Addendum relatif au traitement des données (DPA)

Signer la version en ligne

Le présent Avenant au traitement des données (« ATD ») fait partie des conditions d’utilisation de monday.com ou de tout autre accord régissant l’utilisation des services de monday.com (« Accord ») conclu entre vous, le Client (tel que défini dans l’Accord) (collectivement, «  vous », « votre / vos », « Client »), et monday.com Ltd. (« monday.com », « nous », « notre », « nos ») pour refléter l’accord des parties concernant le Traitement des Données Personnelles par monday.com uniquement pour le compte du Client. Les deux parties sont dénommées les « Parties » et chacune, une « Partie ».

Les termes en majuscules non définis aux présentes ont la signification qui leur est attribuée dans l’Accord.

En utilisant le Service, le Client accepte le présent ATD et vous déclarez et garantissez que vous avez toute autorité pour lier le Client au présent ATD. Si vous ne pouvez pas, ou ne souhaitez pas, respecter et être lié par le présent ATD, ou si vous n’avez pas le pouvoir de lier le Client ou toute autre entité, veuillez ne pas nous fournir de Données personnelles.

En cas de conflit entre certaines dispositions du présent ATD et les dispositions de l’Accord, les dispositions du présent ATD prévaudront sur les dispositions conflictuelles de l’Accord uniquement en ce qui concerne le Traitement des Données Personnelles.

DÉFINITIONS

Définitions :

« Société affiliée »

désigne toute entité qui, directement ou indirectement, contrôle, est contrôlée par, ou est sous contrôle commun avec l’entité concernée. « Contrôle », aux fins de la présente définition, signifie la propriété ou le contrôle direct ou indirect de plus de 50 % des intérêts avec droit de vote de l’entité concernée.

« Société affiliée autorisée »

désigne toute Société affiliée du client qui est explicitement autorisée à utiliser le Service conformément à l’Accord conclu entre le Client et monday.com, mais qui n’a pas signé son propre accord avec monday.com et n’est pas un « Client » tel que défini dans l’Accord.

« CCPA »

désigne la loi californienne de 2018 sur la protection de la vie privée des consommateurs (California Consumer Privacy Act), Cal. Civ. Code §§ 1798.100 et. seq.

Les termes « Responsable du traitement », « Personne concernée », « État membre », « Sous-traitant », « Traitement » et « Autorité de contrôle »

ont la même signification que dans le RGPD. Les termes « Entreprise », « Objectif commercial », « Client » et « Fournisseur de services » ont la même signification que dans la CCPA.

Pour des raisons de clarté dans le cadre du présent ATD, le terme « Responsable du traitement »

signifie également « Entreprise », et «Sous-traitant » signifie également « Fournisseur de services ». De la même manière, le Sous-traitant indirect du Sous-traitant fait également référence au concept de Fournisseur de services.

« Lois sur la protection des données »

désigne toutes les lois et réglementations relatives à la confidentialité et à la protection des données, y compris les lois et réglementations de l’Union européenne, de l’Espace économique européen et de leurs États membres, de la Suisse, du Royaume-Uni et des États-Unis d’Amérique, le cas échéant, pour le Traitement des données personnelles en vertu de l’Accord.

« Personne concernée »

désigne la personne identifiée ou identifiable à qui les Données personnelles sont liées.

« RGPD »

désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données).

« Données personnelles » ou « Informations personnelles »

désigne toute information qui identifie, se rapporte à, décrit, est capable d’être associée à, ou pourrait raisonnablement être liée, directement ou indirectement, à, ou avec une personne physique ou un Client identifié ou identifiable (tel que défini dans la CCPA), qui est traitée par monday.com uniquement au nom du Client, en vertu du présent ATD et de l’Accord entre le Client et le Sous-traitant.

« Documentation de sécurité »

désigne la documentation relative à la sécurité applicable au Service acheté par le Client, telle que mise à jour de temps à autre, et accessible via https://monday.com/trustcenter/datasecure/, ou telle qu’autrement rendue raisonnablement disponible par monday.com.

« Sous-traitant indirect »

désigne tout tiers qui traite des Données personnelles conformément à l’instruction ou à la supervision de monday.com.

