Addendum sur le traitement des données

En signant tout accord (le "Accord") pour des produits ou des services (collectivement, les "Services") qui sera fourni par FORWARD THINKING SYSTEMS LLC ("FTS"), vous ("Client) accepte d'être lié par les termes du présent addendum sur le traitement des données (le " présent addendum sur le traitement des données ").DPA"). Le présent DPA reflète l'accord des parties en ce qui concerne le traitement des données à caractère personnel en vertu ou en relation avec l'accord et tout autre accord entre le client et FTS.

Le client conclut le présent DPA en son nom propre et, dans la mesure requise par les lois applicables (telles que définies dans le présent document), au nom et pour le compte de ses affiliés autorisés (tels que définis dans le présent document), si et dans la mesure où FTS traite des données à caractère personnel pour lesquelles ces affiliés autorisés sont considérés comme le responsable du traitement (tel que défini dans le présent document). Aux fins du présent DPA uniquement, et sauf indication contraire, le terme "Client" comprend le Client et les Affiliés autorisés.

Tous les termes en majuscules qui ne sont pas définis dans le présent document ont la signification qui leur est donnée dans l'accord. Les pièces suivantes jointes à ce DPA sont incorporées aux présentes par référence comme si elles y figuraient intégralement : Détails du traitement, joints au présent document en tant qu'annexe A ; CCAP de l'UE, joints au présent document en tant qu'annexe B ; et Liste des sous-traitants secondaires, jointe au présent document en tant qu'annexe C.

1. DÉFINITIONS
   
   "Lois applicables" désigne l'ensemble des lois et règlements, y compris, mais sans s'y limiter, les lois et règlements de l'Union européenne, de l'Espace économique européen et de leurs États membres, du Royaume-Uni et des États-Unis, y compris, mais sans s'y limiter (les "Lois sur la protection des données") : (i) le Règlement général sur la protection des données de l'UE (UE 2016/679) (le " RGPD de l'UE "), son incorporation dans les lois de l'Angleterre et du Pays de Galles, de l'Écosse et de l'Irlande du Nord en vertu de la loi de 2018 sur l'Union européenne (retrait) du Royaume-Uni (le " RGPD du Royaume-Uni ") ; (ii) la loi fédérale suisse sur la protection des données (" LFPD ") ; (iii) les lois fédérales et/ou étatiques des États-Unis sur la protection des données ou de la vie privée, y compris, mais sans s'y limiter, le California Consumer Privacy Act de 2018, tel que modifié par The California Privacy Rights Act de 2020 (avec ses règlements d'application, le "CPRA") ; et/ou (iv) toute autre législation nationale applicable dans l'Espace économique européen ou au Royaume-Uni qui complète le GDPR de l'UE ou le GDPR du Royaume-Uni (le cas échéant), et/ou les lois applicables en matière de confidentialité des données, et/ou de protection des données aux U.S.A., du Canada et du Mexique ; dans chaque cas, telles qu'elles peuvent être modifiées, annulées ou remplacées de temps à autre.
   
   "Affilié désigne toute entité qui, directement ou indirectement, contrôle, est contrôlée par ou est sous contrôle commun avec l'entité concernée. Aux fins de la présente définition, on entend par "contrôle" la propriété ou le contrôle direct ou indirect de plus de 50% des intérêts avec droit de vote de l'entité concernée.
   
   "Affilié autorisé" désigne toute(s) société(s) affiliée(s) du client qui (a) est (sont) soumise(s) aux lois applicables de l'Union européenne, de l'Espace économique européen et/ou de leurs États membres, et/ou du Royaume-Uni, et (b) est (sont) autorisée(s) à utiliser les services conformément à l'accord entre le client et FTS, mais n'a pas signé son propre accord avec FTS et n'est pas un "client" tel que défini dans l'accord.
   
   "Contrôleur" désigne l'entité qui détermine les finalités et les moyens du traitement des données à caractère personnel.
   
   "Données sur les clients désigne toutes les données à caractère personnel soumises aux lois sur la protection des données contenues dans les données d'un client et traitées par FTS pour le compte du client conformément à l'accord.
   
   "Personne concernée désigne la personne identifiée ou identifiable à laquelle se rapportent les données à caractère personnel.
   
   "CCN de l'UE" désigne les Clauses contractuelles types annexées à la décision d'exécution 2021/914 de la Commission de l'UE du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en application du règlement (UE) 2016/679 du Parlement européen et du Conseil.
   
   "Données à caractère personnel désigne toute information concernant (i) une personne physique identifiée ou identifiable et (ii) une entité juridique identifiée ou identifiable (lorsque ces informations sont protégées de la même manière que les données à caractère personnel ou les informations personnellement identifiables en vertu des lois applicables), lorsque pour chacun des points (i) ou (ii), ces données sont des données relatives au client.
   
   "Traitement" désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.
   
   "Processeur" désigne l'entité qui traite les données à caractère personnel pour le compte du contrôleur.
   
   "Sous-processeur désigne toute personne ou tiers désigné par FTS pour traiter les données à caractère personnel au nom de FTS dans le cadre de l'accord.
   
   "Autorité de surveillance" désigne une autorité gouvernementale ou réglementaire chargée d'administrer, de superviser le respect et/ou d'appliquer les lois sur la protection des données.
   
2. TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
   
   1. Rôles des parties. Les parties reconnaissent et conviennent qu'en ce qui concerne le traitement des données à caractère personnel, le client est le contrôleur et FTS le sous-traitant. FTS peut engager des sous-traitants, de temps à autre, conformément aux exigences énoncées dans la section 5 ci-dessous.
   2. Traitement des données personnelles. FTS traitera les données à caractère personnel conformément aux exigences des lois applicables, de l'accord, de toute instruction du client et de la présente DPA. Pour éviter toute ambiguïté, les instructions du client concernant le traitement des données à caractère personnel doivent être conformes aux lois applicables. Le client ne doit pas refuser, retarder ou conditionner de manière déraisonnable son accord à toute modification du présent DPA demandée par FTS afin de s'assurer que les services et FTS (et chaque sous-traitant) peuvent se conformer aux lois applicables. Le client est seul responsable de l'exactitude, de la qualité et de la légalité des données à caractère personnel et des moyens par lesquels il a acquis ces données. FTS n'est pas responsable de l'obtention du consentement, de l'autorisation, de l'approbation ou de l'accord éventuellement requis en vertu des lois applicables ou de la notification concernant les données du client, afin de permettre à FTS de recevoir et de traiter les données du client conformément à l'accord. Lorsque FTS estime qu'une instruction du Client serait en violation d'une Loi Applicable, ou si FTS estime qu'il ne peut plus respecter ses obligations en vertu de l'ACPR, FTS en informera le Client. FTS est en droit de suspecter l'exécution de ses obligations au titre de cette instruction jusqu'à ce que le client confirme ou modifie l'instruction.
   3. Traitement des données personnelles par FTS. FTS ne traitera les données personnelles que dans le but de fournir, de soutenir et d'améliorer les services de FTS (y compris pour effectuer des analyses d'utilisation, fournir des informations et d'autres rapports), et pour le compte et conformément aux instructions documentées du client aux fins suivantes : (i) traitement conformément à l'accord ; (ii) traitement initié par les utilisateurs autorisés dans le cadre de leur utilisation des services ; (iii) traitement pour se conformer à d'autres instructions raisonnables documentées fournies par le client (par ex, par courrier électronique) lorsque ces instructions sont compatibles avec les termes de l'accord ; et (iv) pour se conformer aux lois applicables aux FTS.
   4. Détails du traitement. L'objet du traitement des données à caractère personnel par FTS est l'exécution des services conformément à l'accord. La durée du traitement, la nature et la finalité du traitement, les types de données à caractère personnel et les catégories de personnes concernées traitées en vertu du présent DPA sont précisés dans l'EXHIBIT A du présent DPA. FTS informe par la présente le client que le traitement effectué par la plateforme logicielle de FTS comprendra le stockage de données à caractère personnel et l'analyse de l'utilisation par l'utilisateur. L'accord est modifié pour inclure ce traitement.
      
3. DROITS DES PERSONNES CONCERNÉES
   
   Dans la mesure où cela est légalement et techniquement autorisé, FTS notifiera rapidement le client si FTS reçoit une demande d'une personne concernée en vue d'exercer son droit d'accès, de rectification, de limitation du traitement, d'effacement, de portabilité des données, d'opposition au traitement ou son droit de ne pas faire l'objet d'une décision individuelle automatisée ("demande de la personne concernée"). Compte tenu de la nature du traitement, FTS ne répondra pas directement aux demandes des personnes concernées. FTS déploiera des efforts commercialement raisonnables pour aider le client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, à remplir l'obligation du client de répondre à une demande de la personne concernée en vertu des lois applicables. En outre, FTS fournira, à la demande du client, des efforts commercialement raisonnables pour aider le client à répondre à une telle demande de la personne concernée, dans la mesure où FTS est légalement autorisé à le faire et où la réponse à une telle demande de la personne concernée est requise en vertu des lois applicables. Dans la mesure où la loi l'autorise, le client est responsable de tous les coûts découlant de la fourniture par FTS de l'assistance décrite dans la présente section 3.
   
