AtmanCo Légal

Accord sur le traitement des données

Accord sur le traitement des données

Dernière mise à jour : 30 mars 2023

Le présent accord de traitement des données (« ATD ») reflète l'entente entre AtmanCo Inc. (« AtmanCo ») et l'entité qui s'abonne à la Plateforme Atman (ci-après le « Client »).

Le présent ATD complète l'entente conclue entre l'entité du groupe AtmanCo identifiée dans le Bon de commande et le Client et en fait partie intégrante. Le présent ATD entre en vigueur dès qu'il est incorporé par référence à cette entente.

1. Définitions

1.1.  Les termes en majuscules qui ne sont pas définis dans le présent document ont la signification qui leur est attribuée dans l’Entente.

1.2.  Dans cet ATD :

(a) « Entente » désigne l'entente entre AtmanCo et le Client concernant les Services et comprenant plusieurs documents, dont le Bon de commande et les Conditions d’utilisation d’AtmanCo, si applicable.

(b) « Groupe AtmanCo » désigne l'AtmanCo et ses filiales.

(c) « Lois canadiennes sur la protection des données » désignent la Loi sur la protection des renseignements personnels et les documents électroniques, SC 2000, c 5 et la Loi sur la protection des renseignements personnels dans le secteur privé, CQLR c P-39.1, telles qu'elles peuvent être modifiées, annulées ou remplacées.

(d) « Responsable du traitement » désigne toute Personne qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du Traitement des Données à caractère personnel.

(e) « Lois sur la protection des données » désignent toutes les législations mondiales applicables en matière de protection des données et de la vie privée qui s'appliquent à une partie à cet ATD, y compris, sans s'y limiter, les lois européennes sur la protection des données et les lois canadiennes sur la protection des données, dans chaque cas telles que modifiées, abrogées, consolidées ou remplacées de temps à autre.

(f) « Personne concernée » : la personne physique à laquelle se rapportent les Données à caractère personnel.

(g) « Europe » désigne l'Union européenne, l'Espace économique européen et/ou leurs États membres, la Suisse et le Royaume-Uni.

(h) « Lois européennes sur la protection des données » désigne les Lois sur la protection des données applicables en Europe, telles qu'elles peuvent être modifiées, annulées ou remplacées de temps à autre.   

(i) « Données européennes » désigne les données à caractère personnel qui sont soumises à la protection des Lois européennes sur la protection des données.

(j) « Partenaire » désigne un intermédiaire qui revend l'accès aux services ou qui utilise les Services pour fournir lui-même des services à des tiers.

(k) « Affiliés autorisés » désigne tous les Affiliés du Client qui (i) sont autorisés à utiliser les Services conformément à l'Entente, (ii) se qualifient en tant que Responsable du traitement des données à caractère personnel traitées par AtmanCo, et (iii) sont soumis aux Lois européennes sur la protection des données.

(l) « Personne » doit être interprété au sens large et comprend toute personne physique, société, société à responsabilité limitée, société en commandite, entreprise, association, partenariat, fiducie ou succession, coentreprise, entité gouvernementale ou subdivision politique de celle-ci, ou toute autre entité.

(m) « Données à caractère personnel » : toute information relative à une personne physique identifiée ou identifiable.

(n) « Traitement » ou « Traiter » désigne toute opération ou tout ensemble d'opérations effectuées à l'aide de procédés automatisés ou non par un Sous-traitant sur des données à caractère personnel ;

(o) « Sous-traitant » désigne une Personne qui Traite des Données à caractère personnel pour le compte du Responsable du traitement.

(p) « Bon de commande » désigne les documents, quel que soit leur format, échangés et acceptés par les parties dans le cadre de l'achat de tests psychométriques et de l'utilisation de la Plateforme Atman par le Client.

(q) « Autorité » désigne, le cas échéant, toute Personne ou organisme d'application de la loi ou autre ayant une autorité réglementaire, de supervision ou gouvernementale (que ce soit en vertu d'un régime légal ou autre) sur tout ou partie du Traitement des Données à caractère personnel dans le cadre de la fourniture ou de la réception des Services, y compris, sans limitation, les autorités de contrôle en vertu des Lois européennes sur la protection des données ;

(r) « Données du Répondant » désigne les données fournies ou saisies directement par un Répondant sur la Plateforme Atman, à l'exclusion de toute donnée générée ou dérivée de ces données par le biais des Services.

