité du traitement
Fourniture du ou des Service(s) à l’Utilisateur
Configuration de profil(s) pour les utilisateurs autorisés par l’utilisateur
Pour permettre à l’Utilisateur d’utiliser les Services
Pour que Claroty se conforme aux instructions raisonnables documentées fournies par l’Utilisateur lorsque ces instructions sont conformes aux conditions du Contrat.
Exécution des obligations liées au Contrat, au présent ATD et/ou à d’autres contrats signés par les Parties.
Fournir une assistance et une maintenance technique, si convenu dans le Contrat.
Toute autre tâche raisonnablement liée à ce qui précède.
Durée du traitement
Sous réserve de toute Section de l’ATD et/ou de l’Accord traitant de la durée du Traitement et des conséquences de l’expiration ou de la résiliation de celui-ci, Claroty traitera les Données à caractère personnel pendant la durée de l’Accord, sauf accord contraire écrit.
Type de données à caractère personnel
L’Utilisateur peut soumettre des Données à caractère personnel aux Services, dont l’étendue est déterminée et contrôlée par l’Utilisateur à sa seule discrétion, et qui peuvent inclure, mais sans s’y limiter, les catégories suivantes de Données à caractère personnel :
Adresse IP, adresses MAC, utilisateurs et noms d’hôte des appareils personnels (tels que les ordinateurs portables, tablettes, smartphones) connectés au réseau de l’Utilisateur.
Adresses IP des services Web accessibles par les utilisateurs qui étaient connectés au réseau de l’Utilisateur via leurs appareils personnels.
Numéros d’accès des numérisations effectuées par les dispositifs d’imagerie de l’utilisateur.
Toute autre Donnée à caractère personnel ou information que l’Utilisateur décide de fournir ou de fournir à Claroty ou aux Services.
L’Utilisateur et les Personnes concernées fourniront les Données à caractère personnel à Claroty en fournissant les Données à caractère personnel au Service de Claroty.
Catégories de personnes concernées
L’Utilisateur peut soumettre des Données à caractère personnel aux Services, dont l’étendue est déterminée et contrôlée par l’Utilisateur à sa seule discrétion, et qui peuvent inclure des Données à caractère personnel relatives aux catégories suivantes de personnes concernées :
Patients, invités, visiteurs et/ou clients de l’utilisateur
Utilisateurs de l’Utilisateur autorisés par l’Utilisateur à utiliser les Services.
Employés, agents, conseillers, travailleurs indépendants de l’Utilisateur (personnes physiques)
Prospects, clients, partenaires commerciaux et fournisseurs de l’Utilisateur (qui sont des personnes physiques)
Employés ou personnes à contacter des prospects, clients, partenaires commerciaux et fournisseurs de l’Utilisateur
ANNEXE 2 - LISTE DES SOUS-TRAITANTS ULTÉRIEURS
Sous-traitants ultérieurs | Activités de sous-traitement | Pays/Emplacements de l’entité |
• Amazon Web Services (AWS) | • Stockage/hébergement dans le cloud | Francfort, Allemagne (EU-Central-1) ; Virginie du Nord, États-Unis ; Montréal, Canada |
ANNEXE 3 - CLAUSES CONTRACTUELLES TYPES
Contrôleur à processeur
SECTION I
Clause 1 - Objectif et champ d’application
a) Le but de ces clauses contractuelles types est d’assurer le respect des exigences du Règlement (UE) 2016/679 du Parlement européen et du Conseil de 27 April 2016 sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel et sur la libre circulation de ces données (Règlement général sur la protection des données) ([i]) pour le transfert des données vers un pays tiers.
b) Les Parties :
(i) la ou les personne(s) physiques ou morales, les autorités publiques, les agences ou autres organismes (ci-après « entités ») transférant les données à caractère personnel, comme indiqué à l’Annexe I.A (ci-après chaque « exportateur de données »), et
(ii) les entités situées dans un pays tiers recevant les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également Partie aux présentes Clauses, comme indiqué à l’Annexe I.A (ci-après chaque « importateur de données »
c) Les présentes Clauses s’appliquent au transfert de données à caractère personnel tel que spécifié à l’Annexe I.B.
d) L’Annexe aux présentes Clauses contenant les Annexes auxquelles il est fait référence fait partie intégrante des présentes Clauses.
Clause 2 - Effet et invariabilité des Clauses
a) Les présentes Clauses définissent les garanties appropriées, y compris les droits applicables des personnes concernées et les recours juridiques efficaces, conformément à l’Article 46(1) et à l’Article 46(2)(c) du Règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des responsables du traitement aux sous-traitants et/ou des sous-traitants aux sous-traitants, les clauses contractuelles types conformément à l’Article 28(7) du Règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le ou les Module(s) appropriés ou pour ajouter ou mettre à jour des informations dans l’Annexe. Cela n’empêche pas les Parties d’inclure les clauses contractuelles types énoncées dans les présentes Clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou garanties supplémentaires, à condition qu’elles ne contredisent pas, directement ou indirectement, les présentes Clauses ou ne portent pas préjudice aux droits ou libertés fondamentaux des personnes concernées.
b) Les présentes Clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du Règlement (UE) 2016/679.
