Protocole de traitement des données

Le présent Protocole de traitement des données ("Protocole") régit JIA, Inc. ("Processeur") et le Client ("Contrôleur"), chacun étant une "Partie" et ensemble les "Parties". Ce Protocole prend effet à la date (la "Date d'entrée en vigueur") de l'Accord-cadre de services (l'"Accord") signé par les deux Parties, sauf si le Protocole peut être modifié par JIA.

Le présent protocole s'applique aux données à caractère personnel (telles que définies ci-dessous) traitées (telles que définies ci-dessous) en rapport avec le logiciel et/ou les services fournis dans le cadre de l'accord (collectivement, les "services"). Les services impliquent l'utilisation d'un fournisseur de cloud tiers (actuellement Microsoft Corporation, qui fournit Azure) et peuvent entrer dans l'une des trois catégories désignées dans l'accord :

[SCÉNARIO UN] Le Processeur assure et administre la relation avec le fournisseur de services en nuage tiers. Dans ce scénario, le contrôleur autorise par la présente le sous-traitant à passer un contrat directement avec le tiers fournisseur de services en nuage au nom et/ou au bénéfice du contrôleur, et le tiers fournisseur de services en nuage est un sous-traitant du sous-traitant - divulgué en tant que tel dans le présent protocole.

[DEUXIÈME SCÉNARIO] Le contrôleur assure la relation avec le fournisseur de services en nuage tiers et le sous-traitant gère l'utilisation du fournisseur de services en nuage tiers par le contrôleur. Dans ce scénario, le responsable du traitement est chargé de conclure un contrat directement avec le fournisseur de services en nuage tiers (y compris, sans s'y limiter, tout accord de traitement des données requis par la loi applicable) et est seul responsable de toutes les obligations liées à ce tiers. Le fournisseur de cloud tiers est un sous-traitant du contrôleur. Le sous-traitant est, dans ce scénario, un sous-traitant pour le seul contrôleur.

[Troisième scénario] Le responsable du traitement acquiert et gère la relation avec le fournisseur de services d'informatique en nuage tiers. Identique au SCÉNARIO DEUX, ci-dessus, sauf que - compte tenu de l'approvisionnement et de la gestion par le contrôleur - il est possible que le sous-traitant ne traite aucune donnée à caractère personnel pour le compte du contrôleur. Ce protocole peut toutefois être nécessaire si le responsable du traitement demande au sous-traitant de lui fournir une assistance, ce qui peut impliquer un traitement accessoire de données à caractère personnel.

À compter de la date d'entrée en vigueur, le présent protocole fait partie de l'accord et y est incorporé, de sorte que les références à l'"accord" dans l'accord incluent le présent protocole. À l'exception des modifications apportées par le présent protocole, l'accord reste inchangé et pleinement en vigueur. En cas de conflit entre le présent protocole et l'accord, c'est le présent protocole qui prévaut.

CONTEXTE

(A) Le sous-traitant fournit ou fournira des services au contrôleur ou en son nom conformément à l'accord.

(B) Les parties reconnaissent et acceptent que les services peuvent impliquer le traitement de données à caractère personnel aux États-Unis, y compris, sans limitation, la transmission de données à caractère personnel à destination et en provenance des États-Unis, et le stockage de données à caractère personnel aux États-Unis.

(C) Le présent protocole a pour objet de définir les conditions de protection des données qui s'appliqueront au traitement des données à caractère personnel afin de garantir que les droits et libertés des personnes en matière de protection des données restent protégés conformément à la législation applicable en matière de protection des données (telle qu'elle est définie ci-dessous).

IL EST D'ACCORD :

1. Définitions

Dans ce protocole :

1.1 "entreprise", "consommateur", "responsable du traitement", "sous-traitant", "personne concernée", "données à caractère personnel", "traitement" (et "processus"), "prestataire de services" et "catégories particulières de données" ont le sens qui leur est donné dans la législation applicable en matière de protection des données. L'expression "informations à caractère personnel" (au sens de la législation applicable en matière de protection des données) sera incluse dans l'expression "données à caractère personnel", et l'expression "consommateur" sera incluse dans l'expression "personne concernée" utilisée dans le présent protocole.

1.2 "Loi applicable en matière de protection des données": toute législation relative à la protection de la vie privée ou des données qui s'applique aux parties de temps à autre en ce qui concerne le traitement des données à caractère personnel dans le cadre de l'accord, y compris, sans s'y limiter, le GDPR et le CCPA (tous deux tels que définis ci-dessous).

1.3 "Personnes autorisées" signifie, pour chaque partie, toute personne autorisée par cette partie à traiter les données (y compris le personnel, les agents et les sous-traitants de cette partie).

1.4 "CCPA": California Consumer Privacy Act (loi californienne sur la protection de la vie privée des consommateurs), California Civil Code Section 1798.100, et seq. et ses règlements d'application. À partir du 1er janvier 2023, le terme "CCPA" inclura le California Privacy Rights Act et ses règlements d'application.

1.5 "EEE" désigne l'Espace économique européen et, tel qu'il est utilisé dans le présent protocole, inclut la Suisse.