4. PERSONNEL
   
   1. Confidentialité. FTS veille à ce que son personnel chargé du traitement des données à caractère personnel soit informé de la nature confidentielle des données à caractère personnel, ait reçu une formation appropriée sur ses responsabilités et ait signé des accords de confidentialité écrits.
   2. Fiabilité. FTS prend des mesures commercialement raisonnables pour garantir la fiabilité de tout membre de son personnel participant au traitement des données à caractère personnel.
   3. Limitation de l'accès. FTS veille à ce que l'accès de FTS aux données à caractère personnel soit limité au personnel qui exécute les services conformément à l'accord.
   4. Délégué à la protection des données. FTS ne désigne pas de délégué à la protection des données. Pour toute question relative au traitement des données à caractère personnel, le client peut contacter FTS à l'adresse suivante [email protected].
      
5. SOUS-PROCESSEURS
   
   1. Désignation des sous-traitants. Le client reconnaît et accepte que FTS puisse faire appel à des sous-traitants tiers dans le cadre de la fourniture des services. FTS a conclu ou conclura avec chaque sous-traitant un accord écrit contenant des obligations en matière de protection des données qui ne sont pas moins protectrices que celles prévues dans le présent DPA en ce qui concerne la protection des données du client dans la mesure où elles sont applicables à la nature des services fournis par ledit sous-traitant.
   2. Liste des sous-traitants partiels actuels et notification des nouveaux sous-traitants partiels. La liste actuelle des Sous-traitants pour les Services est jointe en tant qu'EXHIBIT C. FTS notifiera tout nouveau Sous-Traitant avant d'autoriser tout nouveau Sous-Traitant à traiter des Données à caractère personnel dans le cadre de la fourniture des Services applicables. Cette autorisation ne sera pas refusée de manière déraisonnable. La liste des sous-traitants sera mise à jour dans la politique de FTS en matière de protection de la vie privée, qui peut être consultée à l'adresse suivante https://www.ftsgps.com/legal/website-privacy-policy/.
   3. Droit d'opposition pour les nouveaux sous-traitants. Le Client peut s'opposer à l'utilisation par FTS d'un nouveau Sous-Traitant en notifiant rapidement FTS par écrit dans les dix (10) jours ouvrables suivant la réception de la notification de FTS conformément à la section 5.2. L'objection du client doit être formulée par écrit et inclure les raisons spécifiques de l'objection du client et les options d'atténuation, le cas échéant. Si le Client s'oppose à un nouveau Sous-Traitant, FTS fera des efforts raisonnables pour mettre à la disposition du Client une modification des Services ou recommander une modification commercialement raisonnable de la configuration ou de l'utilisation des Services par le Client afin d'éviter le Traitement des Données à caractère personnel par le nouveau Sous-Traitant ayant fait l'objet d'une objection, sans que cela ne constitue une charge déraisonnable pour le Client. Si FTS n'est pas en mesure de proposer une telle modification dans un délai raisonnable, qui ne peut excéder trente (30) jours, le Client peut résilier l'Accord applicable en ce qui concerne uniquement les Services qui ne peuvent être fournis par FTS sans l'utilisation du nouveau Sous-Traitant contesté, en adressant une notification écrite à FTS. FTS remboursera au Client tous les frais prépayés couvrant le reste de la durée de l'Accord après la date effective de résiliation en ce qui concerne les Services résiliés, sans imposer au Client une pénalité pour cette résiliation. Si le client ne s'y oppose pas dans ce délai, le sous-traitant secondaire concerné peut être chargé de traiter les données du client. Lorsqu'il existe une raison importante de s'opposer à un Sous-Traitant et qu'elle est fournie à FTS par écrit, à défaut d'une résolution à l'amiable si chaque partie agit raisonnablement et de bonne foi, les Clients soumis au GDPR de l'UE et du Royaume-Uni peuvent résilier l'Accord en ce qui concerne uniquement les caractéristiques ou les fonctions des Services qui ont été impactées.
   4. Responsabilité. FTS est responsable des actes et omissions de ses sous-traitants ultérieurs dans la même mesure qu'elle le serait si elle fournissait les services de chaque sous-traitant ultérieur directement selon les termes du présent DPA, sauf disposition contraire de l'accord.
      
6. SÉCURITÉ
   
   1. Contrôles pour la protection des données des clients. FTS maintiendra des mesures techniques, administratives et organisationnelles appropriées pour protéger la sécurité (y compris la protection contre le traitement non autorisé ou illégal et contre la destruction accidentelle ou illégale, la perte, l'altération ou les dommages, la divulgation non autorisée des données du client ou l'accès à ces données), la confidentialité et l'intégrité des données du client.
      
7. GESTION ET NOTIFICATION DES INCIDENTS LIÉS AUX DONNÉES DES CLIENTS
   
   FTS informera le client dans les meilleurs délais après avoir pris connaissance de la destruction, de la perte, de l'altération, de la divulgation non autorisée ou de l'accès accidentel ou illicite aux données du client, y compris les données à caractère personnel, transmises, stockées ou traitées d'une autre manière par FTS ou ses sous-traitants (un "sous-traitement"). "Incident concernant les données des clients). FTS s'efforcera raisonnablement d'identifier la cause de l'incident concernant les données du client et prendra les mesures qu'elle jugera nécessaires et raisonnables pour remédier à la cause de l'incident concernant les données du client, dans la mesure où la remédiation est sous le contrôle raisonnable de FTS. Les obligations prévues aux présentes ne s'appliquent pas aux incidents causés par le Client ou les Utilisateurs autorisés du Client.
   
8. OBLIGATIONS DU RESPONSABLE DU TRAITEMENT DES DONNÉES
   
   En tant que responsable du traitement, le client garantit que (i) la législation qui lui est applicable n'empêche pas FTS d'exécuter les instructions reçues du/des contrôleur(s) des données et de remplir les obligations de FTS en vertu du présent DPA et de l'Accord ; et (ii) il s'est conformé et continue de se conformer aux lois applicables, en particulier qu'il a obtenu tous les consentements nécessaires ou donné toutes les notifications nécessaires, et qu'il a par ailleurs un motif légitime de divulguer les données à FTS et de permettre le traitement des données à caractère personnel par FTS comme indiqué dans le présent DPA et comme envisagé par tout accord de services en place entre les parties.
   
   Le client garantit également qu'il tient des registres exacts et à jour de la base juridique du traitement, y compris les flux de consentement pertinents. Si le client se fonde sur l'"intérêt légitime" en vertu de l'article 6, paragraphe 1, point f), du GDPR, il garantit qu'il a mis en balance ses intérêts et les droits fondamentaux de la personne concernée et qu'il conserve des traces de ce processus.
   
   Le client accepte d'indemniser et de dégager de toute responsabilité FTS sur demande, conjointement et solidairement avec tout autre responsable du traitement des données, en cas de réclamations, responsabilités, coûts, dépenses, pertes ou dommages (y compris, mais sans s'y limiter, les pertes indirectes, le manque à gagner et la perte de réputation, ainsi que tous les intérêts, pénalités et frais juridiques et autres frais professionnels) encourus par FTS et chaque autre FTS et résultant directement ou indirectement d'une violation de la présente clause.
   
9. LA RESTITUTION ET LA SUPPRESSION DES DONNÉES DES CLIENTS
   
   FTS restituera les données du client au client et, dans la mesure où les lois applicables le permettent, supprimera les données du client conformément aux politiques et procédures de FTS dans un délai raisonnable après la fin de l'accord.
   
10. AFFILIÉS AUTORISÉS
    
    1. Relation contractuelle. Les parties reconnaissent et conviennent qu'en signant le présent DPA, le client conclut le présent DPA en son nom propre et, le cas échéant, au nom et pour le compte de ses affiliés autorisés, établissant ainsi un DPA distinct entre FTS et chacun de ces affiliés autorisés, soumis aux dispositions du présent DPA. Chaque affilié autorisé accepte d'être lié par les obligations découlant du présent DPA et, le cas échéant, de l'accord. Pour éviter toute ambiguïté, un affilié autorisé n'est pas et ne devient pas partie à l'accord et n'est partie qu'au DPA. Tout accès aux services et toute utilisation de ceux-ci par les affiliés autorisés doivent être conformes aux conditions générales du DPA et du contrat, et toute violation des conditions générales du DPA et du contrat par un affilié autorisé sera considérée comme une violation de la part du client.
       
