Le présent avenant relatif au traitement des données (ci-après dénommé « l’avenant » ou « DPA ») complète le contrat-cadre d’abonnement de vFairs LLC (ci-après dénommé « le contrat ») conclu entre : __________________________________(« le Client ») et vFairs LLC (« la Société »). Le présent avenant intègre les dispositions du contrat ; toute expression non définie dans le présent avenant aura le sens qui lui est donné dans le contrat ou, à défaut, celui qui lui est attribué par la législation applicable en matière de protection des données. ATTENDU QUE, (A) Le client agit en tant que responsable du traitement ou sous-traitant pour le compte d'un responsable du traitement. (B) Le Client souhaite confier à la Société (sous-traitant) la prestation de certains Services impliquant le traitement de données à caractère personnel. (C) Les parties s'engagent à mettre en œuvre un accord relatif au traitement des données conforme aux exigences du cadre juridique en vigueur en matière de traitement des données, ainsi qu'à toutes les lois et réglementations applicables en matière de sécurité et de protection de la vie privée, y compris, sans s'y limiter, la CCPA et le règlement général sur la protection des données (RGPD) 2016/679 de l'Union européenne. (D) Les parties souhaitent définir leurs droits et obligations. Le présent accord de traitement des données (DPA) comprend : (a) le corps principal du DPA ; (b) les clauses contractuelles types (Module 2 : du responsable du traitement au sous-traitant et Module 3 : d'un sous-traitant à un autre), y compris les annexes I, II et III. 1) Définitions 1.1 Le terme « Données du compte client » désigne les données à caractère personnel relatives à la relation entre le Client et la Société, y compris les noms ou coordonnées des personnes autorisées par le Client à accéder à son compte, ainsi que les informations de facturation des personnes que le Client a associées à son compte. Les Données du compte client comprennent également toute donnée que la Société pourrait être amenée à collecter aux fins de la gestion de sa relation avec le Client, de la vérification d’identité ou conformément aux lois et réglementations applicables. 1.2 Le terme « Données d'utilisation du client » désigne les données relatives à l'utilisation du Service collectées et traitées par la Société dans le cadre de la fourniture des Services, y compris, sans s'y limiter, les données utilisées pour identifier la source et la destination d'une communication, les journaux d'activité, ainsi que les données utilisées pour optimiser et maintenir les performances des Services, et pour enquêter sur les abus du système et les prévenir. 1.3 Dans le texte de la CCPA, le terme « consommateur » désigne une personne physique résidant en Californie, telle que définie à l'article 17014 du titre 18 du Code des règlements de Californie. 1.4 Le terme « centre de données » désigne une installation qui offre un accès partagé à des applications et à des données grâce à une infrastructure complexe comprenant des réseaux, des ressources de calcul et des systèmes de stockage 1.5 Le terme « exportateur de données » désigne le client. 1.6 Le terme « importateur de données » désigne la Société. 1.7 Le terme « lois sur la protection des données » désigne l’ensemble des lois et règlements applicables dans toute juridiction concernée relatifs à l’utilisation ou au traitement des données à caractère personnel, y compris : (i) la loi californienne sur la protection de la vie privée des consommateurs (« CCPA »), (ii) le règlement général sur la protection des données (règlement (UE) 2016/679) (« RGPD de l’UE » ou « RGPD »), (iii) la loi fédérale suisse sur la protection des données, (iv) le RGPD de l’UE tel qu’il fait partie intégrante du droit de l’Angleterre et du Pays de Galles en vertu de l’article 3 de la loi de 2018 sur le retrait de l’Union européenne (la « RGPD du Royaume-Uni ») ; (v) la loi britannique de 2018 sur la protection des données ; et (vi) le règlement de 2003 sur la vie privée et les communications électroniques (directive CE) ; dans chaque cas, tels que mis à jour, modifiés ou remplacés de temps à autre. Les termes « personne concernée », « données à caractère personnel », « violation de données à caractère personnel », « traitement », « sous-traitant », « responsable du traitement » et « autorité de contrôle » ont le sens qui leur est donné dans le RGPD. 1.8 « Personne concernée » : toute personne physique dont les données à caractère personnel sont traitées par un responsable du traitement ou un sous-traitant. 1.9 « Violation de données à caractère personnel » : une faille de sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé, de manière accidentelle ou illicite, à des données à caractère personnel transmises, stockées ou traitées d'une autre manière. 1.10 « Traitement » : toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel ou sur des ensembles de données à caractère personnel, qu'elles soient automatisées ou non, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction. 1.11 « Données à caractère personnel » : toute information se rapportant à une personne physique identifiée ou identifiable (« personne concernée ») ; est réputée identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. 1.12 On entend par « transfert soumis à restriction »: (i) un transfert de données à caractère personnel du responsable du traitement vers le sous-traitant ; ou (ii) un transfert ultérieur de données à caractère personnel du sous-traitant vers un sous-traitant secondaire, ou entre deux établissements du sous-traitant, dans chaque cas où un tel transfert serait interdit par les lois sur la protection des données (ou par les dispositions des accords de transfert de données mis en place pour répondre aux restrictions en matière de transfert de données prévues par les lois sur la protection des données). 1.13 Le terme « clauses contractuelles types »désigne les clauses contractuelles types approuvées par la Commission européenne dans sa décision 2021/914 du 4 juin 2021, relatives aux transferts de données à caractère personnel vers des pays qui ne sont pas autrement reconnus par la Commission européenne comme offrant un niveau de protection adéquat des données à caractère personnel (telles que modifiées et mises à jour de temps à autre). 1.4 Le terme « sous-traitant » désigne un tiers qui a besoin de connaître ou d'accéder d'une autre manière aux données à caractère personnel du client afin de permettre à la société de s'acquitter de ses obligations au titre du présent avenant ou du contrat, et qui est soit (1) mentionné à l'annexe III, soit (2) autorisé ultérieurement en vertu de la clause 9 des clauses contractuelles types incluses dans le présent avenant. 1.5 Le terme « Services » a le sens qui lui est donné dans le Contrat. 2) Traitement des données à caractère personnel 2.1 Les parties reconnaissent et conviennent qu'en ce qui concerne le traitement des données à caractère personnel du Client, le Client est le responsable du traitement ou un sous-traitant du responsable du traitement, et vFairs est le sous-traitant. 2.2 vFairs s'engage à veiller à ce que les sous-traitants ne traitent les données à caractère personnel du client que sur la base des instructions écrites de ce dernier, ou lorsque le traitement est requis par les lois applicables auxquelles vFairs ou les sous-traitants sont soumis ; dans ce dernier cas, vFairs informera le client de cette obligation légale avant de procéder au traitement, à moins que la loi n'interdise une telle notification. 2.3Le Client donne instruction à vFairs (et autorise vFairs à donner instruction à chaque sous-traitant) de, dans la mesure où cela est raisonnablement nécessaire à la fourniture des Services : (a) traiter les Données à caractère personnel du Client ; (b) de transférer les Données personnelles du Client vers tout pays ou territoire, à condition que cela soit conforme à la section 10 (Transferts transfrontaliers) ci-dessous ; et (c) de faire appel à tout Sous-traitant, à condition que cela soit conforme à la section 9 (Sous-traitance) ci-dessous. Si le Client en fait la demande et que cela est stipulé dans un Contrat, vFairs stockera les Données personnelles du Client dans un Centre de données situé dans l'Union européenne. Le Client accepte que des limitations techniques puissent s'appliquer à l'utilisation d'un centre de données situé dans l'Union européenne, comme précisé plus en détail dans le Contrat applicable ou comme communiqué autrement au Client. 2.4 Conformément à la CCPA et aux exigences de celle-ci, vFairs traitera les Données personnelles du Client dans la mesure nécessaire à la fourniture des Services décrits dans le Contrat et uniquement aux fins indiquées par le Client, d'une manière conforme au présent Avenant. vFairs ne conservera, n'utilisera ni ne divulguera ces Données personnelles du Client à aucune autre fin que celle de fournir les Services, ce qui, pour éviter toute ambiguïté, interdit à vFairs de conserver, d'utiliser ou de divulguer les Données personnelles du Client en dehors de la relation commerciale directe avec le Client ou à toute autre fin commerciale. vFairs s'engage à ne pas vendre, louer, publier, divulguer, diffuser, mettre à disposition, transférer ou communiquer de quelque manière que ce soit ces Données personnelles du Client à un tiers en échange d'une contrepartie financière ou de toute autre valeur. vFairs certifie qu’elle comprend les restrictions énoncées dans la présente section 2.4 et qu’elle s’y conformera. Le Client accepte que vFairs puisse anonymiser ou agréger les Données personnelles du Client et d’autres données liées aux Services afin d’en faire des Données anonymes, lesquelles pourront ensuite être utilisées aux fins de l’exploitation et de l’amélioration des services et des opérations de vFairs, ainsi qu’à d’autres fins de recherche, d’analyse et à des fins connexes. vFairs peut conserver des Données anonymes dans le cadre de ses propres registres et informations, et ces données ne seront plus soumises au Contrat ou au présent Avenant. Le terme « Données anonymes » désigne les données qui ont été anonymisées et/ou agrégées avec d’autres données dans une mesure telle que les données du Client ne sont plus identifiables, et que les personnes ne sont plus identifiées, identifiables, liées ou pouvant être liées, ni autrement identifiables par référence à ou en combinaison avec d’autres ensembles de données. 2.5Le Client s'engage à ce que (a) la communication par le Client de ses Données à caractère personnel et de ses instructions relatives au Traitement des Données à caractère personnel soit conforme aux Lois sur la protection des données et à ce que le Client reste, à tout moment pertinent, dûment et effectivement habilité à donner les instructions énoncées dans la présente section (Traitement des Données à caractère personnel) (b) le Client traitera, dans le cadre de l'utilisation des Services, les Données à caractère personnel conformément aux exigences des Lois sur la protection des données ; et (c) le Client fournira toutes les notifications requises aux Personnes concernées et obtiendra tous les consentements requis de leur part en ce qui concerne le Traitement des Données à caractère personnel du Client, tel qu'envisagé dans le présent Avenant et dans le Contrat, ou conformément à toute autre instruction donnée par le Client. 