1.6 "GDPR" désigne le règlement général sur la protection des données, (UE) 2016/679, et - tel qu'utilisé dans le présent protocole - comprend le UK-GDPR (en ce qui concerne le Royaume-Uni ("UK")), et la loi fédérale sur la protection des données (en ce qui concerne la Suisse).

1.7 Les références aux "instructions" et aux termes connexes désignent les instructions écrites du contrôleur pour le traitement des données (telles que définies ci-dessous), qui consistent en les conditions de l'Accord et du présent Protocole.

1.8 "Clauses types" signifie, le cas échéant :

1.8.1 Pour les transferts de données régis par le droit de l'EEE, les clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers à partir de l'EEE conformément au GDPR et approuvées par la Commission européenne en vertu de la décision (UE) 2021/914, telles qu'elles figurent actuellement à l'adresse https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc/standard-contractual-clauses-international-transfers_en (les "clauses types de l'EEE").

1.8.2 Pour les transferts de données régis par le droit britannique, les clauses types de l'EEE plus les clauses obligatoires de l'addendum approuvé publié par l'Information Commissioner's Office ("ICO") du Royaume-Uni, tel qu'il figure actuellement à l'adresse https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf (l '"amendement de l'addendum britannique").

1.8.3 Pour les transferts de données régis par la loi fédérale sur la protection des données (Suisse), les clauses types de l'EEE s'appliquent, à condition qu'elles soient modifiées pour ces transferts afin de prévoir un contrôle par le Préposé fédéral suisse à la protection des données et à la transparence, et que le terme "État membre" ne soit pas interprété de manière à exclure les personnes concernées suisses de la possibilité de faire valoir leurs droits en Suisse.

1.9 "Objectif autorisé" a la signification précisée dans la section 3 ; et

2. Relations entre les parties

Le contrôleur est le responsable du traitement (et dans certains cas un sous-traitant) et désigne par la présente le sous-traitant en tant que sous-traitant pour traiter les données à caractère personnel décrites dans l'annexe 2 ci-jointe. Ces données à caractère personnel sont désignées sous le nom de "Données". 

3. Limitation de l'objet

3.1 Le Processeur traitera les Données (et conservera des enregistrements de ces activités de traitement) en tant que processeur uniquement dans la mesure où cela est nécessaire pour exécuter les Services, et uniquement en conformité avec les instructions documentées du Contrôleur (la "Finalité autorisée"). En outre, dans la mesure où cela est applicable, les parties reconnaissent que (x) le contrôleur est une "entreprise" et que le sous-traitant est un "prestataire de services" au sens de la CCPA ; (y) le traitement des données par le sous-traitant est nécessaire à la fourniture des services ; et (z) le contrôleur ne recevra aucune contrepartie monétaire ou autre de la part du sous-traitant en échange de l'accès du sous-traitant aux données et de leur traitement par ce dernier. Si le droit applicable est en contradiction avec les instructions documentées du contrôleur, le sous-traitant en informera le contrôleur avant le traitement, à moins qu'une telle notification ne soit interdite par la loi. En tout état de cause, les parties ajusteront équitablement les frais payés au sous-traitant si les instructions écrites du contrôleur imposent des exigences supplémentaires au sous-traitant. Sans limiter la portée de ce qui précède, le sous-traitant ne doit en aucun cas :

(a) traiter les données à ses propres fins ou à celles d'un tiers, y compris vendre, louer, publier, divulguer, diffuser ou mettre ces données à la disposition d'un tiers ;

(b) d'assumer une quelconque responsabilité dans la détermination des finalités et des modalités de traitement des données ;

(c) divulguer les données à un tiers (autre que ses sous-traitants autorisés) sans le consentement préalable du contrôleur, sauf si et dans la mesure où la divulgation est requise par toute loi applicable au sous-traitant.

(d) traiter les données d'une manière qui amènerait le contrôleur à enfreindre l'une de ses obligations en vertu de la législation applicable en matière de protection des données.

3.2 Il incombe au contrôleur de s'assurer qu'il traite légalement les données et qu'il dispose de tous les autres droits nécessaires pour permettre au sous-traitant de traiter les données. Le responsable du traitement ne donnera pas au sous-traitant l'accès aux données pour lesquelles le responsable du traitement ne possède pas ces droits. Sans limiter la portée de ce qui précède, il incombe au responsable du traitement de veiller à ce que tous les avis nécessaires soient fournis, que les consentements des personnes concernées soient obtenus et qu'un registre de ces consentements soit conservé. Si le consentement est révoqué par une personne concernée, le responsable du traitement est chargé de communiquer le fait de cette révocation au sous-traitant et d'aider le sous-traitant en ce qui concerne le traitement ultérieur de ces données.