    2. Avis. Le client qui est la partie contractante à l'accord reste responsable de la coordination de toutes les communications avec FTS dans le cadre du présent DPA et est habilité à faire et à recevoir toute communication relative au présent DPA au nom de ses affiliés autorisés.
       
    3. Droits des affiliés autorisés. Sauf si les lois applicables exigent que l'affilié autorisé exerce un droit ou cherche à obtenir une réparation en vertu du présent DPA contre FTS directement, les parties conviennent que (i) seul le client qui est la partie contractante au contrat exercera un tel droit ou cherchera à obtenir une telle réparation au nom de l'affilié autorisé, et (ii) le client qui est la partie contractante au contrat exercera de tels droits en vertu du présent DPA non pas séparément pour chaque affilié autorisé individuellement, mais de manière combinée pour l'ensemble de ses affiliés autorisés.
       
11. LIMITATIONS DE RESPONSABILITÉ
    
    La responsabilité de chaque partie et de toutes ses sociétés affiliées, prise dans son ensemble, découlant de ou liée à ce DPA et à tous les DPA conclus entre les sociétés affiliées autorisées et FTS, que ce soit dans le cadre d'un contrat, d'un délit ou de toute autre théorie de la responsabilité, est soumise à la section "Limitation de la responsabilité" de l'accord, et toute autre référence dans l'accord limitant la responsabilité de FTS en vertu de l'accord, et toute référence dans l'accord à la responsabilité d'une partie signifie la responsabilité globale de cette partie et de toutes ses sociétés affiliées en vertu de l'accord et de tous les DPA ensemble.
    
    Pour éviter toute ambiguïté, la responsabilité totale de FTS pour toutes les réclamations du client et de tous ses affiliés autorisés découlant de ou liées au contrat et à chaque DPA s'applique globalement à toutes les réclamations au titre du contrat et de tous les DPA établis en vertu du présent DPA, y compris par le client et tous les affiliés autorisés, et, en particulier, ne doit pas être comprise comme s'appliquant individuellement et solidairement au client et/ou à tout affilié autorisé qui est une partie contractuelle à tout DPA de ce type.
    
12. TRANSFERTS DE DONNÉES
    
    1. Transferts. FTS peut transférer les Données du Client vers tout pays ou territoire, dans la mesure où cela est raisonnablement nécessaire pour la fourniture des Produits, conformément au présent Addenda. Dans la mesure où la fourniture de Produits dans le cadre du Contrat implique un transfert de Données Client protégées par les Lois sur la protection des données applicables à l'Union européenne, au Royaume-Uni et/ou à la Suisse, et que ces Données Client sont transférées vers un pays qui n'est pas reconnu par la Commission européenne (ou, dans le cas de transferts à partir de la Suisse, par l'autorité compétente pour la Suisse, et dans le cas de transferts à partir du Royaume-Uni, par l'autorité réglementaire ou l'organisme gouvernemental compétent pour le Royaume-Uni) comme offrant un niveau de protection adéquat en vertu des Lois sur la protection des données applicables, FTS et le Client acceptent de respecter et de traiter les Données Client en conformité avec les mécanismes de transfert spécifiés ci-dessous.
       
    2. Évaluation de l'impact de la protection des données et autorité de contrôle. À la demande du client, FTS fournira au client la coopération et l'assistance raisonnables nécessaires pour remplir l'obligation du client en vertu du GDPR d'effectuer une évaluation de l'impact sur la protection des données liée à l'utilisation des services par le client, dans la mesure où le client n'a pas autrement accès aux informations pertinentes, et dans la mesure où ces informations sont disponibles pour FTS. Le cas échéant et/ou si la loi l'exige, FTS fournira une assistance raisonnable au client dans le cadre de la coopération ou de la consultation préalable avec l'autorité de contrôle dans l'exécution de ses tâches relatives au présent DPA, dans la mesure requise par le GDPR.
       
    3. Mécanisme de transfert pour les transferts de données. Tout transfert de données à caractère personnel en vertu du présent DPA depuis l'Union européenne, l'Espace économique européen et/ou leurs États membres, et le Royaume-Uni vers des pays qui ne garantissent pas un niveau adéquat de protection des données au sens des lois applicables des territoires susmentionnés, sera, dans la mesure où ces transferts sont soumis à ces lois applicables, effectué conformément aux CCAP de l'UE figurant à l'EXPOSÉ B du présent DPA.
       
    4. Registres, informations et audits. FTS (i) conservera, conformément à l'article 30 du GDPR de l'UE, des enregistrements écrits de toutes les catégories d'activités de traitement effectuées pour le compte du client ; et (ii) dans la mesure requise par l'article 28 du GDPR, mettra à la disposition du client ou de l'autorité de surveillance les informations raisonnablement nécessaires pour démontrer que FTS respecte les obligations d'un sous-traitant en vertu du GDPR.
       
       Dans le cas d'une telle demande d'information, d'audit et/ou d'inspection par le client, le client :
       1. notifie à FTS, dans un délai raisonnable, la demande d'informations, l'audit et/ou l'inspection requis par le client ;
          
       2. veille à ce que toutes les informations obtenues ou générées par le client ou son (ses) auditeur(s) dans le cadre de ces demandes d'information, inspections et audits restent strictement confidentielles (sauf en cas de divulgation à l'autorité de surveillance ou si le droit applicable l'exige) ;
          
       3. veille à ce que l'audit ou l'inspection ait lieu pendant les heures normales de travail, en perturbant le moins possible les activités de FTS, les activités des sous-traitants ultérieurs et les activités des autres clients de FTS ;
          
       4. rembourse aux FTS les frais raisonnables qu'ils ont engagés pour contribuer à la fourniture d'informations et pour permettre des inspections et des audits et y contribuer ; et
          
       5. n'entreprend pas plus d'un audit ou d'une inspection de ce type au cours d'une période de douze (12) mois.
          
          Si une autorité de contrôle exige un audit des installations de traitement des données à caractère personnel afin de vérifier ou de contrôler le respect par FTS des lois applicables, FTS coopérera à cet audit.
          
    5. Transferts à partir de l'EEE. En ce qui concerne les transferts de données du client protégées par le GDPR de l'UE, le module deux du CCAP de l'UE joint aux présentes (y compris les annexes jointes) s'applique comme suit (sauf si le client est un sous-traitant, auquel cas le module trois s'applique) :
       
       1. La clause d'amarrage facultatif prévue à la clause 7 des CCN de l'UE ne s'applique pas.
          
       2. Aux fins de la clause 8.1(a) des CSC de l'UE, les éléments suivants sont considérés comme des instructions données par le client à FTS et à ses sous-traitants pour le traitement des données à caractère personnel : (a) traitement conformément à l'accord ; (b) traitement initié par le client dans le cadre de son utilisation des produits ; et (c) traitement pour se conformer à d'autres instructions raisonnables fournies par le client de temps à autre (par exemple, par courrier électronique), lorsque ces instructions sont compatibles avec les termes de l'accord.
          
       3. Le droit d'audit du client en vertu de la clause 8.9 des CCAP de l'UE peut être exercé comme indiqué dans la section 9 du présent addendum.
          
       4. Conformément à la clause 9(a) des CSC de l'UE, les sociétés affiliées de FTS peuvent être retenues comme sous-traitants, et FTS et ses sociétés affiliées respectivement sont généralement autorisées par le client et peuvent engager des sous-traitants tiers dans le cadre de la livraison des produits. FTS mettra à la disposition du Client sa liste de Sous-Traitants alors en vigueur, conformément à la Section 5 du présent Addendum.
          
       5. Conformément à la clause 9(a) des CSC de l'UE, FTS peut engager de nouveaux sous-traitants, comme décrit dans les sections 5.2 du présent addendum. Les parties conviennent que les copies des contrats de sous-traitance que FTS doit fournir au client en vertu de la clause 9(c) du CCAP de l'UE peuvent être préalablement expurgées par FTS de toutes les informations commerciales ou clauses non liées au CCAP de l'UE ou à leur équivalent, et que ces copies ne seront fournies par FTS, d'une manière à déterminer à sa discrétion, qu'à la demande du client. Tous les accords de ce type fournis au client conformément à la section 10.1.1 du présent addendum seront considérés comme des informations confidentielles de FTS.
          
       6. Aux fins des clauses 8.5 et 16(d) des CSC de l'UE, FTS se conformera à ses obligations de renvoyer ou de détruire toutes les données à caractère personnel comme spécifié dans la section 11 du présent addendum.
          
       7. La clause de recours optionnel prévue par la clause 11(a) des CCN de l'UE ne s'appliquera pas.
          
       8. Dans la clause 17, l'option 1 s'appliquera et les CSC de l'UE seront régies par les lois de la République d'Irlande.
          
       9. Dans la clause 18(b), le choix du forum et de la juridiction pour tout litige sera résolu devant les tribunaux de la République d'Irlande.
          