(s) « Répondant » désigne une personne qui utilise le Service à la demande ou selon les instructions du Client, par exemple un candidat à un poste ou un employé du Client effectuant une évaluation.

(t) « Incident de sécurité » désigne une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal aux Données personnelles transmises, stockées ou autrement Traitées par AtmanCo et/ou ses Sous-traitants dans le cadre de la fourniture des Services, à l’exclusion des événements qui ne compromettent pas la sécurité des données personnelles, y compris les tentatives de connexion infructueuses, les pings, les balayages de ports, les attaques par déni de service et autres attaques de réseau sur les pare-feu ou les systèmes en réseau.

(u) « Services » désigne les services fournis par toute entité du groupe AtmanCo au Client ou à ses affiliés, tels qu'établis dans l'Entente.

(v) « Clauses contractuelles types » : les clauses contractuelles types pour les sous-traitants annexées à la décision (UE) 2021/914 de la Commission européenne du 4 juin 2021, sous la forme présentée à l'annexe 4 ; telles qu'elles peuvent être modifiées, annulées ou remplacées.

(w) « Sous-Traitant » désigne tout sous-traitant engagé par AtmanCo ou les sociétés affiliées d'AtmanCo pour aider à remplir les obligations d'AtmanCo en ce qui concerne la fourniture des Services en vertu de l'entente. Les Sous-Traitants peuvent inclure des tiers ou des Affiliés d'AtmanCo mais n'incluront pas les individus employés ou engagés par AtmanCo.

(x) « Pays tiers » désigne une juridiction ou un destinataire : (i) non reconnu par la Commission européenne comme assurant un niveau de protection adéquat des données à caractère personnel ; et (ii) non couvert par un cadre approprié reconnu par les Autorités compétentes comme assurant un niveau de protection adéquat des données à caractère personnel.

2. Rôle des parties

2.1  Dans le cadre du Traitement des Données à caractère personnel, les parties reconnaissent et conviennent que :

(a) AtmanCo est le Responsable du traitement en ce qui concerne les Données du Répondant ;

(b) Le Client agit en tant que Responsable du traitement et qu'AtmanCo agit en tant que Sous-traitant en ce qui concerne toutes les autres Données à caractère personnel, y compris les données générées par AtmanCo dans le cadre de la fourniture des Services.

(c) Si le Client se procure les Services par l'intermédiaire d'un Partenaire, le Partenaire peut agir en tant que Responsable du traitement en ce qui concerne les Données à caractère personnel en fonction de l'entente entre le Partenaire et le Client. Lorsque le Partenaire est le Responsable du traitement en ce qui concerne les Données à caractère personnel, les références au Client dans le présent ATD sont réputées inclure le Partenaire.

2.2  Lorsqu'elles agissent en tant que Responsables du traitement conjoint, les parties acceptent de traiter les données à caractère personnel conformément aux exigences du présent ATD.

3. Respect des lois sur la protection des données

3.1  Chaque partie s’engage à effectuer tout Traitement de Données à caractère personnel en conformité avec toutes les lois sur la protection des données qui sont applicables.

3.2  AtmanCo n'est pas responsable du respect des Lois sur la protection des données applicables au Client ou au secteur d'activité du Client qui ne sont pas généralement applicables à AtmanCo.

3.3  Si AtmanCo se rend compte qu'elle ne peut pas Traiter les Données à caractère personnel conformément aux instructions du Client en raison d'une exigence légale en vertu de toute loi applicable, AtmanCo (i) notifiera rapidement au Client cette exigence légale dans la mesure permise par la loi applicable ; et (ii) si nécessaire, suspendra tout Traitement (autre que le simple stockage et le maintien de la sécurité des Données à caractère personnel affectées) jusqu'à ce que le Client émette de nouvelles instructions en conformité avec la loi applicable. Si cette disposition est invoquée, AtmanCo ne sera pas responsable envers le Client en vertu de l'Entente pour tout manquement à l'exécution des Services  applicables jusqu'à ce qu'AtmanCo détermine raisonnablement que les instructions du Client sont légales.