3.3 Le contrôleur est responsable de l'exactitude et de la qualité des données.

3.4 Le Contrôleur fera de son mieux pour déterminer si les Services impliquent le traitement de données personnelles provenant d'Australie, du Brésil, de l'EEE, du Royaume-Uni ou d'Argentine et, si c'est le cas, il en informera rapidement le Processeur. En outre, le Contrôleur doit notifier au Processeur si les Données sont soumises à une loi applicable sur la protection des données autre que la CCPA ou le GDPR afin que les parties puissent prendre des mesures pour conclure des dispositions contractuelles supplémentaires (le cas échéant) nécessaires pour se conformer à une telle loi.

3.5 Si les données comprennent des données à caractère personnel provenant de l'EEE ou du Royaume-Uni, en concluant le présent protocole, le sous-traitant et le responsable du traitement signent, concluent et intègrent également au présent protocole les clauses types applicables mentionnées à l'article 11 ci-dessous.

3.6 Si un mécanisme de transfert de données utilisé par les parties est ultérieurement modifié, révoqué ou jugé invalide par un régulateur compétent ou une autre autorité gouvernementale, le responsable du traitement et le sous-traitant coopéreront de bonne foi pour mettre fin aux transferts effectués dans le cadre de ce mécanisme ou pour trouver un autre mécanisme approprié.

4. Confidentialité du traitement

Le Processeur veillera à ce que toutes les Personnes autorisées soient soumises à une obligation de confidentialité (contractuelle, statutaire ou autre) et ne permettra pas à une personne qui n'est pas soumise à une telle obligation de confidentialité de traiter les Données. Le Processeur veillera à ce que toutes les Personnes autorisées ne traitent les Données que dans la mesure où cela est nécessaire pour la Finalité autorisée.

5. La sécurité

5.1 Le Processeur mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles appropriées pour protéger les Données contre les violations de sécurité non autorisées ou illégales qui entraînent la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal aux Données sous le contrôle du Processeur ("Incident de sécurité"). Les mesures de sécurité techniques et organisationnelles du Processeur sont énoncées à l'annexe 3 et peuvent être mises à jour de temps à autre.

5.2 Il incombe au contrôleur d'examiner les informations mises à disposition par le sous-traitant concernant la sécurité des données et de déterminer de manière indépendante si les mesures de sécurité du sous-traitant répondent aux exigences du contrôleur et à ses obligations légales en vertu de la législation applicable en matière de protection des données.

6. Sous-traitance

Le Processeur ne sous-traitera pas le traitement des Données à un sous-traitant tiers sans le consentement écrit préalable du Contrôleur, lequel consentement ne sera pas refusé, conditionné ou retardé de manière déraisonnable. Le Contrôleur consent à ce que le Processeur engage ses affiliés et d'autres sous-traitants tiers pour traiter les Données à condition que : (i) le Processeur donne un préavis d'au moins 10 jours pour l'ajout ou le retrait de tout sous-traitant (y compris les détails du traitement qu'il effectue ou effectuera), ce préavis pouvant être donné au Contrôleur par courriel ; (ii) le Processeur impose des conditions de protection des données à tout sous-traitant qu'il nomme, qui protègent les Données à un niveau substantiellement identique à celui prévu par le présent Protocole ; et (iii) le Processeur demeure entièrement responsable de toute violation du présent Protocole causée par un acte, une erreur ou une omission de son sous-traitant. Les sous-traitants à la date d'entrée en vigueur sont indiqués à l'annexe 4. 

7. Coopération et droits des personnes concernées

Compte tenu de la nature du traitement, le sous-traitant - dans la mesure du possible - informera rapidement le contrôleur et lui fournira une assistance raisonnable (aux frais du contrôleur) pour lui permettre de répondre à (i) toute demande d'une personne concernée d'exercer l'un de ses droits en vertu de la Loi sur la protection des données applicable (y compris, sans s'y limiter, ses droits d'accès, de correction, d'objection, d'effacement et de portabilité des données, le cas échéant) ; et (ii) toute autre correspondance, demande ou plainte reçue d'une personne concernée, d'un organisme de réglementation ou d'une autre tierce partie en rapport avec le traitement des données. Le sous-traitant n'est pas tenu de répondre directement à toute demande, correspondance, requête ou plainte, sauf si la loi l'exige. 

8. Incidents de sécurité

8.1 Dès qu'il a connaissance d'un incident de sécurité, le sous-traitant en informe le contrôleur dans les meilleurs délais. Le Processeur déploiera des efforts raisonnables pour identifier la cause de cet incident de sécurité et prendra les mesures qu'il juge nécessaires et raisonnables pour remédier à la cause de cet incident de sécurité dans la mesure où la remédiation est sous le contrôle du Processeur ; à condition que le Processeur n'ait pas une telle obligation si l'incident de sécurité est causé par le Contrôleur ou tout tiers retenu dans le cadre des Services.

8.2 Le contrôleur supportera les pertes et les dépenses (y compris les frais raisonnables d'avocat) associées à un incident de sécurité résultant des actions ou omissions négligentes du contrôleur (ou d'un tiers) ou d'une violation du présent protocole, y compris, sans s'y limiter, tous les coûts : a) de notification d'un incident de sécurité aux personnes concernées et aux autorités de réglementation ; et b) de réparation et d'atténuation de tout dommage ou préjudice réel ou potentiel de l'incident de sécurité, y compris, sans s'y limiter, l'établissement de centres d'appel et la fourniture de services de surveillance du crédit ou de restauration du crédit.