« Clauses contractuelles types »

désigne les clauses contractuelles types et annexes et annexes connexes disponibles à l’adresse www.monday.com/terms/scc (« monday.com SCC »), ou en ce qui concerne les transferts ultérieurs par le Sous-traitant à un Sous-traitant indirect conformément à la Section C de l’Annexe A de la SCC monday.com, également les clauses contractuelles types pour le transfert de données personnelles aux Sous-traitants ou Sous-traitants indrects établis dans des pays tiers, telles qu’adoptées de temps à autre par la Commission européenne en vertu de la Directive 95/46/CE ou du RGPD, le cas échéant.

TRAITEMENT DES DONNÉES PERSONNELLES

Rôles des Parties.

Les Parties reconnaissent et conviennent qu’en ce qui concerne le traitement des Données personnelles effectué uniquement au nom du Client, (i) le Client est le Responsable du traitement des Données personnelles contenues dans les Données client (telles que définies dans le Contrat), (ii) monday.com est le Sous-traitant des Données à caractère personnel contenues dans les Données client ; (iii) aux fins de la CCPA (et dans la mesure applicable), le Client est l’« Entreprise » et monday.com est le « Fournisseur de services » (tels que définis dans la CCPA), en ce qui concerne le Traitement des Données personnelles décrites dans la présente Section 2,1. Les termes « Responsable du traitement » et « Sous-traitant » ci-dessous signifient respectivement le Client et monday.com.

Traitement des Données personnelles du Client.

Le Client, dans son utilisation du Service, et les instructions du Client au Sous-traitant, doivent se conformer aux lois sur la protection des données. Le Client doit établir et disposer de toutes les bases juridiques requises pour collecter, Traiter et transférer au Sous-traitant les Données personnelles, et pour autoriser le Traitement par le Sous-traitant, ainsi que pour les activités de Traitement du Sous-traitant pour le compte du Client, y compris la poursuite de « fins commerciales » telles que définies dans la CCPA.

Traitement des Données personnelles par le Sous-traitant

Lors du Traitement uniquement pour le compte du Client en vertu de l’Accord, le Sous-traitant traite les Données personnelles aux fins suivantes : (i) le Traitement conformément à l’Accord et au présent DPA ; (ii) le Traitement pour que le Client puisse utiliser le Service ; (iii) le Traitement pour se conformer aux instructions raisonnables et documentées du Client, lorsque ces instructions sont compatibles avec les termes de l’Accord, concernant la manière dont le Traitement doit être exécuté ; (iv) rendre les Données à caractère personnel entièrement anonymes, non identifiables et non personnelles ; (v) le Traitement requis par les lois applicables au Sous-traitant, à condition que le Sous-traitant informe le Client de l’exigence légale avant le Traitement, à moins que cette loi n’interdise une telle information pour des raisons importantes d’intérêt public.

Le Sous-traitant doit informer le Client sans délai excessif si, à l’avis du Sous-traitant, une instruction pour le Traitement des Données personnelles fournies par le Client enfreint les Lois applicables en matière de protection des données. Dans la mesure où le Sous-traitant ne peut pas se conformer à une instruction du Client, le Sous-traitant (i) doit en informer le Client, en fournissant des détails pertinents sur le problème, (ii) le Sous-traitant peut, sans responsabilité envers le Client, cesser temporairement tout Traitement des Données personnelles concernées (autre que le stockage sécurisé de ces données) et/ou suspendre l’accès au Compte, et (iii) si les Parties n’acceptent pas de résoudre le problème en question et les coûts associés, le Client peut, en tant que seul recours, résilier le Contrat et le présent ATD en ce qui concerne le Traitement affecté, et le Client doit payer au Sous-traitant tous les montants dus au Sous-traitant ou à l’échéance avant la date de résiliation. Le Client n’aura aucune autre réclamation à l’encontre du Sous-traitant (y compris, sans limitation, la demande de remboursement du Service) suite à la résiliation du Contrat et de l’ATD comme décrit dans ce paragraphe.

Détails du Traitement.