4. Obligations d'AtmanCo

4.1  AtmanCo ne traitera les Données à caractère personnel qu'aux fins décrites dans le présent ATD ou dans la Déclaration relative à la vie privée d'AtmanCo ou comme convenu dans le cadre des instructions légales reçues du Client, sauf si et dans la mesure où la loi applicable.

4.2  AtmanCo traitera les données du Répondant si nécessaire pour exécuter ses obligations en vertu de l'entente, pour répondre aux demandes des sujets de données en ce qui concerne les données du Répondant, comme indiqué dans la déclaration de confidentialité ou avec le consentement explicite de la Personne concernée. AtmanCo n'a aucune obligation de fournir les Données du Répondant au Client, sauf avec le consentement de la Personne concernée.

4.3  AtmanCo mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour protéger les Données à caractère personnel contre les incidents de sécurité, y compris tel que décrit à l'Annexe 2 du présent ATD (les « Mesures de sécurité »). AtmanCo peut modifier ou mettre à niveau les Mesures de sécurité à sa discrétion, à condition qu'une telle modification ou mise à niveau n'entraîne pas une dégradation matérielle de la protection offerte par les Mesures de sécurité.

4.4  AtmanCo traitera les Données à caractère personnel comme des informations confidentielles du Client et veillera à ce que chacun de ses employés ou fournisseurs autorisés à accéder aux Données à caractère personnel ou à les Traiter soit soumis à des obligations de confidentialité appropriées (qu'elles soient contractuelles ou statutaires) en ce qui concerne ces Données à caractère personnel.

4.5  AtmanCo supprimera ou retournera au Client toutes les Données à caractère personnel Traitées pour le compte du Client conformément au présent ATD sur demande du Client ou du Partenaire, selon le cas. AtmanCo peut conserver des copies des Données personnelles lorsque la loi applicable l'exige, ou lorsque les Données personnelles ont été archivées sur des systèmes de sauvegarde, ces données seront isolées et protégées contre tout Traitement ultérieur et supprimées conformément au calendrier de conservation applicable.

4.6  AtmanCo conservera les données du Répondant comme indiqué dans la Déclaration relative à la vie privée ou comme convenu entre AtmanCo et la Personne concernée.

5. Obligations du client

5.1  Le Client est responsable de s'assurer que son utilisation des Services est conforme à toutes les Lois sur la protection des données applicables, y compris en s'assurant que (i) il est autorisé à retenir les services d’AtmanCo pour Traiter les Données personnelles pour son compte conformément au présent ATD, (ii) il a le droit de transférer, ou de fournir un accès aux Données personnelles à AtmanCo pour les fins du Traitement conformément aux termes de l'Entente (y compris le présent ATD), (iii) en s'assurant que les instructions du Client concernant le Traitement des Données personnelles sont conformes aux lois applicables, y compris les Lois sur la protection des données ;

5.2  Le Client doit rapidement notifier AtmanCo par écrit s'il a des raisons de croire ou s'il a été notifié que le Traitement des données à caractère personnel effectué par le Client par le biais des Services est ou peut être en violation de la loi applicable, y compris les Lois sur la protection des données.

5.3  Le Client est responsable de déterminer si les Mesures de sécurité mises en œuvre par AtmanCo répondent de manière adéquate aux obligations du client en vertu des Lois sur la protection des données applicables. Le Client est également responsable de s'assurer que son accès aux Services est sécurisé et réservé au personnel autorisé. 

6. Incident de sécurité

6.1  AtmanCo informera promptement le Client s'il a connaissance d'un Incident de sécurité et fournira en temps utile les informations relatives à cet Incident de sécurité dès qu'elles seront connues ou raisonnablement demandées par le Client.

6.2  Sur demande, AtmanCo fournira promptement au Client l'assistance raisonnable nécessaire pour permettre au Client de notifier un Incident sécurité aux Autorités et/ou aux Personnes concernées, si une telle notification est requise en vertu des Lois sur la protection des données.

7. Sous-Traitants

7.1  AtmanCo peut engager des Sous-Traitants pour Traiter les données à caractère personnel. Les Sous-traitants courants sont énumérés à l'Annexe 3. Tout changement de Sous-Traitant sera notifié au Client.