2.6 L'annexe 1 du présent addendum précise l'objet et la durée du traitement, la nature et la finalité du traitement, ainsi que les catégories de données à caractère personnel et de personnes concernées, conformément à l'article 28, paragraphe 3, du RGPD. Chacune des parties peut apporter des modifications raisonnables à l'annexe 1 si elle le juge raisonnablement nécessaire pour satisfaire aux exigences de l'article 28, paragraphe 3, du RGPD, en fournissant à l'autre partie une annexe 1 mise à jour ou supplémentaire. 3) Le personnel de vFairs vFairs prendra toutes les mesures raisonnables pour garantir la fiabilité de tout employé, agent ou sous-traitant susceptible d'avoir accès aux données personnelles du client, en veillant à ce que ces personnes soient soumises à des obligations de confidentialité, qu'elles soient de nature professionnelle ou légale. 4) Sécurité vFairs mettra en œuvre les mesures techniques et organisationnelles appropriées, telles que décrites à l'annexe 2 (Mesures techniques et organisationnelles), qui sont conçues pour garantir un niveau de sécurité adapté aux risques liés au traitement des données à caractère personnel des clients. Pour évaluer le niveau de sécurité approprié, vFairs tiendra compte notamment des risques liés au traitement, en particulier ceux résultant de la destruction accidentelle ou illicite, de la perte, de l'altération, de la divulgation non autorisée ou de l'accès non autorisé aux données à caractère personnel transmises, stockées ou traitées d'une autre manière. 5) Violation de données à caractère personnel vFairs informera le Client sans délai injustifié si elle constate une violation de données à caractère personnel concernant les données à caractère personnel du Client et lui fournira les informations (dans la mesure où elles sont disponibles) nécessaires pour l'aider à s'acquitter de toute obligation de signaler une violation de données à caractère personnel en vertu des lois sur la protection des données. vFairs coopérera avec le Client et prendra les mesures raisonnables convenues de bonne foi par les parties afin de faciliter l'enquête, l'atténuation et la correction de chaque violation de données. Dans la mesure où le Client est responsable d'une violation de données à caractère personnel, le Client remboursera à vFairs tous les frais raisonnablement et dûment engagés par vFairs dans l'exécution de ses obligations au titre de la présente section (y compris les frais internes et les frais de tiers, notamment les frais juridiques). 6) Droits des personnes concernées et des consommateurs vFairs informera sans délai le Client si elle reçoit une demande émanant d'une personne concernée ou d'un consommateur habilité, en vertu de la législation applicable, à exercer un droit concernant les Données personnelles du Client qui se rapportent à cette personne concernée ou à ce consommateur. Sur demande, vFairs fournira au Client une assistance raisonnable, dans la mesure nécessaire, pour permettre au Client de s'acquitter de ses obligations en vertu des lois applicables afin de répondre à ces demandes relatives à ses Données à caractère personnel. Compte tenu de la nature du Traitement, cette assistance comprendra, dans la mesure du possible, la mise en œuvre de mesures techniques et organisationnelles raisonnables et appropriées pour permettre au Client de répondre efficacement à ces demandes. 7) Analyse d'impact relative à la protection des données et consultation préalable Sur demande et sous réserve de la nature du traitement concerné et des informations dont dispose vFairs, vFairs apportera une assistance raisonnable au Client pour toute analyse d'impact relative à la protection des données et toute consultation préalable auprès d'une autorité de contrôle, telles que requises par la législation applicable en matière de protection des données. Le Client remboursera intégralement à vFairs tous les frais raisonnablement et légitimement engagés par vFairs dans l'exécution de ses obligations au titre de la présente section (y compris les frais internes et les frais de tiers, tels que les honoraires d'avocat). 8) Droits de contrôle 8.1 Sur demande écrite du Client, vFairs mettra à la disposition du Client les informations raisonnablement nécessaires pour démontrer le respect par vFairs du présent avenant, et autorisera et facilitera les contrôles effectués par un auditeur tiers indépendant et qualifié désigné par le Client, concernant le traitement des données à caractère personnel du Client par vFairs ou ses sous-traitants. 8.2 Le Client informera vFairs dans un délai raisonnable de tout audit ou inspection devant être effectué en vertu de la présente section et prendra (et veillera à ce que chacun de ses auditeurs mandatés prenne) toutes les mesures raisonnables pour éviter de causer tout dommage, préjudice ou perturbation aux locaux, équipements, personnel et activités de vFairs ou de tout sous-traitant au cours d’un tel audit. Sauf disposition contraire de la loi applicable ou d'une autorité de contrôle compétente, tout audit ou inspection sera effectué pendant les heures normales de travail, au maximum une fois par année civile. Le Client remboursera intégralement à vFairs tous les frais raisonnablement et dûment engagés par vFairs dans l'exécution de ses obligations en vertu de la présente section (y compris les frais internes, les frais de tiers, notamment les frais juridiques, et les frais engagés par vFairs au titre des audits d'autres sous-traitants). Toute information obtenue en vertu de la présente section sera traitée de manière confidentielle et ne sera divulguée à aucune personne sans le consentement exprès de vFairs, et le Client veillera à ce que tout auditeur, agent, membre du personnel ou toute autre personne ou entité participant à cet audit soit soumis à des obligations de confidentialité écrites appropriées. 9) Sous-traitance 9.1 Le Client autorise vFairs à désigner des sous-traitants (et à permettre à chaque sous-traitant désigné conformément à la présente section de désigner à son tour des sous-traitants). Le Client accepte expressément que vFairs puisse continuer à faire appel aux autres sous-traitants déjà engagés par vFairs à la date du présent avenant. 9.2 Les parties s'efforceront de bonne foi de résoudre les objections du Client concernant la désignation de tout sous-traitant. Pendant cette période, la fourniture des Services pourrait s'en trouver affectée ; le Client accepte que vFairs ne soit pas tenue responsable d'une telle incidence. Si les parties ne parviennent pas à résoudre l'objection du Client dans un délai de 90 jours, le Client peut résilier sans pénalité la partie du Contrat relative aux Services que vFairs déclare ne pas pouvoir fournir sans recourir au Sous-traitant faisant l'objet de l'objection, et vFairs remboursera au Client les montants prépayés mais non utilisés pour cette partie ; dans le cas contraire, le Contrat restera pleinement en vigueur. 9.3 En ce qui concerne chaque sous-traitant, vFairs s'engage à : (a) faire preuve d'une diligence commercialement raisonnable dans l'évaluation, la désignation et la supervision des activités de traitement concernées des sous-traitants ; (b) inclure dans le contrat conclu entre vFairs et chaque sous-traitant des clauses offrant un niveau de protection des données à caractère personnel du client équivalent à celui prévu dans le présent avenant, en tenant compte de la nature des services fournis par le sous-traitant ; (c) si l'accord implique un transfert restreint de données à caractère personnel du client, vFairs veillera à ce que les clauses contractuelles types soient intégrées à tout moment dans l'accord entre vFairs et le sous-traitant ; et (d) restera responsable envers le client de tout manquement de la part de chaque sous-traitant à ses obligations relatives au traitement des données à caractère personnel du client, comme si ce manquement était le sien. 10) Transferts transfrontaliers Le Client, en tant qu'exportateur de données, et vFairs, en tant qu'importateur de données, souscrivent par la présente aux clauses contractuelles types ci-jointes, qui s'appliquent aux données à caractère personnel du Client et prennent effet en cas de transfert soumis à des restrictions concernant les données à caractère personnel du Client. En ce qui concerne les données à caractère personnel du client soumises à des lois sur la protection des données autres que celles de l'EEE ou du Royaume-Uni, qui s'appliquent aux transferts soumis à des restrictions, dans les clauses contractuelles types, les termes « État membre » et « État » sont remplacés partout par le mot « juridiction », le terme « autorité de contrôle » désignera l'autorité de protection des données compétente ou tout autre organisme public habilité à faire respecter les lois sur la protection des données, et les références aux « lois applicables en matière de protection des données » et à la « directive 95/46/CE » seront remplacées par les « lois applicables en matière de protection des données » telles que définies dans les présentes. 11) Suppression ou restitution des données à caractère personnel À la résiliation ou à l'expiration du Contrat (à moins que la poursuite du Traitement ne fasse l'objet d'un contrat nouveau ou modifié) et dans la mesure où la législation applicable ne l'interdit pas, vFairs mettra fin au Traitement dans un délai de 90 jours et supprimera ou restituera les Données personnelles du Client. Si le Client n'informe pas vFairs de son choix quant à la restitution ou à la suppression de ces Données personnelles du Client au moins 30 jours après la résiliation ou l'expiration du Contrat, il sera alors réputé avoir opté pour la suppression. Les parties conviennent que vFairs n'est pas tenue de restituer ou de supprimer les Données anonymes à la fin du Contrat. 12) Limitation de responsabilité La responsabilité globale de vFairs découlant du présent avenant ou s'y rapportant, qu'elle soit contractuelle, délictuelle ou fondée sur toute autre théorie de responsabilité, est soumise aux limitations de responsabilité prévues dans le Contrat. Dans la mesure où la législation sur la protection des données le permet, les limitations de responsabilité entre la Société et le Client s'appliquent à la responsabilité entre la Société et le Client dans le cadre des clauses contractuelles types, étant entendu que la présente disposition ne modifie en rien la responsabilité envers une personne concernée en vertu des clauses contractuelles types. 13) Divers. 13.1 Interprétation. Les conditions générales du présent accord sur le traitement des données sont soumises aux conditions générales du contrat, étant entendu qu'en cas de conflit direct entre les conditions générales du présent accord sur le traitement des données et celles du contrat concernant la protection des données, le présent accord sur le traitement des données prévaudra. 13.2 Modifications. Aucune modification, aucun amendement ni aucune modification du présent accord de traitement des données ne sera valable s'il n'est pas consigné par écrit et signé par un représentant habilité des deux parties. 13.3 Nullité. Si une disposition du présent accord sur le traitement des données (DPA) venait à être jugée nulle ou inapplicable en vertu d'une loi applicable, cette disposition nulle ou inapplicable sera alors réputée remplacée par une disposition valide et applicable qui se rapproche le plus possible de l'intention de la disposition initiale, et le reste du DPA restera en vigueur. 13.4 Durée. Le présent accord sur le traitement des données (ATD) prendra effet à la date d'entrée en vigueur du contrat ou à la date à laquelle la dernière partie l'aura signé, si celui-ci est conclu après la date d'entrée en vigueur du contrat. L'ATD restera en vigueur jusqu'à la résiliation du contrat. 