Clause 3 - Bénéficiaires tiers
a) Les personnes concernées peuvent invoquer et faire appliquer les présentes Clauses, en tant que tiers bénéficiaires, à l’encontre de l’exportateur de données et/ou de l’importateur de données, avec les exceptions suivantes :
(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7 ;
(ii) Clause 8 – Module Un : Clause 8.5 (e) et Clause 8.9(b) ; Module Deux : Clause 8.1(b), 8.9(a), (c), (d) et (e) ; Module Trois : Clause 8.1(a), (c) et (d) et Clause 8.9(a), (c), (d), (e), (f) et (g) ; Module Quatre : Clause 8.1 (b) et Clause 8.3(b) ;
(iii) Clause 9 – Module Deux : Clause 9(a), (c), (d) et (e) ; Module Trois : Clause 9(a), (c), (d) et (e) ;
(iv) Clause 12 – Module Un : Clause 12(a) et (d) ; Modules Deux et Trois : Clause 12(a), (d) et (f) ;
(v) Clause 13 ;
(vi) Clause 15.1(c), (d) et (e) ;
(vii) Clause 16(e) ;
(viii) Clause 18 – Modules Un, Deux et Trois : Clause 18(a) et (b) ; Module Quatre : Clause 18.
b) Le paragraphe (a) est sans préjudice des droits des personnes concernées en vertu du Règlement (UE) 2016/679.
Clause 4 - Interprétation
a) Lorsque les présentes Clauses utilisent des termes définis dans le Règlement (UE) 2016/679, ces termes ont la même signification que dans ce Règlement.
b) Les présentes Clauses doivent être lues et interprétées à la lumière des dispositions du Règlement (UE) 2016/679.
c) Les présentes Clauses ne doivent pas être interprétées d’une manière qui entre en conflit avec les droits et obligations prévus dans le Règlement (UE) 2016/679.
Clause 5 - Hiérarchie
En cas de contradiction entre les présentes Clauses et les dispositions des accords connexes entre les Parties, existant au moment où les présentes Clauses sont convenues ou conclues par la suite, les présentes Clauses prévaudront.
Clause 6 - Description du ou des transfert(s)
Les détails du ou des transfert(s), et en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalité(s) pour lesquelles elles sont transférées, sont spécifiés à l’Annexe I.B.
Clause 7 (Facultatif) - Clause d ’accueil
a) Une entité qui n’est pas une Partie aux présentes Clauses peut, avec l’accord des Parties, adhérer aux présentes Clauses à tout moment, soit en tant qu’exportateur de données, soit en tant qu’importateur de données, en remplissant l’Annexe et en signant l’Annexe I.A.
b) Une fois qu’elle aura rempli l’Annexe et signé l’Annexe I.A, l’entité adhérente deviendra une Partie aux présentes Clauses et aura les droits et obligations d’un exportateur ou importateur de données conformément à sa désignation dans l’Annexe I.A.
c) L’entité adhérente n’aura aucun droit ou obligation découlant des présentes Clauses à compter de la période précédant la date à laquelle elle deviendra une Partie.
SECTION II - OBLIGATIONS DES PARTIES
Clause 8 - Protection des données
L’exportateur de données garantit qu’il a déployé des efforts raisonnables pour déterminer que l’importateur de données est en mesure, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire à ses obligations en vertu des présentes Clauses.
8.1 Instructions
a) L’importateur de données ne traitera les données à caractère personnel que sur instructions documentées de l’exportateur de données. L’exportateur de données peut donner ces instructions pendant toute la durée du contrat.
b) L’importateur de données informera immédiatement l’exportateur de données s’il n’est pas en mesure de suivre ces instructions.
8.2 Limitation de l’objectif
L’importateur de données traitera les données à caractère personnel uniquement pour la ou les finalité(s) spécifiques du transfert, comme indiqué à l’Annexe I.B, sauf sur instructions supplémentaires de l’exportateur de données.
8.3 Transparence
Sur demande, l’exportateur de données mettra gratuitement à la disposition de la personne concernée une copie des présentes Clauses, y compris l’Annexe complétée par les Parties. Dans la mesure nécessaire pour protéger les secrets commerciaux ou autres informations confidentielles, y compris les mesures décrites à l’Annexe II et les données à caractère personnel, l’exportateur de données peut supprimer une partie du texte de l’Annexe aux présentes Clauses avant de partager une copie, mais doit fournir un résumé significatif lorsque la personne concernée ne serait autrement pas en mesure de comprendre son contenu ou d’exercer ses droits. Sur demande, les Parties fourniront à la personne concernée les motifs des modifications, dans la mesure du possible sans révéler les informations expurgées. La présente Clause est sans préjudice des obligations de l’exportateur de données en vertu des Articles 13 et 14 du Règlement (UE) 2016/679.
8.4 Précision
Si l’importateur de données apprend que les données à caractère personnel qu’il a reçues sont inexactes ou sont devenues obsolètes, il en informera l’exportateur de données sans retard injustifié. Dans ce cas, l’importateur de données coopérera avec l’exportateur de données pour effacer ou rectifier les données.