7.2  AtmanCo sélectionne des Sous-Traitants qui offrent des engagements en matière de protection des données qui assurent au moins le même niveau de protection des Données personnelles que ceux figurant dans le présent ATD (y compris, le cas échéant, les Clauses contractuelles types), dans la mesure applicable à la nature des services fournis par ces Sous-Traitants. AtmanCo demeure responsable du respect par chaque Sous-Traitant des obligations du présent ATD et de tout acte ou omission dudit Sous-Traitant entraînant une violation de l'une quelconque des obligations d'AtmanCo au titre du présent ATD.

7.3  Si AtmanCo traite des Données européennes pour le compte du Client, ce dernier peut s'opposer à la désignation d'un nouveau Sous-Traitant pour un motif raisonnable. Si une telle objection lui est notifiée, AtmanCo accepte de discuter de la question de bonne foi afin de parvenir à une solution commercialement raisonnable. Si aucune solution ne peut être trouvée, AtmanCo peut choisir soit de renoncer à la nomination du nouveau Sous-traitant, soit permettre au Client de résilier la partie de son abonnement aux Services qui nécessite les services du nouveau Sous-traitant sans pénalité (mais sans préjudice de tous les frais encourus avant la résiliation).

7.4  Si la loi ou les Clauses Contractuelles Types l'exigent, AtmanCo fera des efforts raisonnables pour mettre à la disposition du Client les informations requises concernant toute entente entre AtmanCo et ses Sous-Traitants. Le Client accepte que certaines informations puissent être caviardées de ces ententes et que toute telle information soit fournie à titre confidentiel.

8. Transfert de données à caractère personnel

8.1  Le Traitement des données à caractère personnel autres que des Données européennes par les entités du groupe AtmanCo aura lieu dans toute juridiction où ce traitement est autorisé par les Lois sur la protection des données applicables.

8.2  Le traitement des Données européennes se fait exclusivement : 

(a) En Europe ;

(b) dans une juridiction qui assure un niveau de protection adéquat en vertu d'une décision de la Commission européenne basée sur les Lois applicables en matière de protection des données ;

(c) dans toute juridiction, par une organisation ou par une entité offrant des garanties appropriées, y compris par le biais des Clauses contractuelles types ou d’un cadre de protection avalisé par les Autorités compétentes ; ou

(d) dans toute juridiction, avec le consentement écrit du client.

8.3  Lorsque le Traitement des Données européennes a lieu dans un Pays tiers, les parties sont réputées avoir conclu les Clauses contractuelles types uniquement en ce qui concerne les Données personnelles concernées et le Traitement concerné. Les parties conviennent qu'aux fins des Clauses contractuelles types, (i) AtmanCo sera l’ « importateur de données » et le Client sera l’ « exportateur de données » (en son nom et au nom des Affiliés autorisés) ; (ii) les informations pertinentes figurant à l'Annexe 1 et à l'Annexe 2 du présent ATD seront réputées être incluses dans les Annexes des Clauses contractuelles types ; (iii) si les Clauses contractuelles types entrent en conflit avec toute disposition du présent ATD, les Clauses contractuelles types auront préséance dans la mesure de ce conflit.

8.4  Transferts en Suisse et au Royaume-Uni. Dans la mesure où un transfert de données personnelles entre le Client et AtmanCo et/ou un Sous-traitant est soumis aux Lois sur la protection des données de la Suisse ou du Royaume-Uni, les Clauses contractuelles types sont réputées être modifiées pour refléter les exigences des Lois sur la protection des données de la Suisse et du Royaume-Uni applicables, y compris les références à la législation, à la loi applicable et aux autorités et tribunaux compétents.

9. Demandes de tiers

9.1  AtmanCo répondra directement aux demandes de renseignements ou aux requêtes des Répondants qui concernent les Données des Répondants. AtmanCo peut tenir le Client informé de ces demandes, mais n'a aucune obligation de le faire.

9.2  Il incombe au Client de répondre à toute demande d'une Personne concernée ou d'une Autorité concernant des Données personnelles autres que les Données du Répondant (y compris les données générées par les Services à partir des Données du Répondant) et le Client doit utiliser les fonctionnalités disponibles sur la Plateforme Atman pour récupérer les informations pertinentes sur le traitement des Données personnelles.

9.3  Si le Client n'est pas en mesure de répondre de manière indépendante à une demande d'une personne concernée ou d’une Autorité (une « Demande »), AtmanCo fournira une assistance raisonnable au Client, aux frais du Client, afin de répondre à ces Demandes relatives au Traitement des Données à caractère personnel en vertu de l'Entente. Le Client remboursera à AtmanCo les dépenses engagées pour lui fournir une assistance, sauf si et dans la mesure où une demande est fondée sur le non-respect par AtmanCo de ses obligations en vertu du présent ATD.