L’objet du Traitement des Données personnelles par le Sous-traitant est l’exécution du Service conformément au Contrat. La durée du Traitement, la nature et l’objet du Traitement, les types de Données personnelles et les catégories de Personnes concernées traitées en vertu du présent ATD sont également spécifiés à l’Annexe 1 (Détails du Traitement) du présent ATD.

Normes de diligence CCPA ; aucune vente d’Informations personnelles.

Le Sous-traitant reconnaît et confirme qu’il ne reçoit ni ne traite aucune Information personnelle en considération pour les services ou autres éléments fournis par le Sous-traitant au Client en vertu du Contrat. Le Sous-traitant ne peut avoir, tirer ou exercer aucun droit ou avantage concernant les Informations personnelles traitées au nom du Client, et peut utiliser et divulguer des Informations personnelles uniquement aux fins pour lesquelles ces Informations personnelles lui ont été fournies, tel que stipulé dans le Contrat et le présent ATD. Le Sous-traitant certifie qu’il comprend les règles, les exigences et les définitions de la CCPA et accepte de s’abstenir de vendre (tel que ce terme est défini dans la CCPA) toute Information personnelle traitée en vertu des présentes, sans le consentement écrit préalable du Client, et de ne prendre aucune mesure qui ferait en sorte que tout transfert d’Informations personnelles au ou du Sous-traitant en vertu de l’Accord ou du présent ATD soit considéré comme une « vente » de ces Informations personnelles en vertu de la CCPA.

DROITS DES PERSONNES CONCERNÉES

Demandes des personnes concernées.

Le Sous-traitant doit, dans la mesure où cela est légalement autorisé, notifier rapidement le Client ou renvoyer la Personne concernée ou le Client, selon le cas, au Client, si le Sous-traitant reçoit une demande d’une Personne concernée ou d’un Client d’exercer ses droits (dans la mesure où ils sont disponibles en vertu de la loi applicable) d’accès, de rectification, de restriction du Traitement, d’effacement (« droit à l’oubli »), le droit à la portabilité des données, le droit de s’opposer au Traitement, le droit de ne pas faire l’objet d’une prise de décision individuelle automatisée, le droit de refuser la vente de Données personnelles, ou le droit de ne pas faire l’objet de discrimination pour avoir exercé l’un des droits des Clients du CCPA (« Demande de la Personne concernée »). Compte tenu de la nature du Traitement, le Sous-traitant assistera le Client par des mesures techniques et organisationnelles appropriées, dans la mesure où cela est possible et raisonnable, pour l’accomplissement de l’obligation du Client de répondre à une Demande de la Personne concernée en vertu des Lois sur la Protection des Données. Le Sous-traitant peut renvoyer les Demandes des Personnes concernées reçues, et les Personnes concernées qui les formulent, directement au Client pour le traitement de ces demandes.

PERSONNEL DU SOUS-TRAITANT

Confidentialité.

Le sous-traitant doit s’assurer que son personnel engagé dans le Traitement des Données personnelles s’est engagé à respecter la confidentialité.

Divulgations autorisées.

Sans déroger à la Section2.3 ci-dessus et à la Section 5 ci-dessous, le Sous-traitant peut divulguer et traiter les Données personnelles (a) dans la mesure où cela est exigé par un tribunal compétent ou toute autre autorité gouvernementale ou semi-gouvernementale compétente, ou (b) de toute autre manière exigée par les Lois applicables en matière de Protection des Données (dans ce cas, le Sous-traitant informera le Client de l’exigence légale avant la divulgation, à moins qu’il ne soit légalement interdit de le faire), ou (c) sur la base du « besoin de savoir » dans le cadre d’une obligation de confidentialité envers son ou ses conseillers juridiques, son ou ses conseillers en matière de protection des données et son ou ses comptables.

SOUS-TRAITANTS INDIRECTS

Nomination des sous-traitants indirects.

Le Client reconnaît et accepte que (a) les Affiliés du Sous-traitant peuvent être conservés en tant que Sous-traitants indirects ; et (b) le Sous-traitant et les Affiliés du Sous-traitant peuvent chacun engager des Sous-traitants indirects tiers dans le cadre de la prestation du Service.