8.5 Durée du traitement et de l’effacement ou de la restitution des données
Le traitement par l’importateur de données n’aura lieu que pendant la durée spécifiée à l’Annexe I.B. Après la fin de la prestation des services de traitement, l’importateur de données devra, au choix de l’exportateur de données, supprimer toutes les données à caractère personnel traitées pour le compte de l’exportateur de données et certifier à l’exportateur de données qu’il l’a fait, ou restituer à l’exportateur de données toutes les données à caractère personnel traitées pour son compte et supprimer les copies existantes. Jusqu’à ce que les données soient supprimées ou retournées, l’importateur de données continuera à assurer le respect des présentes Clauses. En cas de lois locales applicables à l’importateur de données qui interdisent le retour ou la suppression des données à caractère personnel, l’importateur de données garantit qu’il continuera à assurer la conformité aux présentes Clauses et qu’il ne les traitera que dans la mesure et aussi longtemps que l’exige cette loi locale. Cela est sans préjudice de la Clause 14, en particulier de l’obligation pour l’importateur de données en vertu de la Clause 14(e) d’informer l’exportateur de données pendant toute la durée du contrat s’il a des raisons de croire qu’il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences de la Clause 14(a).
8.6 Sécurité du traitement
a) L’importateur de données et, pendant la transmission, l’exportateur de données doivent également mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, y compris la protection contre une violation de la sécurité entraînant une destruction accidentelle ou illégale, une perte, une altération, une divulgation ou un accès non autorisé à ces données (ci-après « violation de données à caractère personnel »). Lors de l’évaluation du niveau de sécurité approprié, les Parties doivent tenir compte de l’état de l’art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalité(s) du traitement et des risques impliqués dans le traitement pour les personnes concernées. Les Parties envisageront notamment d’avoir recours au chiffrement ou à la pseudonymisation, y compris pendant la transmission, lorsque la finalité du traitement peut être remplie de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée spécifique resteront, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données. En respectant ses obligations en vertu du présent paragraphe, l’importateur de données doit au moins mettre en œuvre les mesures techniques et organisationnelles spécifiées à l’Annexe II. L’importateur de données doit effectuer des contrôles réguliers pour s’assurer que ces mesures continuent à fournir un niveau de sécurité approprié.
b) L’importateur de données n’accorde l’accès aux données personnelles aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au surveillance du contrat. Il veillera à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée.
c) En cas de violation de données à caractère personnel concernant les données à caractère personnel traitées par l’importateur de données en vertu des présentes Clauses, l’importateur de données prendra les mesures appropriées pour remédier à la violation, y compris des mesures pour atténuer ses effets indésirables. L’importateur de données doit également informer l’exportateur de données sans retard injustifié après avoir pris connaissance de la violation. Cette notification doit contenir les coordonnées d’un point de contact où plus d’informations peuvent être obtenues, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et de dossiers de données à caractère personnel concernés), ses conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris, le cas échéant, les mesures visant à atténuer ses effets indésirables possibles. Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contiendra les informations alors disponibles et d’autres informations seront ultérieurement fournies, au fur et à mesure qu’elles seront disponibles, sans retard injustifié.
d) L’importateur de données coopérera avec l’exportateur de données et l’assistera pour lui permettre de se conformer à ses obligations en vertu du Règlement (UE) 2016/679, en particulier pour informer l’autorité de contrôle compétente et les personnes concernées affectées, en tenant compte de la nature du traitement et des informations à la disposition de l’importateur de données.
8.7 Données sensibles
Lorsque le transfert implique des données à caractère personnel révélant l’origine raciale ou ethnique, opinions politiques, croyances religieuses ou philosophiques, ou l’appartenance syndicale, les données génétiques, ou des données biométriques dans le but d’identifier de manière unique une personne physique, les données concernant la santé ou la vie sexuelle ou l’orientation sexuelle d’une personne, ou les données relatives aux condamnations pénales et infractions (ci-après « données sensibles »), l’importateur de données doit appliquer les restrictions spécifiques et/ou les garanties supplémentaires décrites à l’Annexe I.B.
8.8 Transferts ultérieurs
L’importateur de données ne divulguera les données à caractère personnel à un tiers que sur instructions documentées de l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne ([i]) (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après « transfert ultérieur ») que si le tiers est ou accepte d’être lié par les présentes Clauses, en vertu du Module approprié, ou si
(i) le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du Règlement (UE) 2016/679 qui couvre le transfert ultérieur ;
(ii) le tiers assure autrement des garanties appropriées en vertu des articles 46 ou 47 du Règlement (UE) 2016/679 concernant le traitement en question ;
(iii) le transfert ultérieur est nécessaire à l’établissement, l’exercice ou la défense de droits en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou
(iv) le transfert ultérieur est nécessaire afin de protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique.
Tout transfert ultérieur est soumis au respect par l’importateur de données de toutes les autres garanties en vertu des présentes Clauses, en particulier la limitation de finalité.