9.4  Si une Demande ou une autre communication concernant le Traitement des Données à caractère personnel en vertu de l'Entente (autre que concernant les Données du Répondant) est faite directement à AtmanCo, AtmanCo en informera rapidement le Client et indiquera à la Personne concernée ou à l'Autorité de soumettre leur Demande directement au Client. Le Client sera seul responsable de répondre de manière substantielle à ces Demandes ou communications impliquant des Données à caractère personnel.

10. Audit relatif aux données à caractère personnel

10.1  Sur demande et moyennant un préavis raisonnable à AtmanCo, le Client est autorisé, à ses propres frais, à effectuer les vérifications nécessaires pour s'assurer que les Données à caractère personnel traitées par AtmanCo pour le compte du Client sont traitées conformément aux instructions du Client. À la demande du Client, AtmanCo donnera accès aux locaux où les Données à caractère personnel sont traitées et permettra l'audit et l'inspection du traitement effectué par AtmanCo. Cet audit peut être effectué par le client et/ou un tiers (choisi par le client et raisonnablement accepté par AtmanCo) agissant pour le compte du client. Le Client devra prendre toutes les mesures nécessaires pour éviter de causer des dommages ou des perturbations aux locaux, à l'équipement, au personnel et aux activités des entités du groupe AtmanCo.

10.2  Le Client et AtmanCo conviendront à l'avance de la nature, de l'étendue et de la durée de tout audit effectué par le Client, et le Client remboursera à AtmanCo tous les coûts raisonnables associés à un tel audit, qui peuvent être estimés à la demande du Client avant le début de l'audit.

10.3  Si AtmanCo traite des Données européennes pour le compte du client, AtmanCo fournira au client, sur demande raisonnable (à titre confidentiel) (i) un résumé de ses rapports de tests de sécurité et (ii) des réponses écrites à toutes les demandes raisonnables d'informations formulées par le Client et nécessaires pour confirmer le respect par AtmanCo du présent ATD, à condition que le Client n'exerce pas ce droit plus d'une fois par année civile, à moins qu'il n'ait des motifs raisonnables de soupçonner AtmanCo de ne pas respecter ce ATD ou les Lois relatives à la protection des données.

11. Limitation de la responsabilité

11.1  La responsabilité de chaque partie et de chacune de leurs Affiliés, prise dans son ensemble, découlant de ou liée à cet ATD (et à toute autre entente concernant le Traitement des Données à caractère personnel entre les parties) et aux Clauses contractuelles types (le cas échéant), qu'elle soit contractuelle, délictuelle ou en vertu de toute autre théorie de la responsabilité, sera limitée au montant total des Frais payés par le Client à AtmanCo en contrepartie des Services au cours de la période de 12 mois précédant l'événement ayant donné lieu à la responsabilité.

12. Juridiction

12.1  Sauf exigence contraire des Lois applicables en matière de protection des données, le présent ATD est régi et interprété conformément aux lois applicables à l'Entente et tout litige concernant cet ATD sera résolu par les tribunaux compétents de la juridiction indiquée dans l'Entente. 

12.2  Dans la mesure où les Lois sur la protection des données exigent que le présent ATD soit régi par les lois d'un État membre de l'Union européenne, le présent ATD sera régi par les lois de la France et les litiges relatifs à la présente entente seront résolus par les tribunaux français.

13. Dispositions générales

13.1  En cas de contradiction entre l'une des dispositions du présent ATD et toute autre disposition de l'Entente, les dispositions de l’ATD auront préséance, sauf si et dans la mesure où il est expressément stipulé qu'une autre disposition de l'Entente a préséance ou qu'une disposition du présent ATD est spécifiquement écartée ou modifiée.

13.2  AtmanCo peut modifier le présent ATD pour refléter les changements dans ses pratiques de Traitement des Données à caractère personnel. Toute modification autre que des modifications non substantielles visant à clarifier le langage (qui seront communiquées de manière routinière au Client) sera soumise au Client et ne s'appliquera pas à moins d'être acceptée par le Client. Si une modification du présent ATD est requise par la loi applicable, le Client aura la possibilité d'accepter cette modification ou de résilier son abonnement aux Services.