13.5 Maintien en vigueur. Les droits et obligations respectifs des parties au titre du présent accord de traitement des données (DPA) resteront en vigueur après la résiliation du DPA dans la mesure nécessaire à la réalisation de leurs objectifs. 13.6 Absence de tiers bénéficiaires – Sauf dans les cas expressément prévus par les lois sur la protection des données pour une personne concernée dans les clauses contractuelles types, aucune disposition du présent avenant n’a pour objet de bénéficier à une personne physique ou morale qui n’est pas partie au présent avenant, et aucune personne physique ou morale qui n’est pas partie au présent avenant n’a le droit de faire valoir ou d’obtenir un droit ou un recours en vertu des présentes. EN FOI DE QUOI, les parties aux présentes ont signé le présent accord de traitement des données. vFairs LLC : CLIENT : Signatures :________________________ Nom :______________________ Titre :__________________________ Date :_________________________ Signatures :________________________ Nom :______________________ Titre :___________________________ Date :__________________________ CLAUSES CONTRACTUELLES TYPES SECTION I Article 1 Objet et champ d'application (a) Les présentes clauses contractuelles types ont pour objet de garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) en ce qui concerne le transfert de données vers un pays tiers. b) Les parties : ________________[Nom du client], société constituée en vertu des lois de [ ________________], dont l' adresse professionnelle à [ _______________________ ] Lorsque l'exportateur de données est un sous-traitant soumis au règlement (UE) 2016/679 agissant pour le compte d'une institution ou d'un organe de l'Union en tant que responsable du traitement, le recours à ces clauses lors du recours à un autre sous-traitant (sous-traitance en aval) non soumis au règlement (UE) 2016/679 garantit également le respect de l'article 29, paragraphe 4, du règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions, organes et organismes de l'Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (JO L 295 du 21.11.2018, p. 39), dans la mesure où les présentes clauses et les obligations en matière de protection des données prévues dans le contrat ou tout autre acte juridique conclu entre le responsable du traitement et le sous-traitant conformément à l’article 29, paragraphe 3, du règlement (UE) 2018/1725 sont alignées. Ce sera notamment le cas lorsque le responsable du traitement et le sous-traitant se fondent sur les clauses contractuelles types figurant dans la décision 2021/915. Et vFairs LLC une société constituée en vertu des lois de l'État du Delaware, dont le siège social au 1510 Randolph St, Ste 208, Carrollton, TX 75006 (i) la ou les personnes physiques ou morales, les autorités publiques, les agences ou autres organismes (ci-après dénommés «entités») qui transfèrent les données à caractère personnel, tels qu’énumérés à l’annexe I.A (ci-après dénommés individuellement «exportateurs de données»), et (ii) la ou les entités situées dans un pays tiers qui reçoivent les données à caractère personnel de la part de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses, telles qu’énumérées à l’annexe I.A (ci-après dénommées individuellement « importateur de données ») ont accepté les présentes clauses contractuelles types (ci-après dénommées « les clauses »). (c) Les présentes clauses s'appliquent au transfert des données à caractère personnel visées à l'annexe I.B. (d) L'annexe aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des présentes clauses. Article 2 Validité et caractère immuable des clauses a) Les présentes clauses prévoient des garanties appropriées, y compris des droits exécutoires pour les personnes concernées et des recours juridictionnels effectifs, conformément à l’article 46, paragraphe 1, et à l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des responsables du traitement vers les sous-traitants et/ou entre sous-traitants, des clauses contractuelles types conformément à l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l’annexe. Cela n’empêche pas les parties d’inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à condition qu’elles ne contredisent pas, directement ou indirectement, les présentes clauses ou ne portent pas atteinte aux droits ou libertés fondamentaux des personnes concernées. b) Les présentes clauses ne portent pas atteinte aux obligations auxquelles l'exportateur de données est soumis en vertu du règlement (UE) 2016/679. Article 3 Bénéficiaires tiers (a) Les personnes concernées peuvent invoquer et faire valoir les présentes clauses, en tant que tiers bénéficiaires, à l'encontre de l'exportateur de données et/ou de l'importateur de données, sous réserve des exceptions suivantes : (i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7 ; (ii) Clause 8 – Module 1 : Clause 8.5 (e) et Clause 8.9(b) ; Module 2 : Clause 8.1(b), 8.9(a), (c), (d) et (e) ; Module trois : clause 8.1(a), (c) et (d) et clause 8.9(a), (c), (d), (e), (f) et (g) ; Module quatre : clause 8.1(b) et clause 8.3(b) ; (iii) Article 9 – Module deux : alinéas a), c), d) et e) de l'article 9 ; Module trois : alinéas a), c), d) et e) de l'article 9 ; (iv) Article 12 – Module 1 : Article 12(a) et (d) ; Modules 2 et 3 : Article 12(a), (d) et (f) ; (v) Clause 13 ; (vi) Clause 15.1(c), (d) et (e) ; (vii) Clause 16(e) ; (viii) Article 18 – Modules un, deux et trois : alinéas a) et b) de l'article 18 ; module quatre : article 18. b) Le paragraphe (a) ne porte pas atteinte aux droits des personnes concernées en vertu du règlement (UE) 2016/679. Article 4 Interprétation a) Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ces termes ont la même signification que dans ledit règlement. b) Les présentes clauses doivent être lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679. c) Les présentes clauses ne doivent pas être interprétées d'une manière qui soit en contradiction avec les droits et obligations prévus par le règlement (UE) 2016/679. Article 5 Hiérarchie En cas de contradiction entre les présentes clauses et les dispositions des accords connexes conclus entre les parties, qu'ils soient en vigueur au moment de la conclusion des présentes clauses ou conclus ultérieurement, les présentes clauses prévaudront. Article 6 Description du ou des virements Les détails du ou des transferts, et notamment les catégories de données à caractère personnel transférées ainsi que la ou les finalités de ces transferts, sont précisés à l'annexe I.B. Article 7 – Facultatif Clause de rattachement (a) Une entité qui n'est pas partie aux présentes clauses peut, avec l'accord des parties, y adhérer à tout moment, soit en tant qu'exportateur de données, soit en tant qu'importateur de données, en remplissant l'appendice et en signant l'annexe I.A. b) Une fois l'appendice rempli et l'annexe I.A signée, l'entité adhérente devient partie aux présentes clauses et se voit conférer les droits et obligations d'un exportateur ou d'un importateur de données, conformément à sa désignation figurant à l'annexe I.A. c) L'entité adhérente n'a aucun droit ni aucune obligation découlant des présentes clauses pour la période antérieure à son adhésion en tant que partie. SECTION II – OBLIGATIONS DES PARTIES Article 8 Mesures de protection des données L'exportateur de données garantit avoir déployé tous les efforts raisonnables pour s'assurer que l'importateur de données est en mesure, grâce à la mise en œuvre de mesures techniques et organisationnelles appropriées, de s'acquitter des obligations qui lui incombent en vertu des présentes clauses. MODULE 2 : Transfert du contrôleur vers le processeur 8.1 Instructions (a) L'importateur de données ne traite les données à caractère personnel que sur la base d'instructions documentées de l'exportateur de données. L'exportateur de données peut donner de telles instructions pendant toute la durée du contrat. b) L'importateur de données informe immédiatement l'exportateur de données s'il n'est pas en mesure de suivre ces instructions. 8.2 Limitation de la finalité L'importateur de données ne traite les données à caractère personnel qu'aux fins spécifiques du transfert, telles que définies à l'annexe I.B, sauf instruction contraire de l'exportateur de données. 8.3 Transparence Sur demande, l'exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, y compris l'annexe telle que complétée par les parties. Dans la mesure nécessaire à la protection des secrets d'affaires ou d'autres informations confidentielles, y compris les mesures décrites à l'annexe II et les données à caractère personnel, l'exportateur de données peut expurger une partie du texte de l'annexe aux présentes clauses avant d'en communiquer une copie, mais il doit fournir un résumé pertinent lorsque la personne concernée ne serait pas en mesure, sans cela, de comprendre le contenu ou d'exercer ses droits. Sur demande, les parties fournissent à la personne concernée les motifs des expurgations, dans la mesure du possible sans révéler les informations expurgées. La présente clause ne porte pas atteinte aux obligations de l'exportateur de données au titre des articles 13 et 14 du règlement (UE) 2016/679. 8.4 Précision Si l'importateur de données constate que les données à caractère personnel qu'il a reçues sont inexactes ou ne sont plus à jour, il en informe l'exportateur de données sans retard injustifié. Dans ce cas, l'importateur de données coopère avec l'exportateur de données afin d'effacer ou de rectifier les données. 8.5 Durée du traitement et effacement ou restitution des données Le traitement par le destinataire des données n'aura lieu que pendant la durée spécifiée à l'annexe I.B. À l'issue de la prestation des services de traitement, le destinataire des données devra, au choix de l'expéditeur des données, soit effacer toutes les données à caractère personnel traitées pour le compte de l'expéditeur des données et certifier à ce dernier qu'il l'a fait, soit restituer à l'expéditeur des données toutes les données à caractère personnel traitées pour son compte et effacer les copies existantes. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de garantir le respect des présentes clauses. Si la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel, l’importateur de données garantit qu’il continuera à assurer le respect des présentes clauses et ne traitera ces données que dans la mesure et pendant la durée requises par cette législation locale. Ceci est sans préjudice de la clause 14, en particulier de l'obligation faite à l'importateur de données, en vertu de la clause 14(e), d'informer l'exportateur de données pendant toute la durée du contrat s'il a des raisons de croire qu'il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences de la clause 14(a). 