8.9 Documentation et conformité
a) L’importateur de données traitera rapidement et de manière adéquate les demandes de l’exportateur de données relatives au traitement en vertu des présentes Clauses.
b) Les Parties seront en mesure de démontrer le respect des présentes Clauses. En particulier, l’importateur de données doit conserver la documentation appropriée sur les activités de traitement effectuées pour le compte de l’exportateur de données.
c) L’importateur de données mettra à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer la conformité aux obligations énoncées dans les présentes Clauses et, à la demande de l’exportateur de données, permettra et contribuera aux audits des activités de traitement couvertes par les présentes Clauses, à des intervalles raisonnables ou s’il existe des indications de non-conformité. Pour décider d’un examen ou d’un audit, l’exportateur de données peut prendre en compte les certifications pertinentes détenues par l’importateur de données.
d) L’exportateur de données peut choisir de mener l’audit seul ou de mandater un auditeur indépendant. Les audits peuvent inclure des inspections dans les locaux ou les installations physiques de l’importateur de données et doivent, le cas échéant, être effectués avec un préavis raisonnable.
e) Les Parties mettront les informations visées aux paragraphes (b) et (c), y compris les résultats de tout audit, à la disposition de l’autorité de contrôle compétente sur demande.
Clause 9 - Recours à des sous-traitants ultérieurs
a) AUTORISATION PRÉALABLE SPÉCIFIQUE L’importateur de données ne sous-traitera aucune de ses activités de traitement effectuées pour le compte de l’exportateur de données en vertu des présentes Clauses à un sous-traitant ultérieur sans l’autorisation écrite préalable spécifique de l’exportateur de données. L’importateur de données doit soumettre la demande d’autorisation spécifique au moins 3 jours avant l’engagement du sous-traitant ultérieur, ainsi que les informations nécessaires pour permettre à l’exportateur de données de décider de l’autorisation. La liste des sous-traitants déjà autorisés par l’exportateur de données figure en Annexe III. Les Parties maintiendront l’Annexe III à jour.
b) Lorsque l’importateur de données engage un sous-traitant ultérieur pour mener des activités de traitement spécifiques (au nom de l’exportateur de données), il le fera au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations de protection des données que celles qui lient l’importateur de données en vertu des présentes Clauses, y compris en termes de droits de tiers bénéficiaires pour les personnes concernées. ([i]) Les Parties conviennent que, en se conformant à la présente Clause, l’importateur de données remplit ses obligations en vertu de la Clause 8.8. L’importateur de données doit s’assurer que le sous-traitant ultérieur respecte les obligations auxquelles l’importateur de données est soumis conformément aux présentes Clauses.
c) L’importateur de données doit fournir, à la demande de l’exportateur de données, une copie d’un tel accord de sous-traitant ultérieur et de tout amendement ultérieur à l’exportateur de données. Dans la mesure nécessaire pour protéger les secrets commerciaux ou autres informations confidentielles, y compris les données personnelles, l’importateur de données peut supprimer le texte du contrat avant de partager une copie.
d) L’importateur de données demeure entièrement responsable envers l’exportateur de données de l’exécution des obligations du sous-traitant ultérieur en vertu de son contrat avec l’importateur de données. L’importateur de données informera l’exportateur de données de tout manquement du sous-traitant ultérieur à ses obligations en vertu du présent contrat.
e) L’importateur de données convient d’une clause de tiers bénéficiaire avec le sous-traitant ultérieur selon laquelle, dans le cas où l’importateur de données a effectivement disparu, a cessé d’exister en droit ou est devenu insolvable, l’exportateur de données aura le droit de résilier le contrat de sous-traitant ultérieur et d’ordonner au sous-traitant ultérieur d’effacer ou de renvoyer les données à caractère personnel.
Clause 10 - Droits des personnes concernées
a) L’importateur de données doit rapidement informer l’exportateur de données de toute demande qu’il a reçue d’une personne concernée. Il ne répondra pas à cette demande lui-même à moins d’avoir été autorisé à le faire par l’exportateur de données.
b) L’importateur de données aidera l’exportateur de données à remplir ses obligations de répondre aux demandes des personnes concernées pour l’exercice de leurs droits en vertu du Règlement (UE) 2016/679. A cet égard, les Parties exposeront en Annexe II les mesures techniques et organisationnelles appropriées, en tenant compte de la nature du traitement, par lequel l’assistance sera fournie, ainsi que de la portée et de l’étendue de l’assistance requise.
c) Dans l’exécution de ses obligations en vertu des paragraphes (a) et (b), l’importateur de données se conformera aux instructions de l’exportateur de données.
Clause 11 - Réparation
a) L’importateur de données informe les personnes concernées dans un format transparent et facilement accessible, par le biais d’un avis individuel ou sur son site Web, d’un point de contact autorisé à traiter les plaintes. Il traitera rapidement toutes les plaintes qu’il reçoit d’une personne concernée.
b) En cas de litige entre une personne concernée et l’une des Parties concernant le respect des présentes Clauses, cette Partie fera de son mieux pour résoudre le problème à l’amiable en temps opportun. Les Parties se tiendront mutuellement informées de ces litiges et, le cas échéant, coopéreront à leur résolution.
c) Lorsque la personne concernée invoque un droit de tiers bénéficiaire en vertu de la Clause 3, l’importateur de données accepte la décision de la personne concernée de :
(i) déposer une plainte auprès de l’autorité de contrôle dans l’État membre de sa résidence habituelle ou de son lieu de travail, ou de l’autorité de contrôle compétente conformément à la Clause 13 ;
(ii) renvoyer le litige aux tribunaux compétents au sens de la Clause 18.
d) Les Parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l’article 80(1) du Règlement (UE) 2016/679.
e) L’importateur de données doit respecter une décision qui est contraignante en vertu du droit applicable de l’UE ou de l’État membre.
f) L’importateur de données convient que le choix fait par la personne concernée ne portera pas préjudice à ses droits substantiels et procéduraux de demander des recours conformément aux lois applicables.