13.3  Si certaines dispositions de cet ATD sont jugées invalides ou inapplicables, la validité et l'applicabilité des autres dispositions de cet ATD n'en seront pas affectées.

Annexe 1 - Détails du traitement

Identification des parties 

 

Le client

Personne de contact : Si le Client est une personne physique, le Client, si le Client est une entité, la personne qui représente cette entité dans le cadre de l'abonnement à la plate-forme Atman.

 

AtmanCo Inc.

Personne de contact : Leen Sawalha, VP Product & Growth
300-1050 rue de la Montagne
Montréal QC H3G 1Y8 Canada
[email protected]

Identification du sous-traitant

 

AtmanCo Inc.

Personne de contact : Leen Sawalha, VP Product & Growth
300-1050 rue de la Montagne
Montréal QC H3G 1Y8 Canada
[email protected]

Catégories de personnes concernées

  • Employés et utilisateurs des Clients
  • Répondants

Catégories de données à caractère personnel

  • Coordonnées
  • Informations sur l'emploi
  • Données du Répondant :
    • Réponses au questionnaire
  • Données d'analyse
    • Profils psychométriques
    • Réponses au sondage
    • Réponses sociodémographiques

Nature du traitement

  • Stockage et autres traitements nécessaires pour fournir, maintenir et améliorer les services fournis au Client ;
  • Divulgation conformément à l'entente (y compris le présent ATD) et/ou à la législation en vigueur ;
  • Divulgation et suppression des données du Répondant à la demande du Répondant concerné ;
  • Suppression des données AtmanCo s'appuyant sur les données du Répondant supprimées de la Plateforme Atman.

AtmanCo Traitera les Données à caractère personnel dans la mesure où cela est nécessaire pour fournir les services conformément à l'Entente, et selon les instructions supplémentaires du Client dans le cadre de son utilisation des Services.

Durée de conservation des données à caractère personnel

Sous réserve de l'obligation d'AtmanCo de supprimer ou de retourner les données au Client en vertu de l'entente, AtmanCo Traitera les données personnelles pendant la durée de l'Entente, sauf accord écrit contraire.

Les Données des Répondants seront conservées pendant une période de 7 ans ou jusqu'à ce que le Répondant concerné demande la suppression de ses données.

Annexe 2 - Mesures de sécurité

1.      Sécurité des centres de données

L'environnement produit de AtmanCo est dans Microsoft Azure. Nous utilisons principalement les offres Azure Platform as a Service (PaaS) pour notre produit. L'utilisation de PaaS et non de machines virtuelles traditionnelles réduit considérablement notre exposition aux menaces. Nous utilisons largement les fonctions de sécurité avancées d'Azure, telles que « Identity Protection » et « Microsoft Defender for cloud », afin de sécuriser l'infrastructure de nos produits.

Nous avons des contrôles d'accès stricts dans l'environnement de production, basés sur les principes du besoin de savoir et du moindre privilège. Seuls les employés d'AtmanCo qui ont besoin d'accéder à l'environnement de production à des fins légitimes, telles que le déploiement et le dépannage de l'application, y ont accès. Ils reçoivent le minimum de privilèges dont ils ont besoin pour accomplir leur tâche.

Nous avons mis en place une équipe de gouvernance Azure qui est responsable de la feuille de route de notre infrastructure Azure et qui veille à ce que la sécurité soit intégrée au niveau de l'architecture.

2.      Sécurité des données

AtmanCo s'appuie sur un cryptage fort pour les données au repos (lorsqu'elles sont stockées) et en transit (lorsqu'elles sont transmises).

L'accès aux données des clients stockées se fait sur la base du besoin de savoir. Les personnes autorisées à y accéder sont généralement les développeurs de l'assistance à la clientèle et de l'ingénierie pour la résolution des problèmes et le personnel « DevOps » pour le déploiement des services.

3.      Contrôle d’accès

AtmanCo conserve les serveurs, les bases de données pertinentes et les autres composants matériels et/ou logiciels qui stockent les données à caractère personnel dans un centre de données sécurisé dont l'accès est contrôlé et surveillé pour n'admettre que le personnel autorisé.