8.6 Sécurité du traitement (a) L'importateur de données et, pendant la transmission, l'exportateur de données mettent en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, y compris la protection contre toute violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à ces données (ci-après dénommée « violation de données à caractère personnel »). Pour évaluer le niveau de sécurité approprié, les parties tiennent dûment compte de l’état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques que le traitement présente pour les personnes concernées. Les parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, y compris pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée spécifique restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données. Afin de se conformer aux obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles spécifiées à l’annexe II. L’importateur de données procède à des contrôles réguliers afin de s’assurer que ces mesures continuent d’assurer un niveau de sécurité approprié. b) L'importateur de données ne doit accorder l'accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il doit s'assurer que les personnes autorisées à traiter les données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée. (c) En cas de violation de données à caractère personnel concernant les données à caractère personnel traitées par l’importateur de données en vertu des présentes clauses, l’importateur de données prend les mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L'importateur de données doit également notifier l'exportateur de données sans retard injustifié dès qu'il a pris connaissance de la violation. Cette notification doit contenir les coordonnées d'un point de contact auprès duquel des informations complémentaires peuvent être obtenues, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données à caractère personnel concernés), ses conséquences probables et les mesures prises ou proposées pour y remédier, y compris, le cas échéant, des mesures visant à atténuer ses effets négatifs éventuels. Lorsque, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations alors disponibles et les informations complémentaires sont, dès qu'elles sont disponibles, fournies sans retard injustifié. d) L'importateur de données coopère avec l'exportateur de données et lui apporte son aide afin de permettre à ce dernier de se conformer aux obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment en ce qui concerne la notification à l'autorité de contrôle compétente et aux personnes concernées, en tenant compte de la nature du traitement et des informations dont dispose l'importateur de données. 8.7 Données sensibles Lorsque le transfert porte sur des données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale, sur des données génétiques ou des données biométriques aux fins de l'identification unique d'une personne physique, sur des données relatives à la santé, à la vie sexuelle ou à l'orientation sexuelle d'une personne, ou sur des données relatives aux condamnations pénales et aux infractions (ci-après dénommées «données sensibles»), le destinataire du transfert doit appliquer les restrictions spécifiques et/ou les garanties supplémentaires décrites à l'annexe I.B. 8.8 Transferts ultérieurs Le destinataire des données ne peut communiquer les données à caractère personnel à un tiers que sur instruction écrite de l'exportateur des données. En outre, les données ne peuvent être communiquées à un tiers établi en dehors de l'Union européenne(2) (dans le même pays que l'importateur de données ou dans un autre pays tiers, ci-après dénommé «transfert ultérieur») si ce tiers est lié par les présentes clauses, au titre du module approprié, ou s'il accepte d'y être lié, ou si : (i) le transfert ultérieur est destiné à un pays bénéficiant d'une décision d'adéquation au titre de l'article 45 du règlement (UE) 2016/679 qui couvre ce transfert ultérieur ; (ii) le tiers garantit par ailleurs des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question ; (iii) le transfert ultérieur est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou (iv) le transfert ultérieur est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique. Tout transfert ultérieur est subordonné au respect, par le destinataire des données, de toutes les autres garanties prévues par les présentes clauses, en particulier la limitation de la finalité. (2) L'accord sur l'Espace économique européen (accord EEE) prévoit l'extension du marché intérieur de l'Union européenne aux trois États membres de l'EEE, à savoir l'Islande, le Liechtenstein et la Norvège. La législation de l'Union en matière de protection des données, y compris le règlement (UE) 2016/679, est couverte par l'accord EEE et a été intégrée à son annexe XI. Par conséquent, toute divulgation par l'importateur de données à un tiers situé dans l'EEE ne constitue pas un transfert ultérieur au sens des présentes clauses. 8.9 Documentation et conformité (a) L'importateur de données doit traiter rapidement et de manière adéquate les demandes de renseignements de l'exportateur de données concernant le traitement effectué en vertu des présentes clauses. (b) Les parties doivent être en mesure de démontrer qu’elles respectent les présentes clauses. En particulier, l’importateur de données doit conserver une documentation appropriée sur les activités de traitement effectuées pour le compte de l’exportateur de données. (c) L'importateur de données met à la disposition de l'exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses et, à la demande de l'exportateur de données, autorise et contribue à la réalisation d'audits des activités de traitement couvertes par les présentes clauses, à des intervalles raisonnables ou s'il existe des indices de non-conformité. Lorsqu'il décide d'un examen ou d'un audit, l'exportateur de données peut tenir compte des certifications pertinentes détenues par l'importateur de données. (d) L'exportateur de données peut choisir de réaliser lui-même l'audit ou de mandater un auditeur indépendant. Les audits peuvent inclure des inspections dans les locaux ou les installations physiques de l'importateur de données et doivent, le cas échéant, être effectués moyennant un préavis raisonnable. e) Les parties mettent à la disposition de l'autorité de contrôle compétente, sur demande, les informations visées aux paragraphes (b) et (c), y compris les résultats de tout audit. MODULE TROIS : Transfert de processeur à processeur 8.1 Instructions (a) L'exportateur de données a informé l'importateur de données qu'il agit en tant que sous-traitant selon les instructions de son ou ses responsables du traitement, que l'exportateur de données doit mettre à la disposition de l'importateur de données avant le traitement. b) L'importateur de données ne traite les données à caractère personnel que sur la base d'instructions écrites du responsable du traitement, telles que communiquées à l'importateur de données par l'exportateur de données, ainsi que de toute instruction écrite supplémentaire de l'exportateur de données. Ces instructions supplémentaires ne doivent pas être en contradiction avec les instructions du responsable du traitement. Le responsable du traitement ou l'exportateur de données peut donner des instructions écrites supplémentaires concernant le traitement des données pendant toute la durée du contrat. (c) L'importateur de données informe immédiatement l'exportateur de données s'il n'est pas en mesure de suivre ces instructions. Lorsque l'importateur de données n'est pas en mesure de suivre les instructions du responsable du traitement, l'exportateur de données en informe immédiatement ce dernier. (d) L'exportateur de données garantit qu'il a imposé à l'importateur de données les mêmes obligations en matière de protection des données que celles prévues dans le contrat ou tout autre acte juridique relevant du droit de l'Union ou du droit d'un État membre conclu entre le responsable du traitement et l'exportateur de données(5) (5) Voir l'article 28, paragraphe 4, du règlement (UE) 2016/679 et, lorsque le responsable du traitement est une institution ou un organe de l'Union européenne, l'article 29, paragraphe 4, du règlement (UE) 2018/1725. 8.2 Limitation de la finalité L'importateur de données ne traite les données à caractère personnel qu'aux fins spécifiques du transfert, telles que définies à l'annexe I. B., sauf instructions contraires du responsable du traitement, communiquées à l'importateur de données par l'exportateur de données, ou de la part de l'exportateur de données. 8.3 Transparence Sur demande, l'exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, y compris l'annexe telle que complétée par les parties. Dans la mesure où cela est nécessaire pour protéger des secrets d'affaires ou d'autres informations confidentielles, y compris des données à caractère personnel, l'exportateur de données peut expurger une partie du texte de l'annexe avant d'en communiquer une copie, mais il doit fournir un résumé pertinent lorsque la personne concernée ne serait pas en mesure, sans cela, de comprendre son contenu ou d'exercer ses droits. Sur demande, les parties communiquent à la personne concernée les motifs des expurgations, dans la mesure du possible sans révéler les informations expurgées. 8,4 Précision Si l'importateur de données constate que les données à caractère personnel qu'il a reçues sont inexactes ou ne sont plus à jour, il en informe l'exportateur de données sans retard injustifié. Dans ce cas, l'importateur de données coopère avec l'exportateur de données afin de rectifier ou d'effacer les données. 8.5 Durée du traitement et effacement ou restitution des données Le traitement par le destinataire des données n'aura lieu que pendant la durée spécifiée à l'annexe I.B. À l'issue de la prestation des services de traitement, le destinataire des données devra, au choix de l'exportateur des données, soit effacer toutes les données à caractère personnel traitées pour le compte du responsable du traitement et certifier à l'exportateur des données qu'il l'a fait, soit restituer à l'exportateur des données toutes les données à caractère personnel traitées pour son compte et effacer les copies existantes. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de garantir le respect des présentes clauses. Si la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel, l’importateur de données garantit qu’il continuera à assurer le respect des présentes clauses et ne traitera ces données que dans la mesure et pour la durée requises par cette législation locale. Ceci est sans préjudice de la clause 14, en particulier de l'obligation faite à l'importateur de données, en vertu de la clause 14(e), d'informer l'exportateur de données pendant toute la durée du contrat s'il a des raisons de croire qu'il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences de la clause 14(a). 8.6 Sécurité du traitement (a) L'importateur de données et, pendant la transmission, l'exportateur de données mettent en œuvre les mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, y compris la protection contre toute violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à ces données (ci-après dénommée «violation de données à caractère personnel»). Pour évaluer le niveau de sécurité approprié, ils tiennent dûment compte de l’état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques que le traitement présente pour la personne concernée. Les parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, y compris pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée spécifique restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données ou du responsable du traitement. Pour se conformer aux obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles spécifiées à l’annexe II. L’importateur de données procède à des contrôles réguliers afin de s’assurer que ces mesures continuent d’assurer un niveau de sécurité approprié. b) L'importateur de données ne doit accorder l'accès aux données aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il doit s'assurer que les personnes autorisées à traiter les données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée. (c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données en vertu des présentes clauses, l’importateur de données prend les mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données notifie également, sans retard injustifié, l’exportateur de données et, le cas échéant et dans la mesure du possible, le responsable du traitement dès qu’il a pris connaissance de la violation. Cette notification doit contenir les coordonnées d’un point de contact auprès duquel des informations complémentaires peuvent être obtenues, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), ses conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris les mesures visant à atténuer ses effets négatifs éventuels. Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations alors disponibles et les informations complémentaires sont, dès qu’elles sont disponibles, fournies sans retard injustifié. (d) L'importateur de données coopère avec l'exportateur de données et lui apporte son aide afin de permettre à ce dernier de se conformer aux obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment de notifier son responsable du traitement afin que ce dernier puisse à son tour notifier l'autorité de contrôle compétente et les personnes concernées, en tenant compte de la nature du traitement et des informations dont dispose l'importateur de données. 8,7 Données sensibles Lorsque le transfert porte sur des données à caractère personnel révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale, sur des données génétiques ou des données biométriques aux fins de l'identification unique d'une personne physique, sur des données relatives à la santé, à la vie sexuelle ou à l'orientation sexuelle d'une personne, ou sur des données relatives aux condamnations pénales et aux infractions (ci-après dénommées «données sensibles»), le destinataire du transfert doit appliquer les restrictions spécifiques et/ou les garanties supplémentaires prévues à l'annexe I.B. 8,8 Transferts ultérieurs L'importateur de données ne peut communiquer les données à caractère personnel à un tiers que sur instruction écrite du responsable du traitement, telle qu'elle lui a été transmise par l'exportateur de données. En outre, les données ne peuvent être communiquées qu'à un tiers établi en dehors de l'Union européenne(6) (6) L’accord sur l’Espace économique européen (accord EEE) prévoit l’extension du marché intérieur de l’Union européenne aux trois États de l’EEE que sont l’Islande, le Liechtenstein et la Norvège. La législation de l’Union en matière de protection des données, y compris le règlement (UE) 2016/679, est couverte par l’accord EEE et a été intégrée à son annexe XI. Par conséquent, toute divulgation par l’importateur de données à un tiers situé dans l’EEE ne constitue pas un transfert ultérieur au sens des présentes clauses. (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après dénommé «transfert ultérieur») si le tiers est ou accepte d’être lié par les présentes clauses, au titre du module approprié, ou si: (i) le transfert ultérieur est destiné à un pays bénéficiant d'une décision d'adéquation au titre de l'article 45 du règlement (UE) 2016/679 qui couvre ce transfert ultérieur ; (ii) le tiers garantit par ailleurs des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 ; (iii) le transfert ultérieur est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou (iv) le transfert ultérieur est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique. Tout transfert ultérieur est subordonné au respect, par le destinataire des données, de toutes les autres garanties prévues par les présentes clauses, en particulier la limitation de la finalité. 8.9 Documentation et conformité (a) L'importateur de données doit traiter rapidement et de manière adéquate les demandes de renseignements de l'exportateur de données ou du responsable du traitement concernant le traitement effectué en vertu des présentes clauses. b) Les parties doivent être en mesure de démontrer qu’elles respectent les présentes clauses. En particulier, le sous-traitant doit conserver une documentation appropriée sur les activités de traitement effectuées pour le compte du responsable du traitement. (c) L'importateur de données met à la disposition de l'exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses, et ce dernier les transmet au responsable du traitement. (d) L'importateur de données doit autoriser et contribuer aux audits menés par l'exportateur de données sur les activités de traitement couvertes par les présentes clauses, à des intervalles raisonnables ou s'il existe des indices de non-conformité. Il en va de même lorsque l'exportateur de données demande un audit sur instruction du responsable du traitement. Lorsqu'il décide de procéder à un audit, l'exportateur de données peut tenir compte des certifications pertinentes détenues par l'importateur de données. e) Lorsque l'audit est réalisé sur instruction du responsable du traitement, l'exportateur de données met les résultats à la disposition du responsable du traitement. (f) L'exportateur de données peut choisir de réaliser lui-même l'audit ou de mandater un auditeur indépendant. Les audits peuvent inclure des inspections dans les locaux ou les installations physiques de l'importateur de données et doivent, le cas échéant, être effectués moyennant un préavis raisonnable. (g) Les parties mettent à la disposition de l'autorité de contrôle compétente, sur demande, les informations visées aux paragraphes b) et c), y compris les résultats de tout audit. Article 9 Recours à des sous-traitants MODULE 2 : Transfert du contrôleur vers le processeur (a) AUTORISATION GÉNÉRALE ÉCRITE : L'importateur de données dispose de l'autorisation générale de l'exportateur de données pour engager un ou plusieurs sous-traitants figurant sur une liste convenue. L'importateur de données informe spécifiquement l'exportateur de données par écrit de toute modification envisagée de cette liste par l'ajout ou le remplacement de sous-traitants au moins 30 jours à l'avance, donnant ainsi à l'exportateur de données suffisamment de temps pour pouvoir s'opposer à ces modifications avant le recours au(x) sous-traitant(s). L'importateur de données fournit à l'exportateur de données les informations nécessaires pour permettre à ce dernier d'exercer son droit d'opposition. b) Lorsque l’importateur de données fait appel à un sous-traitant pour effectuer des activités de traitement spécifiques (pour le compte de l’exportateur de données), il doit le faire au moyen d’un contrat écrit prévoyant, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données en vertu des présentes clauses, y compris en ce qui concerne les droits des tiers bénéficiaires pour les personnes concernées.(3) Les parties conviennent qu’en se conformant à la présente clause, l’importateur de données remplit ses obligations au titre de la clause 8.8. L’importateur de données veille à ce que le sous-traitant respectant les obligations auxquelles l’importateur de données est soumis en vertu des présentes clauses. (c) L'importateur de données fournit, à la demande de l'exportateur de données, une copie dudit accord de sous-traitance et de toute modification ultérieure à l'exportateur de données. Dans la mesure nécessaire à la protection des secrets d'affaires ou d'autres informations confidentielles, y compris les données à caractère personnel, l'importateur de données peut expurger le texte de l'accord avant d'en communiquer une copie. (d) L'importateur de données reste pleinement responsable envers l'exportateur de données de l'exécution des obligations du sous-traitant en vertu de son contrat avec l'importateur de données. L'importateur de données informe l'exportateur de données de tout manquement du sous-traitant à ses obligations en vertu dudit contrat. (e) L'importateur de données doit convenir avec le sous-traitant d'une clause de tiers bénéficiaire prévoyant que, dans le cas où l'importateur de données aurait disparu de fait, cessé d'exister en droit ou serait devenu insolvable, l'exportateur de données aurait le droit de résilier le contrat de sous-traitance et d'ordonner au sous-traitant d'effacer ou de restituer les données à caractère personnel. 3) Cette exigence peut être satisfaite par l'adhésion du sous-traitant aux présentes clauses dans le cadre du module approprié, conformément à la clause 7. MODULE TROIS : Transfert de processeur à processeur AUTORISATION GÉNÉRALE ÉCRITE L'importateur de données dispose de l'autorisation générale du responsable du traitement pour faire appel à un ou plusieurs sous-traitants figurant sur une liste convenue. L'importateur de données doit informer expressément le responsable du traitement par écrit de toute modification envisagée de cette liste, qu'il s'agisse de l'ajout ou du remplacement de sous-traitants, au moins [Préciser le délai] à l’avance, laissant ainsi au responsable du traitement suffisamment de temps pour s’opposer à ces modifications avant le recours au(x) sous-traitant(s). L’importateur de données doit fournir au responsable du traitement les informations nécessaires pour lui permettre d’exercer son droit d’opposition. L’importateur de données doit informer l’exportateur de données du recours au(x) sous-traitant(s). b) Lorsque l'importateur de données fait appel à un sous-traitant pour effectuer des activités de traitement spécifiques (pour le compte du responsable du traitement), il doit le faire au moyen d'un contrat écrit prévoyant, en substance, les mêmes obligations en matière de protection des données que celles qui lient l'importateur de données en vertu des présentes clauses, y compris en ce qui concerne les droits des personnes concernées en tant que tiers bénéficiaires.(9) (9) Cette exigence peut être satisfaite par l’adhésion du sous-traitant à ces clauses au titre du module approprié, conformément à la clause 7. Les parties conviennent que, en se conformant à la présente clause, l’importateur de données remplit ses obligations au titre de la clause 8.8. L’importateur de données veille à ce que le sous-traitant se conforme aux obligations auxquelles l’importateur de données est soumis en vertu des présentes clauses. (c) L'importateur de données fournit, à la demande de l'exportateur de données ou du responsable du traitement, une copie dudit accord de sous-traitance et de toute modification ultérieure. Dans la mesure nécessaire à la protection des secrets d'affaires ou d'autres informations confidentielles, y compris les données à caractère personnel, l'importateur de données peut expurger le texte de l'accord avant d'en communiquer une copie. (d) L'importateur de données reste pleinement responsable envers l'exportateur de données de l'exécution des obligations du sous-traitant en vertu de son contrat avec l'importateur de données. L'importateur de données informe l'exportateur de données de tout manquement du sous-traitant à ses obligations en vertu dudit contrat. (e) L'importateur de données doit convenir avec le sous-traitant d'une clause de tiers bénéficiaire prévoyant que, dans le cas où l'importateur de données aurait disparu de fait, cessé d'exister en droit ou serait devenu insolvable, l'exportateur de données aurait le droit de résilier le contrat de sous-traitance et d'ordonner au sous-traitant d'effacer ou de restituer les données à caractère personnel. Article 10 Droits des personnes concernées MODULE 2 : Transfert du contrôleur vers le processeur a) L'importateur de données informe sans délai l'exportateur de données de toute demande qu'il a reçue d'une personne concernée. Il ne répond pas lui-même à cette demande, sauf s'il y a été autorisé par l'exportateur de données. b) L'importateur de données aide l'exportateur de données à s'acquitter de ses obligations de