       10. L'annexe I est complétée par les informations figurant à l'annexe I du présent DPA.
           
       11. L'annexe II est complétée par les informations figurant à l'annexe II du présent DPA.
           
       12. L'annexe III est complétée par les informations figurant à l'annexe III du présent DPA.
           
    6. Transferts depuis la Suisse. En ce qui concerne les transferts de données FTS protégées par le DCP suisse, les CCAP de l'UE s'appliquent comme indiqué à la section 12.2 ci-dessus, à l'exception de ce qui suit :
       
       1. l'autorité de contrôle compétente est le Préposé fédéral à la protection des données et à la transparence ;
          
       2. les références à l'"État membre" dans les CSC de l'UE renvoient à la Suisse, et les personnes concernées situées en Suisse peuvent exercer et faire valoir leurs droits au titre des CSC de l'UE en Suisse ; et
          
       3. les références au "règlement général sur la protection des données", au "règlement 2016/679" et au "GDPR" dans les CCN de l'UE renvoient au RGPD suisse (tel que modifié ou remplacé).
          
    7. Transferts depuis le Royaume-Uni. En ce qui concerne les transferts de données FTS protégées par le GDPR britannique, l'addendum britannique aux clauses contractuelles types de l'UE ("addendum britannique") publié par l'Information Commissioner's Office ("ICO") en vertu de l'article 119A(1) de la loi sur la protection des données de 2018 est incorporé par la présente et s'applique comme suit :
       
       1. les CCN de l'UE, complétées comme indiqué à l'article 10.1.1 ci-dessus et jointes aux présentes, s'appliquent également aux transferts de ces données relatives aux clients ;
          
       2. l'addendum britannique est réputé exécuté entre FTS et le client et les CCAP de l'UE sont réputés modifiés comme spécifié par l'addendum britannique en ce qui concerne le transfert de ces données du client ; et
          
       3. l'autorité de contrôle compétente pour ces données FTS protégées par le GDPR britannique sera l'ICO.
          
    8. Si, dans le cadre de l'exécution du présent avenant, FTS transfère des données personnelles à un sous-traitant qui traite des données personnelles en dehors de l'Union européenne, de la Suisse ou du Royaume-Uni, FTS s'assurera, avant un tel transfert, qu'un mécanisme permettant de garantir l'adéquation de ce traitement est en place, tel que : (a) l'obligation pour FTS d'exécuter ou de faire exécuter par un tiers des Clauses contractuelles types ; ou (a) l'obligation pour FTS d'exécuter ou de faire exécuter par le tiers des Clauses contractuelles types ; ou (b) toute autre garantie spécifiquement approuvée pour les transferts de données (telle que reconnue par les Lois sur la protection des données) et/ou une décision d'adéquation de la Commission européenne.
       
    9. Dans la mesure où le mécanisme de transfert utilisé pour les transferts extra-territoriaux de données à caractère personnel d'un Client de l'Union européenne, de la Suisse ou du Royaume-Uni, selon le cas, vers un lieu qui n'est plus considéré comme offrant un niveau de protection adéquat en vertu des lois sur la protection des données applicables, les parties se réuniront rapidement, dans un délai de 60 jours à compter du moment où FTS aura pris connaissance de cette inadéquation, pour discuter et convenir d'un autre mécanisme de transfert ou d'autres mesures complémentaires conformes aux orientations pertinentes fournies en ce qui concerne les lois sur la protection des données, dès que cela sera raisonnablement possible. FTS déploiera des efforts raisonnables pour contrôler l'efficacité de ses mesures complémentaires et pourra procéder à tout changement ou ajustement approprié qu'elle jugera nécessaire (en agissant raisonnablement et de bonne foi).
       
    10. Dans la mesure où les données du client concernent des résidents californiens, FTS est un fournisseur de services, tel que défini par l'ACPR, du client.
        
    11. Dans la mesure où les données des clients concernent des résidents de Californie, FTS ne conservera, n'utilisera, ne vendra, ne partagera ni ne divulguera de quelque manière que ce soit les données des clients (y compris à des fins commerciales ou à d'autres fins en dehors de la relation commerciale directe entre les parties) que dans la mesure où la loi l'autorise ou dans la mesure où cela est nécessaire pour fournir et soutenir les produits, comme indiqué dans l'accord. Aux fins du présent article, les termes "vendre" et "partager" ont la signification qui leur est donnée dans l'ACPR.
        
    12. Dans la mesure où les données du client concernent des résidents californiens, FTS se conformera à toute restriction applicable en vertu de la loi sur la protection des données à caractère personnel concernant la combinaison de ces données du client que FTS reçoit du client ou en son nom avec des données personnelles que FTS reçoit d'une ou plusieurs autres personnes ou en leur nom, ou que FTS recueille dans le cadre d'une interaction entre lui et une personne concernée.
        
    13. Dans la mesure où les données des clients concernent des résidents californiens, FTS se conformera à la CPRA et, compte tenu du rôle de FTS dans le traitement, assurera le niveau de protection des données des clients concernées requis par la CPRA.
        
13. DROIT APPLICABLE
    
    1. Compétence. Sans préjudice des CCAP de l'UE figurant à l'annexe B, les parties au présent DPA se soumettent au choix de la juridiction stipulée dans l'accord en ce qui concerne tout litige ou toute réclamation découlant du présent DPA, y compris les litiges relatifs à son existence, sa validité, sa résiliation ou les conséquences de sa nullité.
       
    2. Clauses contractuelles types. Aucune disposition du présent avenant ne réduit les obligations de FTS en vertu de l'Accord en ce qui concerne la protection des données personnelles ou ne permet à FTS ou à toute société affiliée à FTS de traiter (ou d'autoriser le traitement) des données personnelles d'une manière qui est interdite par l'Accord. L'intention du Client ou de FTS n'est pas de contredire ou de restreindre les dispositions énoncées dans les CSC de l'UE et l'addendum britannique et, par conséquent, si et dans la mesure où les CSC de l'UE et/ou l'addendum britannique entrent en conflit avec les dispositions de l'Accord, les CSC de l'UE et/ou l'addendum britannique prévaudront dans la mesure de ce conflit. Si une nouvelle loi sur la protection des données entre en vigueur et est applicable à FTS, FTS et le client prendront toutes les mesures raisonnables requises par cette loi sur la protection des données pour garantir la capacité des parties à se conformer à leurs obligations respectives en vertu des lois sur la protection des données applicables.
       
    3. Conflits avec le présent addendum. Sous réserve de la section 13.2, en ce qui concerne l'objet du présent addenda, en cas d'incohérence entre les dispositions du présent addenda et tout autre accord entre les parties, y compris l'accord et (sauf accord contraire explicite par écrit, signé au nom des parties) les accords conclus ou censés être conclus après la date du présent addenda, les dispositions du présent addenda prévalent.
       
14. EFFET JURIDIQUE
    
    Le présent DPA ne devient juridiquement contraignant entre le client et FTS qu'au moment de la signature de l'accord par le client.
    
15. SEVERANCE
    
    Si l'une des dispositions du présent DPA est invalide ou inapplicable, le reste du DPA reste valide et en vigueur. La disposition invalide ou inapplicable sera soit (1) modifiée si nécessaire pour garantir sa validité et son applicabilité, tout en préservant au mieux les intentions des parties, soit, si cela n'est pas possible, (2) construite comme si la partie invalide ou inapplicable n'avait jamais été contenue dans le DPA.
    
16. CHANGEMENTS
    
    Si FTS émet une notification en vertu du présent DPA ou de l'accord, les parties discutent rapidement des modifications proposées et négocient de bonne foi en vue de convenir et de mettre en œuvre ces modifications ou d'autres modifications destinées à répondre aux exigences identifiées dans la notification de FTS dès que cela est raisonnablement possible.
    
17. TERME
    
    La présente DPA restera en vigueur tant que FTS effectuera des opérations de traitement de données à caractère personnel pour le compte du client ou jusqu'à la résiliation de l'accord (et que toutes les données à caractère personnel auront été renvoyées ou supprimées conformément à la DPA).

Dernière modification le 31 juillet 2024

ANNEXE A - DETAILS DU TRAITEMENT

Nature et finalité du traitement

FTS traitera les données à caractère personnel dans la mesure où cela est nécessaire pour fournir les services conformément à l'accord et selon les instructions données par le client dans le cadre de son utilisation des services. Le traitement comprendra le stockage des données et l'analyse de l'utilisation par les utilisateurs de la nouvelle plateforme.

Durée du traitement

Sous réserve des dispositions du DPA, FTS traitera les données à caractère personnel pendant la durée de l'accord, sauf accord écrit contraire.