Clause 12 - Responsabilité
a) Chaque Partie sera responsable envers l’autre Partie de tout dommage qu’elle cause à l’autre Partie par toute violation des présentes Clauses.
b) L’importateur de données sera responsable envers la personne concernée, et la personne concernée sera en droit de recevoir une indemnisation, pour tout dommage matériel ou non matériel que l’importateur de données ou son sous-traitant ultérieur cause à la personne concernée en violant les droits du tiers bénéficiaire en vertu des présentes Clauses.
c) Nonobstant le paragraphe (b), l’exportateur de données sera responsable envers la personne concernée, et la personne concernée sera en droit de recevoir une indemnisation, pour tout dommage matériel ou non matériel que l’exportateur de données ou l’importateur de données (ou son sous-traitant ultérieur) cause à la personne concernée en enfreignant les droits du bénéficiaire tiers en vertu des présentes Clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données et, lorsque l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du traitement, de la responsabilité du responsable du traitement en vertu du Règlement (UE) 2016/679 ou du Règlement (UE) 2018/1725, le cas échéant.
d) Les Parties conviennent que si l’exportateur de données est tenu responsable en vertu du paragraphe (c) des dommages causés par l’importateur de données (ou son sous-traitant ultérieur), il sera en droit de réclamer à l’importateur de données cette partie de l’indemnisation correspondant à la responsabilité de l’importateur de données pour le dommage.
e) Lorsque plus d’une Partie est responsable de tout dommage causé à la personne concernée à la suite d’une violation des présentes Clauses, toutes les Parties responsables seront conjointement et solidairement responsables et la personne concernée est autorisée à intenter une action en justice contre l’une de ces Parties.
f) Les Parties conviennent que si l’une des Parties est tenue responsable en vertu du paragraphe (e), elle sera en droit de réclamer à l’autre Partie cette partie de l’indemnisation correspondant à sa/leur responsabilité pour le dommage.
g) L’importateur de données ne peut invoquer la conduite d’un sous-traitant ultérieur pour éviter sa propre responsabilité.
Clause 13 - Supervision
a) [Lorsque l’exportateur de données est établi dans un État membre de l’UE :] L’autorité de contrôle chargée d’assurer la conformité de l’exportateur de données au Règlement (UE) 2016/679 en ce qui concerne le transfert de données, comme indiqué à l’Annexe I.C, agira en tant qu’autorité de contrôle compétente.
[Lorsque l’exportateur de données n’est pas établi dans un État membre de l’UE, mais entre dans le champ d’application territorial du Règlement (UE) 2016/679 conformément à son Article 3(2) et a nommé un représentant conformément à l’Article 27(1) du Règlement (UE) 2016/679 :] L’autorité de contrôle de l’État membre dans lequel le représentant au sens de l’Article 27(1) du Règlement (UE) 2016/679 est établi, comme indiqué à l’Annexe I.C, agira en tant qu’autorité de contrôle compétente.
[Lorsque l’exportateur de données n’est pas établi dans un État membre de l’UE, mais entre dans le champ d’application territorial du Règlement (UE) 2016/679 conformément à son article 3(2) sans toutefois avoir à nommer un représentant en vertu de l’article 27(2) du Règlement (UE) 2016/679 :] L’autorité de contrôle de l’un des États membres dans lequel les personnes concernées dont les données à caractère personnel sont transférées en vertu des présentes Clauses en relation avec l’offre de biens ou de services à ces personnes, ou dont le comportement est surveillé, sont situés, comme indiqué en Annexe I.C, agira en tant qu’autorité de contrôle compétente.
b) L’importateur de données s’engage à se soumettre à la juridiction de l’autorité de contrôle compétente et à coopérer avec elle dans toute procédure visant à assurer le respect des présentes Clauses. En particulier, l’importateur de données accepte de répondre aux demandes, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, y compris les mesures correctives et compensatoires. Il fournit à l’autorité de contrôle une confirmation écrite que les mesures nécessaires ont été prises.