répondre aux demandes des personnes concernées visant à exercer leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les parties définissent à l'annexe II les mesures techniques et organisationnelles appropriées, en tenant compte de la nature du traitement, par lesquelles cette assistance est fournie, ainsi que la portée et l'étendue de l'assistance requise. c) Dans l'exécution de ses obligations au titre des paragraphes (a) et (b), l'importateur de données se conforme aux instructions de l'exportateur de données. MODULE TROIS : Transfert de processeur à processeur a) L'importateur de données informe sans délai l'exportateur de données et, le cas échéant, le responsable du traitement de toute demande qu'il a reçue d'une personne concernée, sans y répondre à moins d'y avoir été autorisé par le responsable du traitement. b) L'importateur de données aide, le cas échéant en coopération avec l'exportateur de données, le responsable du traitement à s'acquitter de ses obligations de répondre aux demandes des personnes concernées visant à exercer leurs droits en vertu du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas. À cet égard, les parties définissent à l’annexe II les mesures techniques et organisationnelles appropriées, en tenant compte de la nature du traitement, par lesquelles cette assistance doit être fournie, ainsi que la portée et l’étendue de l’assistance requise. c) Dans l'accomplissement de ses obligations au titre des paragraphes (a) et Article 11 Réparation (a) L'importateur de données informe les personnes concernées, dans un format transparent et facilement accessible, par le biais d'une notification individuelle ou sur son site web, de l'existence d'un point de contact habilité à traiter les réclamations. Il traite sans délai toute réclamation qu'il reçoit d'une personne concernée. [OPTION : L'importateur de données accepte que les personnes concernées puissent également déposer une plainte auprès d'un organisme indépendant de règlement des litiges(4) sans frais pour la personne concernée. Il doit informer les personnes concernées, selon les modalités prévues au paragraphe (a), de l'existence de ce mécanisme de recours et du fait qu'elles ne sont pas tenues de l'utiliser ni de suivre une procédure particulière pour obtenir réparation.] (b) En cas de litige entre une personne concernée et l’une des parties concernant le respect des présentes clauses, cette partie mettra tout en œuvre pour résoudre le litige à l’amiable et dans les meilleurs délais. Les parties se tiendront mutuellement informées de ces litiges et, le cas échéant, coopéreront pour les résoudre. (c) Lorsque la personne concernée invoque un droit de tiers bénéficiaire en vertu de la clause 3, l’importateur de données accepte la décision de la personne concernée de : (i) déposer une plainte auprès de l'autorité de contrôle de l'État membre dans lequel il a sa résidence habituelle ou son lieu de travail, ou auprès de l'autorité de contrôle compétente conformément à la clause 13 ; (ii) soumettre le litige aux tribunaux compétents au sens de la clause 18. (d) Les parties conviennent que la personne concernée peut être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions prévues à l'article 80, paragraphe 1, du règlement (UE) 2016/679. e) L'importateur de données doit se conformer à toute décision ayant force obligatoire en vertu du droit de l'Union européenne ou du droit d'un État membre applicable. (f) L'importateur de données accepte que le choix effectué par la personne concernée ne porte pas atteinte à ses droits substantiels et procéduraux de demander réparation conformément à la législation applicable. (4) L'importateur de données ne peut proposer un mode de règlement des litiges indépendant par le biais d'un organisme d'arbitrage que si celui-ci est établi dans un pays ayant ratifié la Convention de New York pour la reconnaissance et l'exécution des sentences arbitrales. Article 12 Responsabilité (a) Chaque partie est responsable envers l'autre ou les autres parties de tout préjudice qu'elle leur cause en raison d'une violation des présentes clauses. (b) L'importateur de données est responsable envers la personne concernée, et celle-ci a droit à une indemnisation, pour tout préjudice matériel ou moral que l'importateur de données ou son sous-traitant lui cause en violant les droits des tiers bénéficiaires prévus par les présentes clauses. (c) Nonobstant le paragraphe (b), l’exportateur de données est responsable envers la personne concernée, et celle-ci a droit à une indemnisation, pour tout préjudice matériel ou moral que l’exportateur de données ou l’importateur de données (ou son sous-traitant) cause à la personne concernée en violant les droits des tiers bénéficiaires prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l'exportateur de données et, lorsque l'exportateur de données est un sous-traitant agissant pour le compte d'un responsable du traitement, de la responsabilité du responsable du traitement en vertu du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas. (d) Les parties conviennent que si l'exportateur de données est tenu responsable, en vertu du paragraphe (c), des dommages causés par l'importateur de données (ou son sous-traitant), il est en droit de réclamer à l'importateur de données la partie de l'indemnisation correspondant à la part de responsabilité de ce dernier dans le dommage. (e) Lorsque plusieurs parties sont responsables d'un préjudice causé à la personne concernée à la suite d'une violation des présentes clauses, toutes les parties responsables sont solidairement responsables et la personne concernée est en droit d'intenter une action en justice contre l'une quelconque de ces parties. (f) Les parties conviennent que si l’une d’entre elles est tenue responsable en vertu du paragraphe (e), elle est en droit de réclamer à l’autre ou aux autres parties la partie de l’indemnisation correspondant à leur part de responsabilité dans le dommage. (g) Le destinataire des données ne peut invoquer le comportement d'un sous-traitant pour se soustraire à sa propre responsabilité. Article 13 Supervision [Lorsque l'exportateur de données est établi dans un État membre de l'UE:] L'autorité de contrôle chargée de veiller au respect, par l'exportateur de données, du règlement (UE) 2016/679 en ce qui concerne le transfert de données, telle qu'indiquée à l'annexe I.C, agit en tant qu'autorité de contrôle compétente. [Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, et a désigné un représentant en vertu de l'article 27, paragraphe 1, du règlement (UE) 2016/679 :] L'autorité de contrôle de l'État membre dans lequel le représentant au sens de l'article 27, paragraphe 1, du règlement (UE) 2016/679 est établi, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente. [Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, sans toutefois être tenu de désigner un représentant en vertu de l'article 27, paragraphe 2, du règlement (UE) 2016/679 :] L'autorité de contrôle de l'un des États membres dans lequel se trouvent les personnes concernées dont les données à caractère personnel sont transférées en vertu des présentes clauses dans le cadre de l'offre de biens ou de services à leur intention, ou dont le comportement est surveillé, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente. (b) L'importateur de données s'engage à se soumettre à la compétence de l'autorité de contrôle compétente et à coopérer avec celle-ci dans le cadre de toute procédure visant à garantir le respect des présentes clauses. En particulier, l'importateur de données s'engage à répondre aux demandes de renseignements, à se soumettre à des audits et à se conformer aux mesures adoptées par l'autorité de contrôle, y compris les mesures correctives et compensatoires. Il fournit à l'autorité de contrôle une confirmation écrite attestant que les mesures nécessaires ont été prises. SECTION III – LÉGISLATION LOCALE ET OBLIGATIONS EN CAS D'ACCÈS PAR LES AUTORITÉS PUBLIQUES Article 14 Législations et pratiques locales ayant une incidence sur le respect des clauses (a) Les parties garantissent qu’elles n’ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, y compris toute obligation de divulgation de données à caractère personnel ou toute mesure autorisant l’accès par les autorités publiques, empêchent l’importateur de données de remplir ses obligations au titre des présentes clauses. Cette garantie repose sur le principe selon lequel les lois et pratiques qui respectent l’essence des droits et libertés fondamentaux et ne vont pas au-delà de ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l’un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes clauses. (b) Les parties déclarent que, en accordant la garantie visée au paragraphe (a), elles ont notamment tenu dûment compte des éléments suivants : (i) les circonstances spécifiques du transfert, notamment la longueur de la chaîne de traitement, le nombre d’acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs envisagés ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées ; (ii) les lois et pratiques du pays tiers de destination – y compris celles qui exigent la communication de données aux autorités publiques ou qui autorisent l’accès de ces autorités – pertinentes au regard des circonstances spécifiques du transfert, ainsi que les limitations et garanties applicables(5); (iii) toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées lors de la transmission et du traitement des données à caractère personnel dans le pays de destination. (c) L'importateur de données garantit que, dans le cadre de l'évaluation visée au paragraphe (b), il a fait tout son possible pour fournir à l'exportateur de données les informations pertinentes et s'engage à continuer de coopérer avec l'exportateur de données afin d'assurer le respect des présentes clauses. (d) Les parties conviennent de consigner par écrit l'évaluation visée au paragraphe (b) et de la mettre à la disposition de l'autorité de contrôle compétente sur demande. (e) L'importateur de données s'engage à informer sans délai l'exportateur de données si, après avoir accepté les présentes clauses et pendant toute la durée du contrat, il a des raisons de croire qu'il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences du paragraphe (a), y compris à la suite d'une modification de la législation du pays tiers ou d'une mesure (telle qu'une demande de divulgation) indiquant une application de ces lois dans la pratique qui n'est pas conforme aux exigences du paragraphe (a). (f) À la suite d’une notification effectuée conformément au paragraphe (e), ou si l’exportateur de données a par ailleurs des raisons de croire que l’importateur de données n’est plus en mesure de remplir ses obligations au titre des présentes clauses, l’exportateur de données identifie sans délai les mesures appropriées (par exemple, des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) que l’exportateur de données et/ou l’importateur de données doivent adopter pour remédier à la situation. L'exportateur de données suspend le transfert de données s'il estime qu'aucune garantie appropriée ne peut être assurée pour ce transfert, ou s'il en reçoit l'instruction de l'autorité de contrôle compétente. Dans ce cas, l’exportateur de données est en droit de résilier le contrat, dans la mesure où celui-ci concerne le traitement de données à caractère personnel en vertu des présentes clauses. Si le contrat implique plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, sauf si les parties en ont convenu autrement. Lorsque le contrat est résilié en vertu de la