Catégories de personnes concernées

Le client peut soumettre aux services des données à caractère personnel, dont l'étendue est déterminée et contrôlée par le client à sa seule discrétion, et qui peuvent inclure, sans s'y limiter, des données à caractère personnel relatives aux catégories suivantes de personnes concernées :

• les prospects, les clients, les partenaires commerciaux et les vendeurs du client (qui sont des personnes physiques)
• les employés ou les personnes de contact des prospects, des clients, des partenaires commerciaux et des vendeurs du client
• les employés, les agents, les contractants, les conseillers et les indépendants du client (qui sont des personnes physiques)
• l'utilisateur final du client autorisé par ce dernier à utiliser les services

Type de données à caractère personnel

Le client peut soumettre aux services des données à caractère personnel, dont l'étendue est déterminée et contrôlée par le client à sa seule discrétion, et qui peuvent inclure, sans s'y limiter, les catégories de données à caractère personnel suivantes :

• Nom et prénom
• Titre
• Position
• Employeur
• Informations sur les contacts
• Informations sur le compte
• Informations sur l'appareil
• Données relatives à la vie privée
• Date de la vie professionnelle
• Informations sur l'utilisation et les préférences
• Données de géolocalisation
• Données de connexion
• Informations sur le conducteur et le véhicule

ANNEXE B - CCS DE L'UE

Objectif et champ d'application

1. Les présentes clauses contractuelles types ont pour objet d'assurer le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données ou " RGPD ")(1) pour le transfert de données à caractère personnel vers un pays tiers.
2. Les parties :
   1. la/les personne(s) physique(s) ou morale(s), autorité(s) publique(s), agence(s) ou autre(s) organisme(s) (ci-après "entité(s)") qui transfère(nt) les données à caractère personnel, telles qu'elles sont énumérées à l'annexe I.A (ci-après chaque "exportateur de données"), et
   2. l'entité/les entités d'un pays tiers recevant les données à caractère personnel de l'exportateur de données, directement ou indirectement par l'intermédiaire d'une autre entité également partie aux présentes clauses, dont la liste figure à l'annexe I.A (ci-après chaque "importateur de données"), a/ont accepté les présentes clauses contractuelles types (ci-après les "clauses").
3. Les présentes clauses s'appliquent au transfert de données à caractère personnel tel que spécifié à l'annexe I.B.
4. L'appendice aux présentes clauses contenant les annexes qui y sont mentionnées fait partie intégrante des présentes clauses.

Article 2

Effet et invariabilité des clauses

1. Les présentes Clauses énoncent des garanties appropriées, y compris des droits opposables aux personnes concernées et des voies de recours effectives, conformément à l'article 46, paragraphe 1, et à l'article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des responsables du traitement vers les sous-traitants, des clauses contractuelles types conformément à l'article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu'elles ne soient pas modifiées, sauf pour sélectionner le(s) module(s) approprié(s) ou pour ajouter ou mettre à jour des informations dans l'appendice. Cela n'empêche pas les parties d'inclure les clauses contractuelles types établies dans les présentes Clauses dans un contrat plus large et/ou d'ajouter d'autres clauses ou garanties supplémentaires, à condition qu'elles ne contredisent pas, directement ou indirectement, les présentes Clauses ou qu'elles ne portent pas atteinte aux libertés ou droits fondamentaux des personnes concernées.
2. ) Les présentes clauses sont sans préjudice des obligations auxquelles l'exportateur de données est soumis en vertu du règlement (UE) 2016/679.

Article 3

Bénéficiaires tiers

1. Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, à l'encontre de l'exportateur et/ou de l'importateur de données, sous réserve des exceptions suivantes :
   1. Clause 1, clause 2, clause 3, clause 6, clause 7 ;
   2. Clause 8.1(b), 8.9(a), (c), (d) et (e) ;
   3. Article 9, points a), c), d) et e) ;
   4. Article 12, points a), d) et f) ;
   5. Article 13 ; (vi) Article 15.1 (c), (d) et (e) ;
   6. Article 16(e) ;
   7. Article 18, points a) et b).
2. Le paragraphe a) est sans préjudice des droits des personnes concernées en vertu du règlement (UE) 2016/679.

Article 4

Interprétation

1. Lorsque les présentes clauses utilisent des termes qui sont définis dans le règlement (UE) 2016/679, ces termes ont la même signification que dans ledit règlement.
2. Les présentes clauses doivent être lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.
3. Les présentes clauses ne doivent pas être interprétées d'une manière qui entre en conflit avec les droits et obligations prévus par le règlement (UE) 2016/679.

Article 5

Hiérarchie
En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties, existant au moment où les présentes clauses sont convenues ou conclues par la suite, les présentes clauses prévalent.

Article 6

Description du (des) transfert(s)
Les détails du ou des transferts, et en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles sont transférées, sont précisés à l'annexe I.B.

Clause 7 - Omission intentionnelle

SECTION II - OBLIGATIONS DES PARTIES

Article 8

Garanties en matière de protection des données
L'exportateur de données garantit qu'il a déployé des efforts raisonnables pour déterminer que l'importateur de données est en mesure, grâce à la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses.

8. 1. Instructions
      1. L'importateur de données ne traite les données à caractère personnel que sur instruction documentée de l'exportateur de données. L'exportateur de données peut donner de telles instructions pendant toute la durée du contrat.
      2. L'importateur de données informe immédiatement l'exportateur de données s'il n'est pas en mesure de suivre ces instructions.
         
   2. Limitation de l'objet
      L'importateur de données ne traite les données à caractère personnel qu'aux fins spécifiques du transfert, telles qu'indiquées à l'annexe I.B, à moins que l'exportateur de données ne lui donne d'autres instructions.
      
   3. Transparence
      Sur demande, l'exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, y compris l'appendice tel qu'il a été complété par les parties. Dans la mesure nécessaire pour protéger les secrets d'affaires ou d'autres informations confidentielles, y compris les mesures décrites à l'annexe II et les données à caractère personnel, l'exportateur de données peut expurger une partie du texte de l'appendice des présentes clauses avant d'en partager une copie, mais il doit fournir un résumé significatif lorsque la personne concernée ne serait autrement pas en mesure d'en comprendre le contenu ou d'exercer ses droits. Sur demande, les parties fournissent à la personne concernée les raisons des expurgations, dans la mesure du possible sans révéler les informations expurgées. La présente clause est sans préjudice des obligations de l'exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.
      
   4. Précision
      Si l'importateur de données se rend compte que les données à caractère personnel qu'il a reçues sont inexactes ou périmées, il en informe l'exportateur de données dans les meilleurs délais. Dans ce cas, l'importateur de données coopère avec l'exportateur de données pour effacer ou rectifier les données.
      
   5. Durée du traitement et effacement ou restitution des données
      Le traitement par l'importateur de données n'a lieu que pour la durée spécifiée à l'annexe I.B. Après la fin de la prestation des services de traitement, l'importateur de données, au choix de l'exportateur de données, supprime toutes les données à caractère personnel traitées pour le compte de l'exportateur de données et certifie à ce dernier qu'il l'a fait, ou renvoie à l'exportateur de données toutes les données à caractère personnel traitées pour son compte et supprime les copies existantes. Jusqu'à ce que les données soient supprimées ou renvoyées, l'importateur de données continue de veiller au respect des présentes clauses. Si les lois locales applicables à l'importateur de données interdisent la restitution ou la suppression des données à caractère personnel, l'importateur de données garantit qu'il continuera à assurer le respect des présentes clauses et qu'il ne les traitera que dans la mesure et pour la durée requises par ces lois locales. Ceci est sans préjudice de la clause 14, en particulier de l'obligation faite à l'importateur de données en vertu de la clause 14(e) d'informer l'exportateur de données pendant toute la durée du contrat s'il a des raisons de croire qu'il est ou est devenu soumis à des lois ou des pratiques non conformes aux exigences de la clause 14(a).
      