SECTION III - LOIS ET OBLIGATIONS LOCALES EN CAS D’ACCÈS PAR LES AUTORITÉS PUBLIQUES
Clause 14 - Lois et pratiques locales affectant le respect des Clauses
a) Les Parties garantissent qu’elles n’ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, y compris toute exigence de divulgation de données à caractère personnel ou toute mesure autorisant l’accès par les autorités publiques, empêchent l’importateur de données de remplir ses obligations en vertu des présentes Clauses. Ceci est basé sur la compréhension que les lois et pratiques qui respectent l’essence des droits et libertés fondamentaux et ne dépassent pas ce qui est nécessaire et proportionné dans une société démocratique pour protéger l’un des objectifs énumérés à l’article 23(1) du Règlement (UE) 2016/679, ne sont pas en contradiction avec les présentes Clauses.
b) Les Parties déclarent qu’en fournissant la garantie au paragraphe (a), elles ont tenu compte notamment des éléments suivants :
(i) les circonstances spécifiques du transfert, y compris la longueur de la chaîne de traitement, le nombre d’acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées ; le secteur économique dans lequel le transfert a lieu ; l’emplacement de stockage des données transférées ;
(ii) les autorités ou l’autorisation d’accès par ces autorités – pertinent compte tenu des circonstances spécifiques du transfert, et des limitations et garanties applicables ([i]) ;
(iii) toutes les garanties contractuelles, techniques ou organisationnelles pertinentes mises en place pour compléter les garanties en vertu des présentes Clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.
c) L’importateur de données garantit qu’en effectuant l’évaluation en vertu du paragraphe (b), il a fait de son mieux pour fournir à l’exportateur de données des informations pertinentes et accepte de continuer à coopérer avec l’exportateur de données pour assurer la conformité aux présentes Clauses.
d) Les Parties conviennent de documenter l’évaluation en vertu du paragraphe (b) et de la mettre à la disposition de l’autorité de contrôle compétente sur demande.
e) L’importateur de données accepte d’informer rapidement l’exportateur de données si, après avoir accepté les présentes Clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences du paragraphe (a), y compris à la suite d’un changement dans les lois du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application de ces lois dans la pratique qui n’est pas conforme aux exigences du paragraphe (a).
f) Suite à une notification en vertu du paragraphe (e), ou si l’exportateur de données a autrement des raisons de croire que l’importateur de données ne peut plus remplir ses obligations en vertu des présentes Clauses, l’exportateur de données identifiera rapidement les mesures appropriées (par ex., mesures techniques ou organisationnelles pour assurer la sécurité et la confidentialité) à adopter par l’exportateur de données et/ou l’importateur de données pour traiter la situation. L’exportateur de données suspendra le transfert de données s’il considère qu’aucune protection appropriée pour ce transfert ne peut être assurée, ou si l’autorité de contrôle compétente lui demande de le faire. Dans ce cas, l’exportateur de données aura le droit de résilier le contrat, dans la mesure où il concerne le traitement des données à caractère personnel en vertu des présentes Clauses. Si le contrat implique plus de deux Parties, l’exportateur de données peut exercer ce droit de résiliation uniquement à l’égard de la Partie concernée, sauf accord contraire entre les Parties. Lorsque le contrat est résilié conformément à la présente Clause, les Clauses 16(d) et (e) s’appliqueront.
Clause 15 - Obligations de l’importateur de données en cas d’accès par les autorités publiques
15.1 Notification
a) L’importateur de données accepte d’informer rapidement l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données) s’il :
(i) reçoit une demande juridiquement contraignante d’une autorité publique, y compris les autorités judiciaires, en vertu des lois du pays de destination pour la divulgation des données à caractère personnel transférées en vertu des présentes Clauses ; ladite notification inclura des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie ; ou
(ii) prend connaissance de tout accès direct par les autorités publiques aux données à caractère personnel transférées conformément aux présentes Clauses conformément aux lois du pays de destination ; cette notification inclura toutes les informations à la disposition de l’importateur.
b) Si l’importateur de données s’interdit d’informer l’exportateur de données et/ou la personne concernée en vertu des lois du pays de destination, l’importateur de données accepte de faire de son mieux pour obtenir une renonciation à l’interdiction, en vue de communiquer autant d’informations que possible, dès que possible. L’importateur de données accepte de documenter ses meilleurs efforts afin de pouvoir les démontrer à la demande de l’exportateur de données.
c) Lorsque les lois du pays de destination l’autorisent, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, l’autorité ou les autorités requérantes, si les demandes ont été contestées et l’issue de ces contestations, etc.).
d) L’importateur de données s’engage à préserver les informations conformément aux paragraphes (a) à (c) pendant la durée du contrat et à les mettre à la disposition de l’autorité de contrôle compétente sur demande.
e) Les paragraphes (a) à (c) sont sans préjudice de l’obligation de l’importateur de données en vertu de la Clause 14(e) et de la Clause 16 d’informer rapidement l’exportateur de données lorsqu’il n’est pas en mesure de se conformer aux présentes Clauses.
15.2 Examen de la légalité et minimisation des données
a) L’importateur de données s’engage à examiner la légalité de la demande de divulgation, en particulier si elle reste dans les pouvoirs accordés à l’autorité publique requérante, et à contester la demande si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer que la demande est illégale en vertu des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données doit, dans les mêmes conditions, poursuivre les possibilités d’appel. Lorsqu’il conteste une demande, l’importateur de données doit demander des mesures provisoires en vue de suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente ait décidé de son bien-fondé. Il ne divulguera pas les données à caractère personnel demandées tant que cela n’est pas requis en vertu des règles procédurales applicables. Ces exigences sont sans préjudice des obligations de l’importateur de données en vertu de la Clause 14(e).
b) L’importateur de données accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure autorisée par les lois du pays de destination, de mettre la documentation à la disposition de l’exportateur de données. Il le met également à la disposition de l’autorité de contrôle compétente sur demande.
c) L’importateur de données accepte de fournir la quantité minimale d’informations autorisées lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.