9. Transfert, suppression ou restitution des données

Sur demande et aux frais du contrôleur, ce dernier a le droit de recevoir du sous-traitant une copie de toutes les données qui sont en sa possession. Le sous-traitant fournira, aux frais du contrôleur, toute assistance supplémentaire raisonnablement demandée par le contrôleur dans le cadre de la remise sécurisée de toutes les données à un tiers. Le sous-traitant accepte également, à la demande du contrôleur et aux frais de ce dernier, de supprimer ou de détruire de manière sécurisée toutes les données en sa possession (y compris, sans s'y limiter, toutes les données en possession des sous-traitants). Ces exigences ne s'appliqueront pas dans la mesure où le Processeur est tenu par toute loi applicable au Processeur de conserver tout ou partie des Données, auquel cas le Processeur isolera et protégera les Données de tout traitement ultérieur, sauf dans la mesure requise par ladite loi, puis les renverra ou les détruira en toute sécurité dès que possible.

10. Audit

Le sous-traitant mettra à la disposition du contrôleur, sur demande, à des intervalles raisonnables et si la loi applicable sur la protection des données l'exige, toutes les informations nécessaires pour démontrer le respect des obligations de cette loi, étant entendu que les parties s'efforceront de satisfaire à toutes les obligations d'audit au moyen de questionnaires écrits et de copies de rapports ou de certifications. Si le résultat de l'audit ne peut être obtenu par des informations écrites, une inspection est également autorisée. Le contrôleur ne peut (à moins que la législation applicable en matière de protection des données n'en dispose autrement) demander des audits en vertu de la présente section qu'une seule fois par année civile. Tous les audits et autres productions de documents et d'informations se feront aux frais du contrôleur et seront soumis aux dispositions de confidentialité de l'accord. Le sous-traitant peut subordonner son respect de la présente section à l'engagement écrit de tous les tiers recevant des informations de traiter toutes les informations comme confidentielles.   

11. Mécanisme de transfert des données

11.1 Si, dans le cadre de l'exécution des services, les données soumises au GDPR ou à toute autre loi relative à la protection ou à la confidentialité des individus qui s'applique dans l'EEE ou au Royaume-Uni sont transférées hors de l'EEE ou du Royaume-Uni vers des pays, tels que les États-Unis, qui ne garantissent pas un niveau adéquat de protection des données au sens de la législation applicable en matière de protection des données, le(s) mécanisme(s) de transfert énuméré(s) ci-dessous s'appliquera(ont) à ces transferts et pourra(ont) être directement appliqué(s) par les parties (dans la mesure où la législation applicable en matière de protection des données l'autorise) :

11.1.1 Pour les transferts dans l'EEE où le contrôleur agit en qualité de contrôleur et le sous-traitant en qualité de sous-traitant, le module deux des clauses types de l'EEE (contrôleur à sous-traitant) - sous réserve des conditions énoncées à l'annexe 1 du présent protocole ;

11.1.2 Pour les transferts dans l'EEE où le contrôleur agit en qualité de sous-traitant et le sous-traitant en qualité de soustraitant du contrôleur, le module trois des clauses types de l'EEE (sous-traitant à sous-traitant) - sous réserve des conditions énoncées à l'annexe 1 du présent protocole ;

11.1.3 Pour les transferts du Royaume-Uni, soit le module deux, soit le module trois des clauses types de l'EEE (selon le cas) plus l'amendement de l'addendum du Royaume-Uni - sous réserve des conditions énoncées à l'annexe 1 du présent protocole.

11.1.4 Pour les transferts de données suisses, le module deux ou le module trois des clauses types de l'EEE (selon le cas) - sous réserve des conditions énoncées à l'annexe 1 du présent protocole.

12. Limitation de la responsabilité

La responsabilité globale du Processeur et de ses affiliés découlant du présent Protocole ou liée à celui-ci est soumise aux limitations de responsabilité, aux limitations de garantie, aux clauses de non-responsabilité et aux autres exclusions de garantie et de responsabilité énoncées dans l'Accord. Ce qui précède s'applique quelle que soit la nature de la réclamation, qu'il s'agisse d'un contrat, d'un délit ou d'une autre théorie de la responsabilité.

13. Indemnisation

Le contrôleur défendra, indemnisera et dégagera le processeur, ses affiliés, ses sous-traitants et chacun de leurs propriétaires, directeurs, cadres, gestionnaires, membres, employés, contractants et agents respectifs de toute responsabilité, perte, dommage ou dépense (y compris les frais d'avocat) dans la mesure où ils sont causés par ou résultent (a) de la négligence, de la faute intentionnelle ou de la fraude du contrôleur ou de ses agents (y compris, mais sans s'y limiter, les tiers retenus dans le cadre des services) ; (b) des instructions fournies par le contrôleur ; ou (c) d'une violation des obligations du contrôleur en vertu du présent protocole.