   6. Sécurité du traitement
      1. L'importateur de données et, lors de la transmission, également l'exportateur de données, mettent en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, y compris la protection contre une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation non autorisée de ces données ou l'accès non autorisé à celles-ci (ci-après dénommée "violation de données à caractère personnel"). Pour évaluer le niveau de sécurité approprié, les parties tiennent dûment compte de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la (des) finalité(s) du traitement, ainsi que des risques que celui-ci comporte pour les personnes concernées. Les parties envisagent en particulier de recourir au cryptage ou à la pseudonymisation, y compris pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d'attribuer les données à caractère personnel à une personne concernée spécifique restent, dans la mesure du possible, sous le contrôle exclusif de l'exportateur de données. Pour se conformer aux obligations qui lui incombent en vertu du présent paragraphe, l'importateur de données met au moins en œuvre les mesures techniques et organisationnelles spécifiées à l'annexe II. L'importateur de données effectue des contrôles réguliers pour s'assurer que ces mesures continuent d'offrir un niveau de sécurité approprié.
      2. L'importateur de données n'accorde l'accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
      3. En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l'importateur de données en vertu des présentes clauses, l'importateur de données prend les mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L'importateur de données notifie également l'exportateur de données dans un délai raisonnable après avoir pris connaissance de la violation. Cette notification contient les coordonnées d'un point de contact où de plus amples informations peuvent être obtenues, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et de dossiers de données à caractère personnel concernés), ses conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris, le cas échéant, les mesures visant à en atténuer les éventuels effets néfastes. Lorsqu'il n'est pas possible de fournir toutes les informations en même temps, et dans la mesure où il n'est pas possible de le faire, la notification initiale contient les informations disponibles à ce moment-là et des informations supplémentaires sont fournies ultérieurement, au fur et à mesure qu'elles sont disponibles, sans retard injustifié.
      4. L'importateur de données coopère avec l'exportateur de données et l'aide à respecter ses obligations au titre du règlement (UE) 2016/679, notamment pour notifier l'autorité de contrôle compétente et les personnes concernées, en tenant compte de la nature du traitement et des informations dont dispose l'importateur de données.
   7. Données sensibles
      Lorsque le transfert porte sur des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale, des données génétiques ou des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou la vie sexuelle ou l'orientation sexuelle d'une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après dénommées "données sensibles"), l'importateur de données applique les restrictions spécifiques et/ou les garanties supplémentaires décrites à l'annexe I, point B.
      
   8. Transferts ultérieurs
      L'importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées de l'exportateur de données. En outre, les données ne peuvent être communiquées à un tiers situé en dehors de l'Union européenne(2) (dans le même pays que l'importateur de données ou dans un autre pays tiers, ci-après dénommé "transfert ultérieur") que si le tiers est ou accepte d'être lié par les présentes Clauses, en vertu du Module approprié, ou si :
      1. le transfert ultérieur se fait vers un pays bénéficiant d'une décision d'adéquation en vertu de l'article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur ;
      2. le tiers assure par ailleurs des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question ;
      3. le transfert ultérieur est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou
      4. le transfert ultérieur est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique.
         Tout transfert ultérieur est subordonné au respect par l'importateur de données de toutes les autres garanties prévues par les présentes clauses, en particulier la limitation de la finalité.
   9. Documentation et conformité
      1. L'importateur de données traite rapidement et de manière adéquate les demandes de l'exportateur de données relatives au traitement prévu par les présentes clauses.
      2. Les parties doivent être en mesure de démontrer qu'elles respectent les présentes clauses. En particulier, l'importateur de données conserve une documentation appropriée sur les activités de traitement effectuées pour le compte de l'exportateur de données.
      3. L'importateur de données met à la disposition de l'exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses et, à la demande de l'exportateur de données, autorise et contribue à des audits des activités de traitement couvertes par les présentes clauses, à des intervalles raisonnables ou s'il existe des indices de non-respect. Lorsqu'il décide d'un examen ou d'un audit, l'exportateur de données peut tenir compte des certifications pertinentes détenues par l'importateur de données.
      4. L'exportateur de données peut choisir d'effectuer l'audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent comprendre des inspections dans les locaux ou les installations physiques de l'importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.
      5. Les parties mettent les informations visées aux paragraphes b) et c), y compris les résultats de tout audit, à la disposition de l'autorité de surveillance compétente qui en fait la demande.

Article 9

Utilisation de sous-traitants

1. L'importateur de données dispose de l'autorisation générale de l'exportateur de données pour l'engagement de sous-traitants secondaires figurant sur une liste convenue. L'importateur de données informe spécifiquement l'exportateur de données par écrit de toute modification envisagée de cette liste par l'ajout ou le remplacement de sous-traitants ultérieurs au moins dix jours civils à l'avance, ce qui donne à l'exportateur de données suffisamment de temps pour pouvoir s'opposer à ces modifications avant l'engagement du ou des sous-traitants ultérieurs. L'importateur de données fournit à l'exportateur de données les informations nécessaires pour permettre à ce dernier d'exercer son droit d'opposition.
2. Lorsque l'importateur de données engage un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques (pour le compte de l'exportateur de données), il le fait par le biais d'un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l'importateur de données en vertu des présentes clauses, y compris en termes de droits des tiers bénéficiaires pour les personnes concernées. Les parties conviennent qu'en se conformant à la présente clause, l'importateur de données remplit ses obligations au titre de la clause 8.8. L'importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles l'importateur de données est soumis en vertu des présentes clauses.
3. L'importateur de données fournit, à la demande de l'exportateur de données, une copie de cet accord de sous-traitance et de tout amendement ultérieur à l'exportateur de données. Dans la mesure où cela est nécessaire pour protéger des secrets d'affaires ou d'autres informations confidentielles, y compris des données à caractère personnel, l'importateur de données peut expurger le texte de l'accord avant d'en communiquer une copie.
4. L'importateur de données reste pleinement responsable vis-à-vis de l'exportateur de données de l'exécution des obligations du sous-traitant ultérieur en vertu de son contrat avec l'importateur de données. L'importateur de données notifie à l'exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu de ce contrat.
5. L'importateur de données convient avec le sous-traitant ultérieur d'une clause de tiers bénéficiaire en vertu de laquelle - dans le cas où l'importateur de données a effectivement disparu, a cessé d'exister en droit ou est devenu insolvable - l'exportateur de données a le droit de résilier le contrat de sous-traitance ultérieur et d'ordonner au sous-traitant ultérieur d'effacer ou de restituer les données à caractère personnel.

Article 10

Droits des personnes concernées

1. L'importateur de données notifie sans délai à l'exportateur de données toute demande qu'il a reçue d'une personne concernée. Il ne répond pas lui-même à cette demande, sauf s'il a été autorisé à le faire par l'exportateur de données.
2. L'importateur de données aide l'exportateur de données à s'acquitter de ses obligations de répondre aux demandes des personnes concernées concernant l'exercice de leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les parties définissent à l'annexe II les mesures techniques et organisationnelles appropriées, en tenant compte de la nature du traitement, par lesquelles l'assistance doit être fournie, ainsi que la portée et l'étendue de l'assistance requise.
3. En remplissant ses obligations au titre des paragraphes a) et b), l'importateur de données se conforme aux instructions de l'exportateur de données.

Article 11

Recours

1. L'importateur de données informe les personnes concernées, dans un format transparent et aisément accessible, par le biais d'une notification individuelle ou sur son site web, de l'existence d'un point de contact habilité à traiter les réclamations. Il traite rapidement toute réclamation qu'il reçoit d'une personne concernée.
2. En cas de litige entre une personne concernée et l'une des parties en ce qui concerne le respect des présentes clauses, cette partie met tout en œuvre pour résoudre le problème à l'amiable en temps utile. Les parties se tiennent mutuellement informées de ces litiges et, le cas échéant, coopèrent pour les résoudre.
3. Lorsque la personne concernée invoque un droit de tiers bénéficiaire en vertu de la clause 3, l'importateur de données accepte la décision de la personne concernée :
   1. déposer une plainte auprès de l'autorité de contrôle de l'État membre de sa résidence habituelle ou de son lieu de travail, ou auprès de l'autorité de contrôle compétente en vertu de la clause 13 ;
   2. porter le litige devant les tribunaux compétents au sens de la clause 18.
4. Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions prévues à l'article 80, paragraphe 1, du règlement (UE) 2016/679.
5. L'importateur de données doit se conformer à une décision contraignante en vertu du droit de l'UE ou de l'État membre applicable.
6. L'importateur de données convient que le choix effectué par la personne concernée ne portera pas atteinte à ses droits substantiels et procéduraux de demander réparation conformément aux lois applicables.

Article 12

Responsabilité

1. Chaque partie est responsable à l'égard de l'autre ou des autres parties de tout dommage causé à l'autre ou aux autres parties en raison d'une violation des présentes clauses.
2. L'importateur de données est responsable envers la personne concernée, et la personne concernée a le droit d'être indemnisée, pour tout dommage matériel ou moral que l'importateur de données ou son sous-traitant secondaire cause à la personne concernée en violant les droits des tiers bénéficiaires en vertu des présentes clauses.
3. Nonobstant le paragraphe b), l'exportateur de données est responsable envers la personne concernée, et la personne concernée a le droit de recevoir une indemnisation, pour tout dommage matériel ou moral que l'exportateur de données ou l'importateur de données (ou son sous-traitant) cause à la personne concernée en violant les droits du tiers bénéficiaire en vertu des présentes Clauses. Ceci est sans préjudice de la responsabilité de l'exportateur de données et, lorsque l'exportateur de données est un sous-traitant agissant pour le compte d'un responsable du traitement, de la responsabilité du responsable du traitement en vertu du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas.
4. Les parties conviennent que si l'exportateur de données est tenu responsable, en vertu du paragraphe c), des dommages causés par l'importateur de données (ou son sous-traitant), il a le droit de réclamer à l'importateur de données la partie de l'indemnisation correspondant à la responsabilité de l'importateur de données dans le dommage.
5. Lorsque plusieurs parties sont responsables de tout dommage causé à la personne concernée du fait d'une violation des présentes clauses, toutes les parties responsables sont conjointement et solidairement responsables et la personne concernée a le droit d'intenter une action en justice contre l'une quelconque de ces parties.
6. Les parties conviennent que si l'une d'entre elles est tenue pour responsable en vertu du paragraphe (e), elle est en droit de réclamer à l'autre (aux autres) partie(s) la part de l'indemnisation correspondant à sa (leur) responsabilité dans le dommage.
7. L'importateur de données ne peut pas invoquer le comportement d'un sous-traitant ultérieur pour se soustraire à sa propre responsabilité.