Liste des Sous-traitants indirects actuels et notification des nouveaux Sous-traitants indirects.

Le Sous-traitant met à la disposition du Client la liste actuelle des Sous-traitants indirects utilisés par le Sous-traitant pour Traiter les Données personnelles via www.monday.com/terms/subprocessors.

Cette liste de Sous-Traitants indirects comprend l’identité de ces Sous-Traitants indirect et le pays de l’entité (« Liste des sous-traitants indirects »). La Liste des Sous-traitants indirects à la date de la première utilisation du Service par le Client est par la présente réputée autorisée, lors de la première utilisation du Service. Le Client peut raisonnablement s’opposer à l’utilisation par le Sous-traitant d’un Sous-traitant indirect existant en fournissant une objection écrite à legal@monday.com. Dans le cas où le Client s’oppose raisonnablement à un Sous-traitant indirect existant, comme autorisé dans les phrases précédentes, le Client peut, comme seul recours, résilier le Contrat applicable et le présent ATD en ce qui concerne uniquement le Service qui ne peut être fourni par le Sous-traitant sans l’utilisation du Sous-traitant indirect faisant l’objet de l’objection, en fournissant une notification écrite au Sous-traitant, à condition que tous les montants dus en vertu du Contrat avant la date de résiliation en ce qui concerne le Traitement en question soient dûment payés au Sous-traitant. Le Client n’aura aucune autre réclamation à l’encontre du Sous-traitant en raison (i) de l’utilisation passée de Sous-traitants indirects approuvés avant la date d’objection ou (ii) de la résiliation du Contrat (y compris, sans limitation, la demande de remboursement) et de l’ATD dans la situation décrite dans ce paragraphe.

Page Web du Sous-traitant accessible via www.monday.com/terms/subprocessors  

offre un mécanisme pour s’abonner aux notifications de nouveaux Sous-traitants indirects utilisés pour traiter des Données personnelles, auxquelles le Client doit s’abonner, et lorsque le Client s’abonne, le Sous-traitant doit envoyer une notification de tout nouveau Sous-traitant indirect ultérieur avant d’autoriser ce(s) nouveau(x) Sous-traitant(s) indirect(s) à traiter des Données personnelles dans le cadre de la prestation du Service.

Droit d’opposition pour les nouveaux Sous-traitants indirects.

Le Client peut raisonnablement s’opposer à l’utilisation par le Sous-traitant d’un nouveau Sous-traitant indirect, pour des raisons liées à la protection des Données Personnelles destinées à être Traitées par ce Sous-traitant indirect, en le notifiant rapidement par écrit au Sous-traitant dans les trois (3) jours ouvrables suivant la réception de la notification du Sous-traitant conformément au mécanisme prévu à la Section 5.2.2. Cette objection écrite doit inclure les raisons de l’objection à l’utilisation par le Sous-traitant de ce nouveau Sous-traitant indirect. Le fait de ne pas s’opposer par écrit à ce nouveau Sous-Traitant indirect dans les trois (3) jours ouvrables suivant la notification du Sous-traitant sera considéré comme une acceptation du nouveau Sous-Traitant indirect. Dans le cas où le Client s’oppose raisonnablement à un nouveau Sous-traitant indirect, comme autorisé dans les phrases précédentes, le Sous-traitant fera des efforts raisonnables pour mettre à la disposition du Client une modification du Service ou recommander une modification commercialement raisonnable de la configuration ou de l’utilisation du Service par le Client afin d’éviter le Traitement des Données Personnelles par le nouveau Sous-traitant indirect auquel il s’oppose, sans imposer une charge déraisonnable au Client. Si le Sous-traitant n’est pas en mesure d’apporter ce changement dans un délai de trente (30) jours, le Client peut, à titre de recours unique, résilier le contrat applicable et le présent ATD en ce qui concerne uniquement le service qui ne peut être fourni par le Sous-traitant sans l’utilisation du nouveau Sous-traitant indirect contesté, en adressant un avis écrit au Sous-traitant. Tous les montants dus en vertu du contrat avant la date de résiliation en ce qui concerne le traitement en question doivent être dûment payés au Sous-traitant. Jusqu’à ce qu’une décision soit prise concernant le nouveau Sous-traitant indirect, le Sous-traitant peut suspendre temporairement le Traitement des Données Personnelles concernées et/ou suspendre l’accès au Compte. Le Client n’aura aucune autre réclamation à l’encontre du Sous-traitant en raison de la résiliation du Contrat (y compris, sans limitation, la demande de remboursements) et/ou de l’ATD dans la situation décrite dans ce paragraphe.