14. Divers et variés

14.1 Les titres des sections et les autres titres du présent protocole sont uniquement destinés à faciliter les références et ne font pas partie intégrante du présent protocole et n'en affectent pas le sens ou l'interprétation.

14.2 Les dispositions du présent protocole sont divisibles. Si un terme ou une disposition est invalide ou inapplicable en tout ou en partie, cette invalidité ou inapplicabilité n'affectera que ce terme ou cette disposition, et le reste du présent protocole restera pleinement en vigueur.

14.3 Tout avis, lettre ou autre communication prévu par le présent protocole doit être fourni conformément aux dispositions de l'accord.

14.4 Les dispositions du présent protocole s'appliquent au bénéfice des parties et de leurs successeurs et ayants droit respectifs et les lient.

14.5 Le présent protocole est régi et interprété à tous égards conformément aux dispositions relatives au droit applicable et à la compétence énoncées dans l'accord, à moins que la législation applicable en matière de protection des données n'en dispose autrement.

Annexe 1

Mécanismes de transfert pour les transferts de données de l'EEE, du Royaume-Uni et de la Suisse

Aux fins du module deux des clauses types (contrôleur à processeur) et du module trois des clauses types (processeur à processeur), le contrôleur est l'exportateur de données et le processeur est l'importateur de données, et les parties conviennent de ce qui suit. Lorsque la présente annexe 1 ne mentionne pas explicitement le module applicable, elle s'applique aux deux modules.

1. Références aux clauses types et à l'amendement de l'addendum britannique. Les dispositions pertinentes contenues dans les modules deux et trois des clauses types sont incorporées par référence et font partie intégrante du présent protocole. L'amendement de l'addendum britannique est également incorporé par référence et fait partie intégrante du présent protocole. Les informations requises pour l'appendice aux clauses types et l'avenant à l'addendum britannique figurent à l'annexe 2. 

2. Clause d'amarrage. Les parties choisissent de supprimer la clause d'amarrage facultative figurant dans les clauses types (clause 7).

3. Instructions. Le présent Protocole et l'Accord constituent les instructions documentées complètes et finales du Contrôleur au moment de la signature de l'Accord avec le Processeur pour le traitement des données à caractère personnel. Toute instruction supplémentaire ou alternative doit être compatible avec les termes du présent Protocole et de l'Accord. Aux fins de la clause 8.1(a) des Clauses types, les instructions du Responsable du traitement concernant le traitement des données à caractère personnel comprennent les transferts ultérieurs à des tiers situés en dehors de l'EEE et du Royaume-Uni aux fins de l'exécution des Services.

Lorsque le responsable du traitement agit en tant que sous-traitant, le client déclare et garantit que ses instructions de traitement telles qu'elles sont énoncées dans l'accord et dans le présent protocole, y compris les autorisations qu'il a données au sous-traitant pour la désignation de sous-traitants secondaires conformément au présent protocole, ont été autorisées par le responsable du traitement concerné. Le contrôleur sera seul responsable de la transmission de toute notification reçue du sous-traitant au contrôleur concerné, le cas échéant.

4. Sécurité du traitement. Aux fins de la clause 8.6(a) des Clauses Modèles, le Contrôleur est seul responsable de la détermination indépendante de la question de savoir si les mesures techniques et organisationnelles énoncées dans l'Annexe 3 répondent aux exigences du Contrôleur et convient que (compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement de ses données personnelles ainsi que des risques pour les personnes) les mesures de sécurité mises en œuvre et maintenues par le Processeur offrent un niveau de sécurité approprié au risque concernant ces données personnelles. Aux fins de la clause 8.6(c) des clauses types, les violations de données à caractère personnel seront traitées conformément à la section 8 du protocole.

5. Audits au titre des clauses types. Les parties conviennent que les audits décrits à la clause 8.9 des clauses types seront effectués conformément à la section 10 du protocole.

6. Autorisation générale de recours à des sous-traitants. Les parties choisissent l'option 2 en vertu de la clause 9 des clauses types. Aux fins de la clause 9(a), le Processeur dispose de l'autorisation générale du Contrôleur pour engager des sous-traitants conformément à la section 6 du Protocole. Le sous-traitant met à la disposition du client la liste actuelle des sous-traitants secondaires conformément à l'article 6 du présent protocole (les sous-traitants secondaires étant désignés par le terme "sous-traitants"). Lorsque le sous-traitant conclut le module trois des clauses types (sous-traitant à sous-traitant) avec un sous-traitant secondaire dans le cadre de la fourniture des services, le contrôleur accorde par les présentes au sous-traitant et à ses affiliés le pouvoir de fournir une autorisation générale au nom du contrôleur pour l'engagement de sous-traitants secondaires par des sous-traitants secondaires engagés dans la fourniture des services, ainsi que le pouvoir de décision et d'approbation pour l'ajout ou le remplacement de ces sous-traitants secondaires.