Article 13

Supervision

1. Lorsque l'exportateur de données est établi dans un État membre de l'UE : L'autorité de contrôle chargée de veiller au respect par l'exportateur de données du règlement (UE) 2016/679 en ce qui concerne le transfert de données, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente. Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, et a désigné un représentant conformément à l'article 27, paragraphe 1, du règlement (UE) 2016/679 : L'autorité de contrôle de l'État membre dans lequel le représentant au sens de l'article 27, paragraphe 1, du règlement (UE) 2016/679 est établi, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente.
   Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, sans toutefois devoir désigner un représentant conformément à l'article 27, paragraphe 2, du règlement (UE) 2016/679 : L'autorité de contrôle de l'un des États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont transférées en vertu des présentes clauses en relation avec l'offre de biens ou de services qui leur est faite, ou dont le comportement est suivi, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente.
2. L'importateur de données accepte de se soumettre à la juridiction de l'autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à assurer le respect des présentes clauses. En particulier, l'importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l'autorité de contrôle, y compris les mesures correctives et compensatoires. Il fournit à l'autorité de contrôle la confirmation écrite que les mesures nécessaires ont été prises.

SECTION III - LOIS ET OBLIGATIONS LOCALES EN CAS D'ACCÈS PAR LES AUTORITÉS PUBLIQUES

Article 14

Lois et pratiques locales affectant le respect des clauses

1. Les parties garantissent qu'elles n'ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l'importateur de données, y compris toute obligation de divulguer des données à caractère personnel ou toute mesure autorisant l'accès des autorités publiques, empêchent l'importateur de données de remplir les obligations qui lui incombent en vertu des présentes clauses. Il est entendu que les lois et pratiques qui respectent l'essence des droits et libertés fondamentaux et n'excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l'un des objectifs énumérés à l'article 23, paragraphe 1, du règlement (UE) 2016/679, ne sont pas en contradiction avec les présentes clauses.
2. Les parties déclarent qu'en fournissant la garantie visée au paragraphe (a), elles ont tenu dûment compte, en particulier, des éléments suivants :
   1. les circonstances spécifiques du transfert, y compris la longueur de la chaîne de traitement, le nombre d'acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées ;
   2. les lois et pratiques du pays tiers de destination - y compris celles exigeant la divulgation de données aux autorités publiques ou autorisant l'accès de ces autorités - pertinentes à la lumière des circonstances particulières du transfert, ainsi que les limitations et garanties applicables(3) ;
   3. toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées lors de la transmission et du traitement des données à caractère personnel dans le pays de destination.
3. L'importateur de données garantit que, dans le cadre de l'évaluation visée au point b), il s'est efforcé de fournir à l'exportateur de données les informations pertinentes et convient qu'il continuera à coopérer avec l'exportateur de données pour assurer le respect des présentes clauses.
4. Les parties conviennent de documenter l'évaluation visée au point b) et de la mettre à la disposition de l'autorité de surveillance compétente sur demande.
5. L'importateur de données accepte de notifier rapidement à l'exportateur de données si, après avoir accepté les présentes clauses et pendant la durée du contrat, il a des raisons de croire qu'il est ou est devenu soumis à des lois ou à des pratiques non conformes aux exigences du paragraphe a), y compris à la suite d'une modification des lois du pays tiers ou d'une mesure (telle qu'une demande de divulgation) indiquant une application de ces lois dans la pratique qui n'est pas conforme aux exigences du paragraphe a).
6. la suite d'une notification au titre du paragraphe e), ou si l'exportateur de données a des raisons de croire que l'importateur de données ne peut plus remplir ses obligations au titre des présentes clauses, l'exportateur de données identifie rapidement les mesures appropriées (par exemple, les mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) à adopter par l'exportateur de données et/ou l'importateur de données pour remédier à la situation. L'exportateur de données suspend le transfert de données s'il considère qu'aucune garantie appropriée ne peut être assurée pour ce transfert, ou si l'autorité de contrôle compétente lui en donne l'instruction. Dans ce cas, l'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses. Si le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, à moins que les parties n'en aient convenu autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 16, points d) et e), s'applique.

Article 15

Obligations de l'importateur de données en cas d'accès par les autorités publiques

15. 1. Notification
       1. L'importateur de données s'engage à notifier rapidement (si nécessaire avec l'aide de l'exportateur de données) à l'exportateur de données et, dans la mesure du possible, à la personne concernée, le cas échéant :
          1. reçoit une demande juridiquement contraignante d'une autorité publique, y compris des autorités judiciaires, en vertu des lois du pays de destination, pour la divulgation de données à caractère personnel transférées conformément aux présentes clauses ; cette notification comprendra des informations sur les données à caractère personnel demandées, l'autorité requérante, la base juridique de la demande et la réponse apportée ; ou
          2. a connaissance de tout accès direct des autorités publiques aux données à caractère personnel transférées en vertu des présentes clauses, conformément aux lois du pays de destination ; cette notification comprendra toutes les informations dont dispose l'importateur.
       2. Si la législation du pays de destination interdit à l'importateur de données de notifier l'exportateur de données et/ou la personne concernée, l'importateur de données s'engage à faire de son mieux pour obtenir une dérogation à l'interdiction, en vue de communiquer le plus d'informations possible, dans les meilleurs délais. L'importateur de données accepte de documenter ses meilleurs efforts afin de pouvoir les démontrer à la demande de l'exportateur de données.
       3. Si la législation du pays de destination le permet, l'importateur de données accepte de fournir à l'exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d'informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, l'autorité/les autorités requérante(s), si les demandes ont été contestées et l'issue de ces contestations, etc.
       4. L'importateur de données s'engage à conserver les informations visées aux paragraphes a) à c) pendant la durée du contrat et à les mettre à la disposition de l'autorité de contrôle compétente sur demande.
       5. Les paragraphes a) à c) sont sans préjudice de l'obligation de l'importateur de données, conformément à la clause 14, point e), et à la clause 16, d'informer rapidement l'exportateur de données lorsqu'il n'est pas en mesure de se conformer à ces clauses.
    2. Examen de la légalité et de la minimisation des données
       1. L'importateur de données accepte d'examiner la légalité de la demande de divulgation, en particulier si elle reste dans les limites des pouvoirs accordés à l'autorité publique requérante, et de contester la demande si, après une évaluation minutieuse, il conclut qu'il y a des motifs raisonnables de considérer que la demande est illégale en vertu des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de la courtoisie internationale. L'importateur de données exerce, dans les mêmes conditions, les voies de recours. Lorsqu'il conteste une demande, l'importateur de données demande des mesures provisoires en vue de suspendre les effets de la demande jusqu'à ce que l'autorité judiciaire compétente ait statué sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu'il n'est pas tenu de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations de l'importateur de données au titre de la clause 14, point e).
       2. L'importateur de données accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, de mettre la documentation à la disposition de l'exportateur de données. Il la met également à la disposition de l'autorité de contrôle compétente sur demande.
       3. L'importateur de données s'engage à fournir la quantité minimale d'informations autorisée lorsqu'il répond à une demande de divulgation, sur la base d'une interprétation raisonnable de la demande.