Accords avec les Sous-traitants indirects.

Le Sous-traitant ou une société affiliée du Sous-traitant a conclu un accord écrit avec chaque Sous-traitant indirect contenant des garanties appropriées pour la Protection des Données personnelles. Lorsque le Sous-traitant engage un nouveau Sous-traitant indirect pour la réalisation d’activités de Traitement spécifiques au nom du Client, les mêmes obligations de protection des données ou matériellement similaires que celles définies dans le présent ATD doivent être imposées à ce nouveau Sous-traitant indirect par le biais d’un contrat, en particulier en fournissant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Lorsque le nouveau Sous-traitant indirect ne remplit pas ses obligations en matière de protection des données, le Sous-traitant reste entièrement responsable envers le Client de l’exécution des obligations du nouveau Sous-traitant indirect.

Sécurité

Contrôles pour la Protection des Données personnelles.

Le Sous-traitant maintient des mesures techniques et organisationnelles conformes aux normes industrielles pour la protection des Données personnelles traitées en vertu des présentes (y compris la protection contre le Traitement non autorisé ou illégal et contre la destruction, la perte ou l’altération ou les dommages accidentels ou illégaux, la divulgation non autorisée des Données personnelles ou l’accès à celles-ci), la confidentialité et l’intégrité des Données personnelles, y compris les mesures énoncées dans la Documentation relative à la sécurité, telle qu’elle peut être modifiée de temps à autre. Sur demande raisonnable du Client, le Sous-traitant aidera le Client, aux frais du Client, à assurer le respect des obligations en vertu des articles 32 à 36 du RGPD en tenant compte de la nature du traitement et des informations dont dispose le Sous-traitant des données.

Audits et inspections.

Au cours des 14 jours précédant la demande écrite du Client à intervalles raisonnables (pas plus d’une fois tous les 12 mois), et sous réserve de rigoureuses mesures de confidentialité de la part du Client, le Sous-traitant mettra à la disposition du Client qui n’est pas un concurrent du Sous-traitant (ou à la disposition de l’auditeur tiers, indépendant et fiable du Client, qui n’est pas un concurrent du Sous-traitant et qui n’est pas en conflit avec le Sous-traitant, sous réserve de sa confidentialité et de ses activités non concurrentes) toutes les informations nécessaires pour démontrer le respect du présent ATD et permettre et contribuer à des audits, y compris les inspections, menés par lui (à condition toutefois que ces informations, audits, inspections et résultats y figurent, y compris les documents reflétant le résultat de l’audit et/ou des inspections, ne soient utilisés que par le Client pour évaluer le respect du présent ATD, et ne soient pas utilisés à tout autre fin ou divulgués à des tierces parties sans l’accord préalable écrit du Sous-traitant. À la première demande du Sous-traitant, le Client doit renvoyer tous les dossiers ou documents en sa possession ou sous son contrôle fournis par le Sous-traitant dans le cadre de l’audit et/ou de l’inspection). Le Client est entièrement responsable de la prise en charge de tous les coûts et dépenses découlant de ou liés à la présente Section. Si et dans la mesure où les Clauses contractuelles types s’appliquent, rien dans la présente Section 6.2 ne varie ou ne modifie les Clauses contractuelles types, ni n’affecte les droits d’une autorité de contrôle ou d’une personne concernée par les Clauses contractuelles types.