7. Réclamations - Recours. Les parties choisissent de supprimer le texte facultatif de la clause 11 des clauses types. Aux fins du reste du texte de la clause 11, et sous réserve de la section 7 du Protocole, le Processeur informera les personnes concernées sur son site web d'un point de contact pour les réclamations. Le sous-traitant informera le contrôleur s'il reçoit une plainte d'une personne concernée concernant des données à caractère personnel traitées dans le cadre de l'accord, et le sous-traitant communiquera sans délai excessif la plainte au contrôleur. Le sous-traitant n'aura par ailleurs aucune obligation de traiter la demande (à moins que la loi ne l'exige ou que cela ne soit convenu avec le contrôleur).

8. Responsabilité. Outre les autres limitations prévues dans l'accord et le protocole, la responsabilité du sous-traitant en vertu de la clause 12 des clauses types sera limitée aux seuls dommages causés par son traitement lorsqu'il n'a pas respecté ses obligations en vertu de la loi sur la protection des données applicable qui s'adresse spécifiquement aux sous-traitants, ou lorsqu'il a agi en dehors ou contrairement aux instructions licites fournies par le contrôleur - telles que spécifiées à l'article 82 du GDPR. 

9. Supervision. La clause 13 des clauses types s'applique comme suit :

a. Lorsque le contrôleur est établi dans un État membre de l'UE, l'autorité de contrôle chargée de veiller au respect du GDPR par le contrôleur en ce qui concerne le transfert de données agira en tant qu'autorité de contrôle compétente.

b. Lorsque le contrôleur n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du GDPR conformément à son article 3, paragraphe 2, et a désigné un représentant conformément à l'article 27, paragraphe 1, du GDPR, l'autorité de contrôle de l'État membre dans lequel le représentant au sens de l'article 27, paragraphe 1, du GDPR est établi agira en tant qu'autorité de contrôle compétente.

c. Lorsque le contrôleur n'est pas établi dans un État membre de l'UE, mais qu'il relève du champ d'application territorial du GDPR conformément à son article 3, paragraphe 2, sans toutefois devoir désigner un représentant conformément à l'article 27, paragraphe 2, du GDPR, l'autorité de contrôle de l'un des États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont transférées ou dont le comportement est surveillé, agira en tant qu'autorité de contrôle compétente.

d. Lorsque le contrôleur est établi au Royaume-Uni ou relève du champ d'application territorial du RGPD britannique, l'ICO agit en tant qu'autorité de contrôle compétente.

e. Lorsque le contrôleur est établi en Suisse ou relève du champ d'application territorial de la loi fédérale sur la protection des données (Suisse), le préposé fédéral suisse à la protection des données et à la transparence agira en tant qu'autorité de contrôle compétente dans la mesure où le transfert de données concerné est régi par la loi fédérale sur la protection des données.

10. Notification des demandes d'accès des pouvoirs publics. Aux fins de la clause 15.1(a) des clauses types, le sous-traitant notifiera le responsable du traitement (uniquement) et non la ou les personne(s) concernée(s) en cas de demandes d'accès du gouvernement. Le responsable du traitement sera seul responsable de la notification rapide à la (aux) personne(s) concernée(s), le cas échéant. 

11. Droit applicable. Dans toute la mesure permise par la loi, le droit applicable aux fins de la clause 17 des clauses types sera le droit désigné dans la section "Droit applicable" de l'accord. Autrement, les clauses types de l'EEE sont régies par (a) en ce qui concerne l'EEE (à l'exception de la Suisse), les lois de la Belgique ; (b) en ce qui concerne le Royaume-Uni, les lois de l'Angleterre et du Pays de Galles ; et (c) en ce qui concerne la Suisse, les lois de la Suisse.  

12. Choix du forum et de la juridiction. Dans toute la mesure permise par la loi, les tribunaux exclusivement compétents en vertu de la clause 18 des clauses types seront ceux désignés dans la section "Lieu" de l'accord. Dans le cas contraire, les tribunaux exclusivement compétents pour résoudre tout litige ou toute action en justice découlant des clauses types ou en rapport avec celles-ci seront (a) en ce qui concerne les transferts de données impliquant des personnes concernées de l'EEE (à l'exception des personnes concernées suisses), les tribunaux de Belgique ; (b) en ce qui concerne les transferts de données impliquant des personnes concernées du Royaume-Uni, les tribunaux d'Angleterre et du Pays de Galles, et (c) en ce qui concerne les transferts de données impliquant des personnes concernées suisses, les tribunaux de la Suisse.

13. Appendice. L'appendice des clauses types de l'EEE sera complété comme suit :

a. Le contenu de la section 1 de l'appendice 2 constituera l'annexe I.A des clauses types de l'EEE.
b. Le contenu de la section 2 de l'appendice 2 constituera l'annexe I.B des clauses types de l'EEE.
c. Le contenu de la section 3 de l'appendice 2 constituera l'annexe I.C des clauses types de l'EEE.
d. Le contenu de la section 4 de l'appendice 2 constituera l'annexe II des clauses types de l'EEE.

14. Exportations de données du Royaume-Uni. Les informations requises pour les tableaux 1 à 3 de la première partie de l'avenant à l'addenda britannique figurent à l'annexe 2. Pour les besoins du tableau 4 de la première partie de l'avenant britannique, aucune des parties ne peut mettre fin à l'avenant britannique lorsqu'il est modifié.