SECTION IV - DISPOSITIONS FINALES
Clause 16 - Non-respect des Clauses et résiliation
a) L’importateur de données informera rapidement l’exportateur de données s’il n’est pas en mesure de se conformer aux présentes Clauses, pour quelque raison que ce soit.
b) Si l’importateur de données enfreint les présentes Clauses ou n’est pas en mesure de se conformer aux présentes Clauses, l’exportateur de données suspendra le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que la conformité soit à nouveau assurée ou que le contrat soit résilié. Ceci est sans préjudice de la Clause 14(f).
c) L’exportateur de données aura le droit de résilier le contrat, dans la mesure où il concerne le traitement des données à caractère personnel en vertu des présentes Clauses, lorsque :
(i) l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données conformément au paragraphe (b) et le respect des présentes Clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois suivant la suspension ;
(ii) l’importateur de données est en violation substantielle ou persistante des présentes Clauses ; ou
(iii) l’importateur de données ne respecte pas une décision contraignante d’un tribunal compétent ou d’une autorité de contrôle concernant ses obligations en vertu des présentes Clauses.
d) Les données à caractère personnel qui ont été transférées avant la résiliation du contrat conformément au paragraphe (c) seront immédiatement restituées à l’exportateur de données ou supprimées dans leur intégralité, au choix de l’exportateur de données. Il en sera de même pour toute copie des données. L’importateur de données certifiera la suppression des données à l’exportateur de données. Jusqu’à ce que les données soient supprimées ou retournées, l’importateur de données continuera à assurer le respect des présentes Clauses. En cas de lois locales applicables à l’importateur de données qui interdisent le retour ou la suppression des données à caractère personnel transférées, l’importateur de données garantit qu’il continuera à assurer la conformité aux présentes Clauses et ne traitera les données que dans la mesure et aussi longtemps que l’exige cette loi locale.
e) Chaque Partie peut révoquer son accord pour être liée par les présentes Clauses lorsque (i) la Commission européenne adopte une décision en vertu de l’article 45(3) du Règlement (UE) 2016/679 qui couvre le transfert des données à caractère personnel auxquelles les présentes Clauses s’appliquent ; ou (ii) le Règlement (UE) 2016/679 fait partie du cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Cela est sans préjudice des autres obligations s’appliquant au traitement en question en vertu du Règlement (UE) 2016/679.
Clause 17 - Droit applicable
Les présentes Clauses seront régies par le droit de l’un des États membres de l’UE, à condition que ce droit autorise les droits des tiers bénéficiaires. Les Parties conviennent que ce sera la loi de la République d’Irlande.
Clause 18 - Choix du forum et de la juridiction
a) Tout litige découlant des présentes Clauses sera résolu par les tribunaux d’un État membre de l’UE.
b) Les Parties conviennent que ce sont les tribunaux de Dublin, en Irlande.
c) Une personne concernée peut également intenter des poursuites judiciaires contre l’exportateur de données et/ou l’importateur de données devant les tribunaux de l’État membre dans lequel elle a sa résidence habituelle.
d) Les Parties conviennent de se soumettre à la compétence de ces tribunaux.
ANNEXE
REMARQUE EXPLICATIVE :
Il doit être possible de distinguer clairement les informations applicables à chaque transfert ou catégorie de transferts et, à cet égard, de déterminer le ou les rôle(s) respectifs des Parties en tant qu’exportateur(s) de données et/ou importateur(s) de données. Cela ne nécessite pas nécessairement de remplir et de signer des annexes distinctes pour chaque transfert/catégorie de transferts et/ou relation contractuelle, lorsque cette transparence peut être obtenue par le biais d’une seule annexe. Cependant, si nécessaire pour garantir une clarté suffisante, des annexes distinctes doivent être utilisées.
ANNEXE I
A. LISTE DES PARTIES
Exportateur(s) de données :
Nom : l’entité indiquée dans une Commande applicable.
Adresse : l’adresse de l’entité indiquée dans une Commande applicable.
Nom, fonction et coordonnées de la personne à contacter : tel qu’indiqué dans une Commande applicable.
Activités pertinentes pour les données transférées en vertu des présentes Clauses : voir Annexe 1.
Importateur(s) de données :
Nom : Claroty Ltd. en son nom et au nom de ses Sociétés affiliées
Adresse : 82 Yigal Alon St, Tel Aviv-Yafo, Israël
Nom, fonction et coordonnées de la personne à contacter : Seth Gerson, Directeur juridique, legal@claroty.com
Activités pertinentes pour les données transférées en vertu des présentes Clauses : activités de traitement décrites dans l’Annexe 1.
Rôle (responsable du traitement/sous-traitant) : Sous-traitant
B. DESCRIPTION DU TRANSFERT
Catégories de personnes concernées dont les données à caractère personnel sont transférées
Veuillez vous reporter à l’Annexe 1
Catégories de données à caractère personnel transférées
Veuillez vous reporter à l’Annexe 1
Les données sensibles transférées (le cas échéant) et les restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques impliqués, comme par exemple la limitation stricte de l’objectif, les restrictions d’accès (y compris l’accès uniquement pour le personnel ayant suivi une formation spécialisée), la tenue d’un registre de l’accès aux données, les restrictions pour les transferts ultérieurs ou les mesures de sécurité supplémentaires.