présente clause, les clauses 16(d) et (e) s’appliquent. (5) En ce qui concerne l’incidence de ces lois et pratiques sur le respect des présentes clauses, différents éléments peuvent être pris en compte dans le cadre d’une évaluation globale. Ces éléments peuvent inclure une expérience pratique pertinente et documentée concernant des demandes antérieures de divulgation émanant d’autorités publiques, ou l’absence de telles demandes, couvrant une période suffisamment représentative. Il s’agit en particulier de registres internes ou d’autres documents, établis de manière continue conformément au devoir de diligence et certifiés au niveau de la direction générale, à condition que ces informations puissent être légalement partagées avec des tiers. Lorsque cette expérience pratique est invoquée pour conclure que rien n'empêchera l'importateur de données de se conformer aux présentes clauses, elle doit être étayée par d'autres éléments pertinents et objectifs, et il appartient aux parties d'examiner attentivement si ces éléments, pris dans leur ensemble, ont un poids suffisant, en termes de fiabilité et de représentativité, pour étayer cette conclusion. En particulier, les parties doivent examiner si leur expérience pratique est corroborée et non contredite par des informations fiables, accessibles au public ou par d’autres moyens, concernant l’existence ou l’absence de demandes au sein du même secteur et/ou l’application de la loi dans la pratique, telles que la jurisprudence et les rapports d’organismes de contrôle indépendants. Article 15 Obligations de l'importateur de données en cas d'accès par les autorités publiques 15.1 Notification (a) L'importateur de données s'engage à informer sans délai l'exportateur de données et, dans la mesure du possible, la personne concernée (si nécessaire avec l'aide de l'exportateur de données) s'il : (i) reçoit une demande juridiquement contraignante émanant d'une autorité publique, y compris des autorités judiciaires, en vertu de la législation du pays de destination, visant la divulgation de données à caractère personnel transférées conformément aux présentes clauses ; cette notification doit inclure des informations sur les données à caractère personnel demandées, l'autorité requérante, la base juridique de la demande et la réponse fournie ; ou (ii) prend connaissance de tout accès direct par les autorités publiques aux données à caractère personnel transférées en vertu des présentes clauses, conformément à la législation du pays de destination ; cette notification doit inclure toutes les informations dont dispose l’importateur. (b) Si la législation du pays de destination interdit à l'importateur de données d'informer l'exportateur de données et/ou la personne concernée, l'importateur de données s'engage à tout mettre en œuvre pour obtenir une dérogation à cette interdiction, afin de communiquer autant d'informations que possible, dans les meilleurs délais. L'importateur de données s'engage à consigner par écrit les efforts qu'il a déployés afin de pouvoir en apporter la preuve à la demande de l'exportateur de données. (c) Lorsque la législation du pays de destination le permet, l’importateur de données s’engage à fournir à l’exportateur de données, à intervalles réguliers pendant toute la durée du contrat, autant d’informations pertinentes que possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, l’autorité ou les autorités requérantes, si les demandes ont fait l’objet d’une contestation et l’issue de ces contestations, etc.). (d) Le destinataire des données s'engage à conserver les informations visées aux paragraphes (a) à (c) pendant toute la durée du contrat et à les mettre à la disposition de l'autorité de contrôle compétente sur demande. (e) Les paragraphes (a) à (c) ne portent pas atteinte à l'obligation qui incombe à l'importateur de données, en vertu de la clause 14(e) et de la clause 16, d'informer sans délai l'exportateur de données lorsqu'il n'est pas en mesure de se conformer aux présentes clauses. 15.2 Contrôle de la légalité et minimisation des données (a) L'importateur de données s'engage à examiner la légalité de la demande de divulgation, en particulier à vérifier si celle-ci relève des compétences conférées à l'autorité publique requérante, et à contester la demande si, après une évaluation minutieuse, il conclut qu'il existe des motifs raisonnables de considérer que la demande est illégale au regard de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L'importateur de données doit, dans les mêmes conditions, explorer les possibilités de recours. Lorsqu'il conteste une demande, l'importateur de données doit solliciter des mesures provisoires en vue de suspendre les effets de la demande jusqu'à ce que l'autorité judiciaire compétente se soit prononcée sur le fond. Il ne doit pas divulguer les données à caractère personnel demandées tant qu'il n'y est pas tenu en vertu des règles de procédure applicables. Ces exigences ne portent pas atteinte aux obligations de l'importateur de données au titre de la clause 14(e). (b) L'importateur de données s'engage à consigner par écrit son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, à mettre ces documents à la disposition de l'exportateur de données. Il doit également les mettre à la disposition de l'autorité de contrôle compétente sur demande. (c) L'importateur de données s'engage à ne fournir que le minimum d'informations autorisé lorsqu'il répond à une demande de divulgation, sur la base d'une interprétation raisonnable de cette demande. SECTION IV – DISPOSITIONS FINALES Article 16 Non-respect des clauses et résiliation (a) L'importateur de données informe sans délai l'exportateur de données s'il n'est pas en mesure de se conformer aux présentes clauses, pour quelque raison que ce soit. b) Si l'importateur de données enfreint les présentes clauses ou n'est pas en mesure de s'y conformer, l'exportateur de données suspend le transfert de données à caractère personnel vers l'importateur de données jusqu'à ce que la conformité soit à nouveau assurée ou que le contrat soit résilié. Cette disposition s'applique sans préjudice de la clause 14(f). (c) L'exportateur de données est en droit de résilier le contrat, dans la mesure où celui-ci concerne le traitement de données à caractère personnel au titre des présentes clauses, lorsque : (i) l'exportateur de données a suspendu le transfert de données à caractère personnel vers l'importateur de données conformément au paragraphe (b) et le respect des présentes clauses n'est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d'un mois à compter de la suspension ; (ii) l'importateur de données enfreint de manière substantielle ou persistante les présentes clauses ; ou (iii) l'importateur de données ne se conforme pas à une décision exécutoire rendue par un tribunal compétent ou une autorité de contrôle concernant ses obligations au titre des présentes clauses. Dans ces cas, il informe l'autorité de contrôle compétente de ce manquement. Lorsque le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, sauf si les parties en ont convenu autrement. (d) Les données à caractère personnel qui ont été transférées avant la résiliation du contrat conformément au paragraphe (c) doivent, au choix de l’exportateur de données, être immédiatement restituées à ce dernier ou supprimées dans leur intégralité. Il en va de même pour toute copie des données. L'importateur de données certifie la suppression des données à l'exportateur de données. Jusqu'à ce que les données soient supprimées ou restituées, l'importateur de données continue de garantir le respect des présentes clauses. Si la législation locale applicable à l'importateur de données interdit la restitution ou la suppression des données à caractère personnel transférées, l'importateur de données garantit qu'il continuera à assurer le respect des présentes clauses et ne traitera les données que dans la mesure et aussi longtemps que l'exige cette législation locale. (e) Chacune des parties peut révoquer son acceptation d'être liée par les présentes clauses lorsque (i) la Commission européenne adopte une décision en vertu de l'article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel s'appliquent les présentes clauses ; ou (ii) le règlement (UE) 2016/679 est intégré au cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Cela ne porte pas atteinte aux autres obligations applicables au traitement en question en vertu du règlement (UE) 2016/679. Article 17 Loi applicable Les présentes clauses sont régies par le droit d'un des États membres de l'Union européenne, à condition que ce droit prévoie des droits pour les tiers bénéficiaires. Les parties conviennent que ce droit sera celui de l'État membre de l'Union européenne dans lequel l'exportateur de données est établi. Article 18 Choix du for et de la juridiction (a) Tout litige découlant des présentes clauses sera tranché par les tribunaux d'un État membre de l'UE. b) Les parties conviennent que ce seront les tribunaux de l’ État membre de l’UE dans lequel l’exportateur de données est établi. c) Une personne concernée peut également intenter une action en justice contre l'exportateur de données et/ou l'importateur de données devant les tribunaux de l'État membre dans lequel elle a sa résidence habituelle. (d) Les parties conviennent de se soumettre à la compétence de ces tribunaux. ANNEXE NOTE EXPLICATIVE : Il doit être possible de distinguer clairement les informations applicables à chaque transfert ou catégorie de transferts et, à cet égard, de déterminer le ou les rôles respectifs des parties en tant qu'exportateur(s) et/ou importateur(s) de données. Cela n'implique pas nécessairement de remplir et de signer des annexes distinctes pour chaque transfert ou catégorie de transferts et/ou relation contractuelle, dès lors que cette transparence peut être assurée par une seule annexe. Toutefois, lorsque cela est nécessaire pour garantir une clarté suffisante, il convient d'utiliser des annexes distinctes. ANNEXE I LISTE DES PARTIES Exportateur(s) de données : [Identité et coordonnées du ou des exportateurs de données et, le cas échéant, de leur délégué à la protection des données et/ou de leur représentant dans l'Union européenne] Nom : ___________________________________________ Adresse : _________________________________________ Nom, fonction et coordonnées de la personne à contacter : _________________________ ___________________________________________________________________ Activités liées aux données transférées en vertu des présentes clauses : Traitement des données dans la mesure nécessaire à l'organisation des événements virtuels du Client sur la plateforme vFairs et à la fourniture de tout autre service, conformément à l'accord sur le traitement des données (DPA) et au contrat de service __________________________________________________________________ ___________________________________________________________________ Signature et date : ___________________________________________________ Fonction : Contrôleur Responsable(s) de l'importation des données : [Identité et coordonnées du ou des importateurs de données, y compris toute personne de contact chargée de la protection des données] Nom : ___vFairs LLC________________________________________ Adresse : 1510 Randolph St, bureau 208, Carrollton, TX 75006, États-Unis__________ Nom, fonction et coordonnées de la personne à contacter : _________________________ Rizwan Tanveer, délégué à la protection des données, [email protected] Activités liées aux données transférées en vertu des présentes clauses : Traitement des données dans la mesure nécessaire à l'organisation des événements virtuels du Client sur la plateforme vFairs et à la fourniture de tout autre service, conformément à l'accord sur le traitement des données (DPA) et au contrat de service Signature et date : _____________________________ Rôle : Traitement B. DESCRIPTION DU TRANSFERT Catégories de personnes concernées dont les données à caractère personnel sont transférées Les participants aux événements virtuels, les exposants, les intervenants et toute autre personne concernée, dans la mesure où cela est nécessaire à la fourniture des services au Client. Catégories de données à caractère personnel transférées La Société traite les données à caractère personnel contenues dans les données du compte client, les données d'utilisation du client, ainsi que toute donnée à caractère personnel fournie par le client ou collectée par la Société afin de fournir les Services ou conformément aux dispositions du Contrat ou du présent Avenant. Les catégories de données à caractère personnel peuvent inclure le prénom, le nom, l'adresse e-mail, l'adresse IP, etc. Données sensibles transférées (le cas échéant) et restrictions ou mesures de protection mises en place, qui tiennent pleinement compte de la nature des données et des risques encourus, telles que, par exemple, une limitation stricte de la finalité, des restrictions d'accès (notamment l'accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre des accès aux données, des restrictions concernant les transferts ultérieurs ou des mesures de sécurité supplémentaires. Sans objet La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue). Pendant la durée de l'accord, à intervalles réguliers et/ou à la discrétion du client. Nature du traitement La Société traitera les données à caractère personnel du Client dans la mesure nécessaire à la fourniture des Services prévus par le Contrat, aux fins spécifiées dans le Contrat et dans le présent Avenant, et conformément aux instructions du Client telles qu'énoncées dans le présent Avenant. Finalité(s) du transfert de données et du traitement ultérieur Traitement des données dans la mesure nécessaire à l'organisation des événements virtuels du Client sur la plateforme de la Société et à la fourniture de tout autre service, conformément à l'Accord sur le traitement des données (DPA) et au Contrat de service La durée de conservation des données à caractère personnel ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée La Société traitera les données à caractère personnel du Client aussi longtemps que nécessaire (i) pour fournir les Services au Client en vertu du Contrat ; (ii) pour répondre aux besoins commerciaux légitimes de la Société ; ou (iii) conformément à la législation ou à la réglementation en vigueur. Les données relatives au compte du Client et les données d'utilisation du Client seront traitées et conservées conformément à la politique de confidentialité de la Société. En cas de transfert vers des sous-traitants, veuillez également préciser l'objet, la nature et la durée du traitement Voir l'annexe III. C. AUTORITÉ DE CONTRÔLE COMPÉTENTE Identifier la ou les autorités de contrôle compétentes conformément à la clause 13. L'autorité de contrôle est celle de l'exportateur de données, telle que désignée conformément à la clause 13. ANNEXE II MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À ASSURER LA SÉCURITÉ DES DONNÉES NOTE EXPLICATIVE : Les mesures techniques et organisationnelles doivent être décrites en termes précis (et non généraux). Voir également la remarque générale figurant à la première page de l'annexe, notamment en ce qui concerne la nécessité d'indiquer clairement quelles mesures s'appliquent à chaque transfert ou ensemble de transferts. Description des mesures techniques et organisationnelles mises en œuvre par le ou les importateurs de données (y compris toute certification pertinente) afin de garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques pour les droits et libertés des personnes physiques. Mesures de sécurité techniques et organisationnelles Détails Measures of pseudonymisation and encryption of personal data Company has deployed methods and protocols for secure transmission of confidential or sensitive information over public networks. Databases housing personal customer data are encrypted at rest. Company uses only recommended secure cipher suites and protocols to encrypt all traffic in transit and Customer Data is encrypted with strong ciphers and configurations when at rest. Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and services Company’s customer agreements contain strict confidentiality obligations. Additionally, Company requires every downstream Subprocessor to sign confidentiality provisions that are substantially similar to those contained in Segment’s customer agreements. Company has undergone a SOC 2 Type 2 audit that includes the Security and Processing Integrity Trust Service Criteria. Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident Daily and weekly backups of production datastores are taken. Backups are periodically tested in accordance with information security and data management policies. Processes for regularly testing, assessing and evaluating the effectiveness of technical and organizational measures in order to ensure the security of the processing Company has undergone a SOC 2 Type 2 audit that includes the Security and Processing Integrity Trust Service Criteria. Measures for user identification and authorization Company uses secure access protocols and processes and follows industry standard practices for authentication, including Multifactor Authentication and Single Sign On (SSO). All production access requires the use of two-factor authentication, and network infrastructure is configured to vendor and industry practices to block all unnecessary ports, services, and unauthorized network traffic. Measures for the protection of data during transmission Company has deployed methods and protocols for secure transmission of confidential or sensitive information over public networks. Company uses only recommended secure cipher suites and protocols to encrypt all traffic in transit (i.e. TLS 1.2) Measures for the protection of data during storage Encryption-at-rest is automated using AWS’s transparent disk encryption, which uses industry standard AES-256 encryption to secure all volume (disk) data. Measures for ensuring physical security of locations at which personal data are processed We use AWS to host our infrastructure. AWS manages the physical security of its data centers with state-of-the-art controls. https://aws.amazon.com/compliance/data-center/controls/ Measures for ensuring events logging Company monitors access to applications, tools, and resources that process or store Customer Data, including cloud services. Monitoring of security logs is managed by the security and engineering teams. Log activities are investigated when necessary and escalated appropriately. Measures for ensuring system configuration, including default configuration Company adheres to a change management process to administer changes to the production environment for the Services, including changes to its underlying software, applications, and systems. All production changes are automated through CI/CD tools to ensure consistent configurations. Measures for internal IT and IT security governance and management Company maintains a risk-based information security governance program. The framework for Company’s security program includes administrative, organizational, technical, and physical safeguards reasonably designed to protect the Services and confidentiality, integrity, and availability of Customer Data. Measures for certification/assurance of processes and products Company undergoes annual SOC 2 Type II audit. Measures for ensuring data minimisation Company’s Customers unilaterally determine what Customer PII Data they route through the Services. As such, Company operates on a shared responsibility model. Company gives Customers control over exactly what PII data enters the platform. Additionally, Company has built in self-service functionality to the Services that allows Customers to delete and suppress PII at their discretion. Measures for ensuring data quality Company has a multi-tiered approach for ensuring data quality. These measures include: (i) unit testing to ensure quality of logic used to process API calls, (ii) database schema validation rules which execute against data before it is saved to our database, (iii) a schema-first API design using GraphQL and strong typing to enforce a strict contract between official clients and API resolvers. Company applies these measures across the board, both to ensure the quality of any Usage Data that Company collects and to ensure that the Company Platform is operating within expected parameters. Company ensures that data quality is maintained from the time a Customer sends Customer Data into the Services and until that Customer Data is presented or exported. Measures for ensuring limited data retention Company Customers determine what Customer Data they route through the Services. As such, Company operates on a shared responsibility model. If a Customer is unable to delete Customer PII Data via the self-services functionality of the Services, then the Company deletes Customer Data upon the Customer’s written request, within the timeframe specified in the Data Protection Addendum and in accordance with Applicable Data Protection Law. All Customer Data is deleted from the Services following service termination. Measures for ensuring accountability Company has adopted measures for ensuring accountability, such as implementing data protection and information security policies across the business, recording and reporting Security Incidents involving Personal Data, and formally assigning roles and responsibilities for information security and data privacy functions. Additionally, the Company conducts regular third-party audits to ensure compliance with our privacy and security standards. Measures for allowing data portability and ensuring erasure All PII in the Services may be deleted by the Customer or at the Customer’s request. PII is incidental to the Company’s Services. Based on Privacy by Design and Data Minimization principles, Company severely limits the instances of PII collection and processing within the Services. Most use cases for porting PII from Company are not applicable. However, Company will respond to all requests for data porting in order to address Customer needs. Technical and organizational measures of sub-processors The Company enters into Data Processing Agreements with its Authorized Sub-Processors with data protection obligations substantially similar to those contained in this Addendum. For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller and, for transfers from a processor to a sub-processor, to the data exporter The Company enters into Data Processing Agreements with its Authorized Sub-Processors with data protection obligations substantially similar to those contained in this Addendum. ANNEX III LIST OF SUB-PROCESSORS The controller has authorised the use of the following sub-processors: Name: Amazon AWS, USA Description of processing: Infrastructure Host Name: Zoom, USA Description of processing: Live Webinar Host Name: Pubnub, USA Description of processing: Integrated Chat Platform Name: Vimeo, USA Description of processing: Video Hosting Name: Whereby, Norway Description of processing: Video Conferencing