GESTION ET NOTIFICATION DES INCIDENTS DE DONNÉES

Le Sous-traitant maintient des politiques et procédures de gestion des incidents de sécurité et, dans la mesure où cela est requis par les Lois applicables en matière de Protection des données, il notifie le Client dans les meilleurs délais, après avoir pris connaissance de la destruction, de la perte, de l’altération, de la divulgation non autorisée ou de l’accès accidentel ou illégal à des Données personnelles traitées pour le compte du Client, y compris des Données personnelles transmises, stockées ou autrement traitées par le Sous-traitant ou ses Sous-traitants indirects, dont le Sous-traitant prend connaissance (un « Incident de données »). Le Sous-traitant fera des efforts raisonnables pour identifier la cause d’un tel Incident de données et prendra les mesures qu’il juge nécessaires et raisonnables afin de remédier à la cause d’un tel Incident de données dans la mesure où la remédiation est sous le contrôle raisonnable du Sous-traitant. Les obligations des présentes ne s’appliquent pas aux incidents qui sont causés par le Client ou les utilisateurs du Client. Le Client ne fera pas, ne divulguera pas, ne communiquera pas ou ne publiera pas de constatation, d’admission de responsabilité, de communication, d’avis, de communiqué de presse ou de rapport concernant tout Incident de données qui identifie directement ou indirectement le Sous-traitant (y compris dans toute procédure judiciaire ou dans toute notification aux autorités de réglementation ou de surveillance ou aux personnes concernées) sans l’approbation écrite préalable du Sous-traitant, sauf si, et uniquement dans la mesure où, le Client est contraint de le faire en vertu des Lois applicables sur la Protection des données. Dans ce dernier cas, à moins que la loi ne l’interdise, le Client fournira au Sous-traitant un préavis écrit raisonnable pour lui donner la possibilité de s’opposer à cette divulgation et, dans tous les cas, le Client limitera la divulgation à la portée minimale requise.

RENVOI ET SUPPRESSION DES DONNÉES PERSONNELLES

À la résiliation du Contrat et sous réserve de ce dernier, le Sous-traitant devra, au choix du Client (indiqué par le biais du Service ou par notification écrite au Sous-traitant), supprimer ou renvoyer au Client toutes les Données personnelles qu’il traite uniquement au nom du Client de la manière décrite dans l’Accord, et le Sous-traitant supprimera les copies existantes de ces Données personnelles à moins que les Lois sur la Protection des données n’exigent ou n’autorisent le stockage des Données personnelles. Dans la mesure autorisée ou exigée par la loi applicable, le Sous-traitant peut également conserver une copie des Données personnelles uniquement à des fins de preuve et/ou pour l’établissement, l’exercice ou la défense de réclamations juridiques et/ou pour le respect des obligations légales.

TRANSFERTS TRANSFRONTALIERS DE DONNÉES

Transferts depuis l’EEE, la Suisse et le Royaume-Uni vers des pays offrant un niveau ou une protection adéquats des données appropriés.

Les Données personnelles peuvent être transférées depuis les États membres de l’UE, les trois pays membres de l’EEE (Norvège, Liechtenstein et Islande) (collectivement, « EEE »), la Suisse et le Royaume-Uni (« Royaume-Uni ») vers des pays offrant un niveau adéquat de protection des données en vertu ou conformément aux décisions d’adéquation publiées par les autorités de protection des données pertinentes de l’EEE, de l’Union européenne, des États membres ou de la Commission européenne, ou de la Suisse ou du Royaume-Uni, selon les besoins (« Décisions relatives à l’adéquation »), le cas échéant, sans qu’aucune autre protection ne soit nécessaire.

Transferts vers d’autres pays.

Si le Traitement des Données à caractère personnel par le Sous-traitant comprend des transferts (directement ou par transfert ultérieur) depuis l’EEE, la Suisse et/ou le Royaume-Uni vers d’autres pays qui n’ont pas été soumis à une décision appropriée, et que ces transferts ne sont pas effectués par le biais d’un mécanisme de conformité reconnu alternatif qui peut être adopté par le Sous-traitant pour le transfert légal de données personnelles (telles que définies dans le RGPD) en dehors de l’EEE, de la Suisse ou du Royaume-Uni, le cas échéant, les Clauses contractuelles types s’appliquent.