Veuillez vous reporter à l’Annexe 1
La fréquence du transfert (par ex., si les données sont transférées de manière ponctuelle ou continue).
Veuillez vous reporter à l’Annexe 1
Nature du traitement
Veuillez vous reporter à l’Annexe 1
Finalité(s) du transfert des données et du traitement ultérieur
Veuillez vous reporter à l’Annexe 1
La période pendant laquelle les données à caractère personnel seront conservées, ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période
Veuillez vous reporter à l’Annexe 1
Pour les transferts vers des sous-traitants (sous-)traitants, précisez également l’objet, la nature et la durée du traitement
Veuillez vous reporter à l’Annexe 2 et au DPA.
C. AUTORITÉ DE SURVEILLANCE COMPÉTENTE
Identifier l’autorité de contrôle compétente conformément à la Clause 13.
ANNEXE II
MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS DES MESURES TECHNIQUES ET ORGANISATIONNELLES POUR ASSURER LA SÉCURITÉ DES DONNÉES
REMARQUE EXPLICATIVE :
Les mesures techniques et organisationnelles doivent être décrites dans des termes spécifiques (et non génériques). Voir également le commentaire général en première page de l’Annexe, notamment sur la nécessité d’indiquer clairement quelles mesures s’appliquent à chaque transfert/ensemble de transferts.
Veuillez vous reporter à la documentation de sécurité.
ANNEXE III
LISTE DES SOUS-TRAITANTS
REMARQUE EXPLICATIVE :
La présente Annexe doit être remplie en cas d’autorisation spécifique des sous-traitants ultérieurs (Clause 9(a), Option 1).
Le responsable du traitement a autorisé l’utilisation des sous-traitants ultérieurs suivants : veuillez vous reporter à l’Annexe 2.
[i] Lorsque l’exportateur de données est un sous-traitant soumis au Règlement (UE) 2016/679 agissant au nom d’une institution ou d’un organisme de l’Union en tant que responsable du traitement, le recours aux présentes Clauses lors de l’engagement d’un autre sous-traitant (sous-traitement) non soumis au Règlement (UE) 2016/679 garantit également le respect de l’Article 29(4) du Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions de l’Union, corps, bureaux et agences et sur la libre circulation de ces données, et abrogeant le Règlement (CE) n° 45/2001 et la Décision n° 1247/2002/CE (JO L 295, 21.11.2018, p. 39), dans la mesure où les présentes Clauses et les obligations en matière de protection des données énoncées dans le contrat ou tout autre acte juridique entre le responsable du traitement et le sous-traitant en vertu de l’Article 29(3) du Règlement (UE) 2018/1725 sont alignées. Cela sera notamment le cas lorsque le responsable du traitement et le sous-traitant se fonderont sur les clauses contractuelles types incluses dans la Décision 2021/915.
[i] L’Accord sur l’Espace économique européen (Accord EEE) prévoit l’extension du marché interne de l’Union européenne aux trois États de l’EEE, l’Islande, le Liechtenstein et la Norvège. La législation de l’Union sur la protection des données, y compris le Règlement (UE) 2016/679, est couverte par l’Accord EEE et a été incorporée à l’Annexe XI. Par conséquent, toute divulgation par l’importateur de données à un tiers situé dans l’EEE ne constitue pas un transfert ultérieur aux fins des présentes Clauses.
[i] Cette exigence peut être satisfaite par le sous-traitant ultérieur adhérant aux présentes Clauses en vertu du Module approprié, conformément à la Clause 7.
[i] En ce qui concerne l’impact de ces lois et pratiques sur le respect des présentes Clauses, différents éléments peuvent être considérés dans le cadre d’une évaluation globale. Ces éléments peuvent inclure une expérience pratique pertinente et documentée avec des cas antérieurs de demandes de divulgation des autorités publiques, ou l’absence de telles demandes, couvrant un délai suffisamment représentatif. Il s’agit notamment des dossiers internes ou autres documents, établis en continu conformément à la diligence raisonnable et certifiés au niveau de la direction, à condition que ces informations puissent être légalement partagées avec des tiers. Lorsque cette expérience pratique est invoquée pour conclure que l’importateur de données ne sera pas empêché de se conformer aux présentes Clauses, elle doit être appuyée par d’autres éléments pertinents et objectifs, et il appartient aux Parties d’examiner attentivement si ces éléments ont un poids suffisant, en termes de fiabilité et de représentativité, pour appuyer cette conclusion. En particulier, les Parties doivent prendre en compte si leur expérience pratique est corroborée et non contredite par des informations fiables accessibles au public ou autrement accessibles sur l’existence ou l’absence de demandes au sein du même secteur et/ou l’application de la loi en pratique, telles que la jurisprudence et les rapports d’organismes de surveillance indépendants.
%20%7C%20Claroty&_biz_n=0&rnd=782637&cdn_o=a&_biz_z=1745448128495)
%20%7C%20Claroty&rnd=404905&cdn_o=a&_biz_z=1745448128497)