15. Exportations de données depuis la Suisse. Pour les transferts de données suisses, les clauses types de l'EEE s'appliquent également au transfert d'informations relatives à une entité juridique identifiée ou identifiable lorsque ces informations sont protégées de la même manière que les données personnelles en vertu des lois suisses - jusqu'à ce que ces lois soient modifiées pour ne plus s'appliquer à une entité juridique. En outre, le terme "État membre" ne sera pas interprété de manière à exclure les personnes concernées suisses de la possibilité de faire valoir leurs droits en Suisse.

16. Conflit. Les clauses types sont soumises au protocole. Si les clauses types sont applicables à une situation particulière et qu'il existe un conflit entre les clauses types et le protocole, ce sont les clauses types qui prévalent.

Annexe 2

Description du service

1. PARTIES

Exportateur(s) de données : Identité et coordonnées de l'exportateur ou des exportateurs de données et, le cas échéant, de son/ses délégué(s) à la protection des données et/ou de son/ses représentant(s) dans l'Union européenne (et/ou au Royaume-Uni ou en Suisse).

Nom : Client (tel que ce terme est défini dans le premier paragraphe du contrat-cadre de services) ("contrôleur")

L'adresse : Comme indiqué dans le premier paragraphe du contrat-cadre de services. 

Nom, fonction et coordonnées de la personne de contact : Comme indiqué à la section 6 de l'accord-cadre de services.

Activités en rapport avec les données transférées en vertu des présentes clauses : exécution des services dans le cadre de l'accord.

Rôle : Aux fins du module deux des clauses types (contrôleur à processeur), le contrôleur est un contrôleur. Aux fins du module trois des clauses types (de processeur à processeur), le contrôleur est un processeur.

Importateur(s) de données : Identité et coordonnées de l'importateur ou des importateurs de données, y compris toute personne de contact responsable de la protection des données.

Nom : JIA, Inc. ("Processeur")

Adresse : 201 NE Park Plaza, Suite 220, Vancouver, Washington 98684 États-Unis

Nom, fonction et coordonnées de la personne de contact : Glenn Batson (glenn.batson@jenkon.com)

Activités en rapport avec les données transférées en vertu des présentes clauses : exécution des services dans le cadre de l'accord.

Rôle : transformateur

2. DESCRIPTION DU TRANSFERT

a. CATÉGORIES DE PERSONNES CONCERNÉES DONT LES DONNÉES À CARACTÈRE PERSONNEL SONT TRANSFÉRÉES

Le contrôleur peut soumettre aux services des données à caractère personnel, dont l'étendue est déterminée et contrôlée par le contrôleur à sa seule discrétion, et qui peuvent inclure, sans s'y limiter, des données à caractère personnel relatives aux catégories suivantes de personnes concernées :

  • Force de vente indépendante (par exemple, représentants, consultants, affiliés), prospects, clients, partenaires commerciaux, vendeurs et employés du contrôleur (qui sont des personnes physiques).
  • les utilisateurs autorisés par le contrôleur à utiliser les services

b. CATÉGORIES DE DONNÉES À CARACTÈRE PERSONNEL TRANSFÉRÉES

Le contrôleur peut soumettre aux services des données à caractère personnel, dont l'étendue est déterminée et contrôlée par le contrôleur à sa seule discrétion, et qui peuvent inclure, sans s'y limiter, les catégories de données à caractère personnel suivantes :

  • Identifiants de base (nom, passeport, NIF, etc.)
  • Informations sur le contact
  • Informations démographiques
  • Informations financières
  • Identifiants en ligne (adresses IP, cookies, etc.)
  • Contenu généré par l'utilisateur (c'est-à-dire contenu des médias sociaux, site web personnel, etc.)

c. DONNÉES SENSIBLES TRANSFÉRÉES (LE CAS ÉCHÉANT)

Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme par exemple une limitation stricte de la finalité, des restrictions d'accès (y compris un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre d'accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.

Aucun.

d. FRÉQUENCE DU TRANSFERT
Fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).

de manière continue, à la demande du contrôleur dans le cadre des services.

e. NATURE DU TRAITEMENT

La nature du traitement est l'exécution des services dans le cadre de l'accord.

f. LA FINALITÉ DU TRAITEMENT, LE TRANSFERT DES DONNÉES ET LE TRAITEMENT ULTÉRIEUR

Le sous-traitant traitera les données à caractère personnel dans la mesure où cela est nécessaire pour fournir les services prévus par l'accord et selon les instructions du responsable du traitement dans le cadre de son utilisation des services.

g. DURÉE DU TRAITEMENT
La durée de conservation des données à caractère personnel ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée.