Lorsque le transfert de Données personnelles est soumis aux Clauses contractuelles types, l’« Importateur de données » est soit le Sous-traitant, soit son Sous-traitant indirect, selon le cas et tel que déterminé par le Sous-traitant, et l’« Exportateur de données » est le Sous-traitant de ces Données personnelles. Si nécessaire, le Sous-traitant s’assurera que son Sous-traitant indirect remplit directement les Clauses contractuelles types avec le Client, et dans ce cas, le Client donne par les présentes au Sous-traitant une instruction et un mandat de signer les Clauses contractuelles types avec ce Sous-traitant indirect en son nom et au nom du Client. Les Clauses contractuelles types ne s’appliqueront pas aux Données personnelles qui concernent des personnes situées en dehors de l’EEE, ou qui ne sont pas transférées, directement ou par transfert ultérieur, en dehors de l’EEE.

SOCIÉTÉS AFFILIÉES AUTORISÉES

Relation contractuelle.

Les Parties reconnaissent et acceptent qu’en exécutant l’ATD, le Client se conforme à l’ATD au nom de lui-même et, le cas échéant, au nom et au nom de ses Affiliés autorisés, auquel cas chaque Affilié autorisé accepte d’être lié par les obligations du Client en vertu du présent ATD, si et dans la mesure où le Client traite des Données personnelles au nom de ces Affiliés autorisés, ce qui les qualifie de « Responsable du traitement ». Tout accès et toute utilisation du Service par des Affiliés autorisés doivent être conformes aux conditions générales de l’Accord et du présent ATD, et toute violation des conditions générales présentes par un Affilié autorisé sera considérée comme une violation par le Client.

Communication

Le Client est tenu de coordonner toute communication avec le Sous-traitant en vertu de l’Accord et du présent ATD et est en droit de faire et de recevoir toute communication relative au présent ATD au nom de ses Sociétés affiliées autorisées.

AUTRES DISPOSITIONS

Évaluation de l’impact sur la Protection des données.

Sur demande raisonnable du Client, le Sous-traitant doit fournir au Client, aux frais du Client, une coopération et une assistance raisonnables nécessaires pour remplir l’obligation du Client en vertu du RGPD (le cas échéant) d’effectuer une évaluation d’impact sur la protection des données liée à l’utilisation du Service par le Client, dans la mesure où le Client n’a pas autrement accès aux informations pertinentes, et dans la mesure où ces informations sont disponibles pour le Sous-traitant. Le Sous-traitant fournit, aux frais du Client, une assistance raisonnable au Client dans le cadre de la coopération ou de la consultation préalable de l’autorité de surveillance dans l’exécution de ses tâches relatives à la présente section 11.1, dans la mesure requise par le RGPD.

Modifications par le client.

Le Client peut, au moins quarante-cinq (45) jours civils avant l’avis écrit envoyé au Sous-traitant, demander par écrit toute modification apportée au présent ATD si elle est requise en raison d’une modification ou d’une décision d’une autorité compétente en vertu de toute Loi sur la Protection des données, pour permettre le traitement des Données personnelles du Client (ou continuer à être effectué) sans violation de cette Loi sur la Protection des données. Suite à cette notification : (a) le Sous-traitant fera des efforts commercialement raisonnables pour s’adapter à la modification demandée par le Client ou que le Sous-traitant estime nécessaire ; et (b) le Client ne refusera pas ou ne retardera pas de manière déraisonnable l’accord sur les modifications consécutives au présent ATD proposées par le Sous-traitant pour protéger le Sous-traitant contre des risques supplémentaires, ou pour indemniser et dédommager le Sous-traitant pour toutes les mesures et coûts supplémentaires associés aux modifications apportées aux présentes à la demande du Client. Les Parties discuteront rapidement des variantes proposées et négocieront en toute bonne foi en vue d’accepter et de mettre en œuvre ces variantes ou d’autres variantes conçues pour répondre aux exigences identifiées dans l’avis du Client dès que cela est raisonnablement possible. Si les Parties ne parviennent pas à un tel accord dans les trente (30) jours suivant cet avis, le Client ou le Sous-traitant peut, par avis écrit à l’autre Partie, avec effet immédiat, résilier l’Accord dans la mesure où il se rapporte au Service qui est affecté par les variantes proposées (ou leur absence). Le Client n’aura aucune autre réclamation à l’encontre du Sous-traitant (y compris, sans limitation, la demande de remboursement du Service) suite à la résiliation de l’Accord et de l’ATD comme décrit dans ce paragraphe.