SECTION IV - DISPOSITIONS FINALES

Article 16

Non-respect des clauses et résiliation

1. L'importateur de données informe rapidement l'exportateur de données s'il n'est pas en mesure de respecter les présentes clauses, quelle qu'en soit la raison.
2. Si l'importateur de données ne respecte pas les présentes clauses ou n'est pas en mesure de le faire, l'exportateur de données suspend le transfert de données à caractère personnel à l'importateur de données jusqu'à ce que la conformité soit à nouveau assurée ou que le contrat soit résilié. Cette disposition est sans préjudice de la clause 14, point f).
3. (L'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses, lorsque :
   1. l'exportateur de données a suspendu le transfert de données à caractère personnel à l'importateur de données conformément au paragraphe b) et le respect des présentes clauses n'est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d'un mois à compter de la suspension ;
   2. l'importateur de données enfreint de manière substantielle ou persistante les présentes clauses ; ou
   3. l'importateur de données ne se conforme pas à une décision contraignante d'un tribunal compétent ou d'une autorité de contrôle concernant les obligations qui lui incombent en vertu des présentes clauses.
      Dans ce cas, il informe l'autorité de contrôle compétente de ce non-respect. Lorsque le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, à moins que les parties n'en aient convenu autrement.
4. Les données à caractère personnel qui ont été transférées avant la résiliation du contrat conformément au paragraphe c) sont, au choix de l'exportateur de données, immédiatement renvoyées à l'exportateur de données ou effacées dans leur intégralité. Il en va de même pour toute copie des données. L'importateur de données certifie l'effacement des données à l'exportateur de données. Jusqu'à ce que les données soient effacées ou renvoyées, l'importateur de données continue de veiller au respect des présentes clauses. Si la législation locale applicable à l'importateur de données interdit la restitution ou la suppression des données à caractère personnel transférées, l'importateur de données garantit qu'il continuera à veiller au respect des présentes clauses et qu'il ne traitera les données que dans la mesure et pour la durée requises par cette législation locale.
5. Chaque partie peut révoquer son accord d'être liée par les présentes clauses lorsque (i) la Commission européenne adopte une décision en vertu de l'article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s'appliquent ; ou (ii) le règlement (UE) 2016/679 devient partie intégrante du cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice d'autres obligations s'appliquant au traitement en question en vertu du règlement (UE) 2016/679.

Article 17

Droit applicable
Les présentes clauses sont régies par le droit de l'un des États membres de l'Union européenne, à condition que ce droit autorise les droits des tiers bénéficiaires. Les parties conviennent que le droit applicable est celui de la République d'Irlande.

Article 18

Choix du for et de la juridiction

1. Tout litige découlant des présentes clauses sera réglé par les tribunaux d'un État membre de l'UE.
2. Les parties conviennent que ces tribunaux seront ceux de la République d'Irlande.
3. Une personne concernée peut également intenter une action en justice contre l'exportateur et/ou l'importateur de données devant les tribunaux de l'État membre dans lequel elle a sa résidence habituelle.
4. Les parties conviennent de se soumettre à la juridiction de ces tribunaux.

ANNEXE 1 AUX CLAUSES CONTRACTUELLES TYPES

1. LISTE DES PARTIES
   Exportateur de données
   L'exportateur de données est : Client désigné dans l'accord
   Rôle : Contrôleur
   L'adresse : Comme indiqué dans l'accord
   Activités en rapport avec les données transférées en vertu des présentes clauses : Comme indiqué dans la section B ci-dessous
   
   Importateur de données
   L'importateur de données est : FTS
   Rôle : Processeur
   Activités en rapport avec les données transférées en vertu des présentes clauses : Comme indiqué dans la section B ci-dessous
   
2. DESCRIPTION DU TRANSFERT
   Personnes concernées
   
   Les données à caractère personnel transférées concernent les catégories suivantes de personnes concernées (veuillez préciser) :
   L'exportateur de données peut soumettre aux services des données à caractère personnel, dont l'étendue est déterminée et contrôlée par l'exportateur de données à sa seule discrétion, et qui peuvent inclure, sans s'y limiter, des données à caractère personnel relatives aux catégories suivantes de personnes concernées :
   • les prospects, les clients, les partenaires commerciaux et les vendeurs du client (qui sont des personnes physiques)
   • les employés ou les personnes de contact des prospects, des clients, des partenaires commerciaux et des vendeurs du client
   • Employés, agents, conseillers, travailleurs indépendants du client (qui sont des personnes physiques)
   • les utilisateurs autorisés par le client à utiliser les services
     
     Catégories de données
     
     Les données personnelles transférées concernent les catégories de données suivantes (veuillez préciser) :
     L'exportateur de données peut soumettre aux services des données à caractère personnel, dont l'étendue est déterminée et contrôlée par l'exportateur de données à sa seule discrétion, et qui peuvent inclure, sans s'y limiter, les catégories de données à caractère personnel suivantes :
   • Nom et prénom
   • Titre
   • Position
   • Employeur
   • Informations sur les contacts
   • Informations sur le compte
   • Informations sur l'appareil
   • Données relatives à la vie privée
   • Date de la vie professionnelle
   • Informations sur l'utilisation et les préférences
   • Données de géolocalisation
   • Informations sur le conducteur et le véhicule
     
     Catégories particulières de données (le cas échéant)
     
     Les données personnelles transférées concernent les catégories spéciales de données suivantes (veuillez préciser) :
     
     L'exportateur de données peut soumettre aux services des catégories spéciales de données, dont l'étendue est déterminée et contrôlée par l'exportateur de données à sa seule discrétion, et qui sont, pour plus de clarté, les données personnelles avec des informations révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l'appartenance à un syndicat, et le traitement des données concernant la santé ou la vie sexuelle.
     
     Opérations de traitement
     
     Les données personnelles transférées seront soumises aux activités de traitement de base suivantes (veuillez préciser) : Données sur les clients
     L'objectif du traitement des données à caractère personnel par l'importateur de données est l'exécution des services conformément à l'accord.
     
     Nature du traitement
     
     FTS traitera le client dans le but de lui fournir les services conformément à l'accord et dans la mesure où cela est autorisé par celui-ci, ainsi que pour toute divulgation imposée par la loi.
     
     Finalité(s) du transfert et du traitement ultérieur des données
     
     FTS traitera les données personnelles du client dans le but de fournir les produits au client conformément à l'accord et dans les limites autorisées par celui-ci, ainsi que pour toute divulgation imposée par la loi.
     la durée de conservation des données à caractère personnel ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée
     
     La durée de l'Accord plus la période entre l'expiration ou la résiliation de l'Accord et la suppression de toutes les données du client par FTS conformément à l'Accord. Les données personnelles spécifiques des clients peuvent être soumises à des politiques spécifiques de conservation et de suppression des données (par exemple, les données vidéo des caméras de surveillance utilisées par les clients situés dans l'EEE, qui sont téléchargées sur le logiciel hébergé, sont soumises à une politique de conservation et à un calendrier de suppression de six mois en tant que paramètre par défaut, que le client accepte et qui peut être modifié en fonction des exigences du client).
     
3. L'AUTORITÉ DE SURVEILLANCE COMPÉTENTE
   
   Identifier la ou les autorité(s) de contrôle compétente(s) conformément à la clause 13
   
   Lorsque l'exportateur de données est établi dans un État membre de l'UE : L'autorité de contrôle chargée de veiller au respect par l'exportateur de données du règlement (UE) 2016/679 en ce qui concerne le transfert de données, agit en tant qu'autorité de contrôle compétente.
   Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, et a désigné un représentant conformément à l'article 27, paragraphe 1, du règlement (UE) 2016/679 : L'autorité de contrôle de l'État membre dans lequel est établi le représentant au sens de l'article 27, paragraphe 1, du règlement (UE) 2016/679 agit en tant qu'autorité de contrôle compétente.
   Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, sans toutefois devoir désigner un représentant conformément à l'article 27, paragraphe 2, du règlement (UE) 2016/679 : L'autorité de contrôle de l'un des États membres dans lequel se trouvent les personnes concernées dont les données à caractère personnel sont transférées en vertu des présentes clauses en relation avec l'offre de biens ou de services qui leur est faite, ou dont le comportement est suivi, agit en tant qu'autorité de contrôle compétente.

ANNEXE 2 AUX CLAUSES CONTRACTUELLES TYPES

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données conformément à la clause 4, point d), et à la clause 5, point c) (ou document/législation joint) :

L'importateur de données maintiendra des garanties administratives, physiques et techniques pour la protection de la sécurité, de la confidentialité et de l'intégrité des données à caractère personnel téléchargées vers les services, comme décrit dans l'accord.

ANNEXE C - Liste des sous-traitants secondaires

LE CONTRÔLEUR A AUTORISÉ L'UTILISATION DES SOUS-PROCESSEURS ÉNUMÉRÉS CI-DESSOUS :

SOUS-PROCESSEUR	OBJECTIF DU SOUS-TRAITEMENT	EMPLACEMENT PRINCIPAL
Amazon Web Services, Inc.	Services d'hébergement	États-Unis ; Irlande
Oracle Cloud Infrastructure	Services d'hébergement ; services d'analyse de données et de traitement de données d'hébergement	ÉTATS-UNIS
Google	Entrepôt de données/ cartographie (le cas échéant)	ÉTATS-UNIS
Cartes ici	Cartographie	ÉTATS-UNIS
Rayure	Traitement des paiements	ÉTATS-UNIS
Okta	Authentification de la connexion	ÉTATS-UNIS
Twilio	Alerte à la clientèle	ÉTATS-UNIS