Sous réserve de l'article 9 du protocole, le sous-traitant traite les données à caractère personnel pendant la durée de l'accord, sauf accord écrit contraire.

h. TRANSFERTSAUX SOUS-TRAITEURS
Pour les transferts aux (sous)-transformateurs, précisez également l'objet, la nature et la durée du traitement:

Conformément au traitement effectué par le sous-traitant, tel qu'indiqué au paragraphe 2(f) ci-dessus, les sous-traitants ultérieurs traiteront les données à caractère personnel dans la mesure où cela est nécessaire à l'exécution des services conformément à l'accord. Sous réserve de l'article 6 du Protocole, le sous-traitant ultérieur traitera les données à caractère personnel pendant la durée de l'Accord, sauf accord écrit contraire.

Les identités des sous-traitants secondaires actuellement utilisés pour la fourniture des services et leur pays d'implantation sont énumérés à l'annexe 4. Les sous-traitants secondaires peuvent être mis à jour conformément à l'article 6 du protocole.

3. AUTORITÉ DE SURVEILLANCE COMPÉTENTE

Identifier la ou les autorités de contrôle compétentes conformément à la clause 13.

Voir section 9 de l'annexe 1 du présent protocole. 

4. MESURES TECHNIQUES ET ORGANISATIONNELLES

Le sous-traitant maintiendra des garanties administratives, techniques et physiques pour protéger la sécurité, la confidentialité et l'intégrité des données à caractère personnel traitées dans le cadre des services, comme décrit dans l'annexe 3 ou mis raisonnablement à disposition par le sous-traitant.

Annexe 3

Mesures techniques et organisationnelles y compris les mesures techniques et organisationnelles pour assurer la sécurité des données

Description des mesures techniques et organisationnelles mises en œuvre par le sous-traitant pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

Le sous-traitant utilise des mesures de protection administratives, techniques et physiques raisonnables, y compris, sans s'y limiter, le cryptage, des mots de passe robustes et des contrôles d'accès pour limiter l'accès aux informations personnelles aux seules personnes qui ont besoin de connaître ces informations pour s'acquitter des obligations du sous-traitant en vertu de l'accord. Le sous-traitant tient également un registre des personnes ayant accédé aux informations personnelles. Le personnel du sous-traitant ayant accès aux informations personnelles reçoit une formation concernant les garanties et l'accès approprié aux informations personnelles. Lorsque le sous-traitant doit transférer des informations personnelles en dehors de l'environnement de production de l'exportateur de données, les données sont d'abord supprimées ou brouillées au moyen d'un processus "Scrub Script" fourni et maintenu par le sous-traitant. Une fois le script exécuté, les données peuvent être transférées via un protocole de transfert de fichiers sécurisé. 

Si l'exportateur de données demande au sous-traitant d'accéder à l'environnement de production de l'exportateur de données, le sous-traitant n'accède qu'à ce qui est demandé par l'exportateur de données - et cet accès est à tout moment géré par l'exportateur de données et soumis à toute politique ou procédure que l'exportateur de données peut fournir à ce moment-là. 

Comme indiqué ci-dessus, Microsoft fournit des services de stockage en nuage pour le Processeur conformément à un contrat conclu entre Microsoft et le Processeur. Les détails concernant les mesures techniques et organisationnelles de Microsoft sont disponibles à l'adresse suivante : https://docs.microsoft.com/en-us/azure/compliance/. La version actuelle de l'addendum de Microsoft sur la protection des données est disponible à l'adresse suivante : https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA.

D'autres mesures sont prévues :

  • Pseudonymisation et cryptage des données personnelles
  • Assurer en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement
  • tester, apprécier et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles afin d'assurer la sécurité du traitement
  • Identification et autorisation de l'utilisateur
  • Protection des données pendant la transmission
  • Protection des données pendant le stockage
  • Enregistrement des événements
  • Conservation limitée des données

Annexe 4

LISTE DES SOUS-TRAITANTS

L'importateur de données fait appel aux sous-traitants suivants pour traiter les données à caractère personnel dans le cadre de l'accord :

Nom de l'entité

Activités de sous-transformation

Entité Pays

Microsoft Corporation (Azure)

Fournisseur de services en nuage tiers

les États-Unis et les autres pays dans lesquels le locataire Azure peut être hébergé, comme indiqué dans l'accord.

Atlassian

Fournisseur d'applications HelpDesk

États-Unis

Affiliés à l'importateur de données :

Nom de l'entité

Entité Pays

Jenkon Mexico S DE RL DE CV

Mexique

Chez Jenkon, nous savons que vous êtes en train de construire une entreprise de vente directe gagnante. Ce dont vous avez besoin, c'est d'un partenaire logiciel dont les valeurs fondamentales soutiennent vos stratégies de croissance de manière transparente. Intégrité. Collaboration. Passion. Fiabilité. Confiance.

Chez Jenkon, nous savons que vous êtes en train de construire une entreprise de vente directe gagnante. Ce dont vous avez besoin, c'est d'un partenaire logiciel dont les valeurs fondamentales soutiennent vos stratégies de croissance de manière transparente. Intégrité. Collaboration. Passion. Fiabilité. Confiance.

Copyright © 2024 | Jenkon Enterprise | Tous droits réservés

Partenaire Microsoft Gold

Copyright © 2024 | Jenkon Enterprise | Tous droits réservés

Partenaire Microsoft Gold