Modifications par le Sous-traitant.

 Le Sous-traitant peut, moyennant un préavis écrit d’au moins trente (30) jours calendaires adressé au Client, modifier les termes du présent ATD et/ou de toute Clause contractuelle type applicable conformément à la section 9 du présent ATD, dans la mesure où cela est nécessaire pour permettre au Traitement des Données personnelles d’être effectué (ou de continuer à être effectué) sans violation des Lois applicables en matière de Protection des données, ou pour protéger autrement les intérêts du Sous-traitant et/ou du Client, dans chaque cas comme le détermine raisonnablement le Sous-traitant à sa discrétion. La poursuite de l’utilisation du Service par le Client à l’expiration de la période de préavis signifie l’acceptation de ces conditions révisées. Si le Client s’oppose auxdites variations dans le délai de préavis, les Parties discuteront rapidement des variations proposées et négocieront de bonne foi en vue de convenir et de mettre en œuvre ces variations ou des variations alternatives conçues pour répondre aux exigences identifiées dans le préavis du Sous-traitant dès que cela est raisonnablement possible. Si les Parties ne parviennent pas à un tel accord dans les trente (30) jours suivant cet avis, le Client ou le Sous-traitant peut, par avis écrit à l’autre Partie, avec effet immédiat, résilier l’Accord dans la mesure où il se rapporte au Service qui est affecté par les variantes proposées (ou leur absence). Le Client n’aura aucune autre réclamation à l’encontre du Sous-traitant (y compris, sans limitation, la demande de remboursement du Service) suite à la résiliation de l’Accord et de l’ATD comme décrit dans ce paragraphe.

ANNEXE 1 – DÉTAILS DU TRAITEMENT

Nature et finalité du Traitement

1. Fournir le Service au Client ;
2. Exécuter l’Accord, le présent ATD et/ou d’autres contrats exécutés par les Parties ;
3. Agir selon les instructions du Client, lorsque ces instructions sont conformes aux conditions de l’Accord ;
4. Fournir une assistance et une maintenance technique, si convenu dans l’Accord ;
5. Prévenir, atténuer et enquêter sur les risques d’incidents de sécurité des données, de fraude, d’erreur ou de toute activité illégale ou interdite ;
6. Résoudre les litiges ;
7. Appliquer l’Accord, le présent ATD et/ou défendre les droits du Sous-traitant ;
8. Respecter les lois et les réglementations applicables ;
9. Toutes les tâches liées à l’une des actions ci-dessus.

Durée du Traitement

Sous réserve de toute section de l’ATD et/ou de l’Accord traitant de la durée du Traitement et des conséquences de son expiration ou de sa résiliation, le Sous-traitant traitera les Données personnelles conformément à l’ATD et à l’Accord pour la durée de l’Accord, sauf accord contraire écrit.

Type de données personnelles

Le Client peut transmettre des Données personnelles au Service, dont l’étendue est déterminée et contrôlée par le Client à sa seule discrétion.

Catégories de Personnes concernées

Le Client peut soumettre au Service des Données Personnelles qui peuvent inclure, mais ne sont pas limitées à, des Données Personnelles relatives aux catégories suivantes de Personnes Concernées :

• Employés, agents, conseillers, freelances du client (qui sont des personnes physiques)
• Prospects, clients, partenaires commerciaux et vendeurs du Client (qui sont des personnes physiques)
• Employés ou interlocuteurs des prospects, clients, partenaires professionnels et vendeurs du Client
• Toute autre personne tierce avec laquelle le Client décide de communiquer via le Service.

AVERTISSEMENT : Cette version est une traduction de la version originale en anglais et elle est fournie uniquement à des fins de commodité. La version originale anglaise est la version officielle et juridiquement contraignante et c’est elle qui prévaudra en cas de divergence.