AtmanCo emploie des mesures efficaces de contrôle d'accès logique sur tous les systèmes utilisés pour créer, transmettre ou traiter des données à caractère personnel, ces mesures incluant, mais sans s'y limiter :

  • Authentification de l'utilisateur, qui doit utiliser des identifiants uniques et des noms.
  • Une stratégie de mot de passe suffisamment complexe et robuste.
  • Les droits d'accès/privilèges des utilisateurs aux ressources d'information contenant des données personnelles doivent être accordés en fonction du besoin de savoir lié aux fonctions et responsabilités de l'utilisateur.
  • Les accès des utilisateurs aux systèmes informatiques permettant l'accès aux données à caractère personnel sont supprimés immédiatement après le départ de l'utilisateur ou si l'utilisateur change d'emploi et que son nouvel emploi ne nécessite pas d'accès.
  • Les mots de passe et les paramètres de sécurité par défaut doivent être modifiés dans les produits/applications tiers utilisés pour prendre en charge les données à caractère personnel.
  • Les prestataires de services tiers sont soumis à des exigences et obligations de sécurité équivalentes à celles des utilisateurs autorisés d'AtmanCo lorsqu'ils traitent des données à caractère personnel.
  • Revalidation annuelle de la justification des comptes d'utilisateurs et des autorisations d'accès aux informations personnelles qui y sont associées.

4.      Accès des utilisateurs

  • Les fonctions et responsabilités des utilisateurs d'AtmanCo et des profils d'utilisateurs ayant accès aux données à caractère personnel et aux systèmes d'information sont clairement définies.
  • AtmanCo adopte des mesures pour informer ses utilisateurs des règles de sécurité qui affectent l'exercice de leurs fonctions et des conséquences en cas de violation de ces règles.
  • Les protocoles en texte clair ne sont pas utilisés pour accéder ou transférer des données à caractère personnel. Seul le protocole SSL est accepté pour ces opérations.
  • AtmanCo assure la sécurité des processus et des procédures de manipulation ou d'élimination des supports physiques ou des équipements susceptibles de contenir des données à caractère personnel.
  • Les données à caractère personnel sont physiquement séparées, ou logiquement séparées si elles se trouvent sur une base de données ou dans un environnement virtuel, des autres données d'AtmanCo. Si les Données à caractère personnel ne sont pas physiquement séparées des autres données, systèmes ou applications non liés au Client, AtmanCo emploie des contrôles de sécurité appropriés, y compris des contrôles d'accès.

5.      Sécurité des systèmes et des réseaux

AtmanCo maintient un inventaire précis de ses systèmes et assure une gestion complète du cycle de vie, y compris l'application de correctifs en temps voulu et la mise hors service des systèmes qui sont sur le point de ne plus être supportés.

AtmanCo dispose d'un programme efficace de gestion des vulnérabilités qui comprend une analyse fréquente et une collecte de données de sécurité basée sur des agents à partir du réseau et des points d'extrémité. Ces données sont examinées au moins une fois par semaine et les nouveaux problèmes sont résolus rapidement, dans un délai proportionnel à la gravité du problème.

AtmanCo emploie des mesures efficaces de contrôle d'accès au réseau sur tous les systèmes utilisés pour créer, transmettre ou traiter des données à caractère personnel, ces mesures incluant, mais sans s'y limiter :

  • Les pare-feu sont opérationnels en permanence et sont installés au périmètre du réseau entre le réseau interne (privé) d'AtmanCo et le réseau public (Internet).
  • Des systèmes de détection et de prévention des intrusions correctement configurés et contrôlés sont utilisés sur le réseau d'AtmanCo.
  • Seuls les services/processus et ports nécessaires à l'exécution des programmes de routine sont activés sur la base de données et les autres systèmes d'information utilisés pour le traitement des données à caractère personnel. Tous les autres services/processus sur l'hôte sont désactivés.
  • Tous les systèmes d'information, référentiels et autres systèmes utilisés pour traiter les données à caractère personnel doivent être physiquement situés dans un environnement de centre de données contrôlé et utilisés dans le but de protéger les systèmes d'information.
  • Des canaux sécurisés (par exemple, TLS, SFTP, SSH, IPSEC, etc.) doivent être utilisés systématiquement pour les communications avec le centre de données d'AtmanCo.

6.       Gouvernance

AtmanCo met en œuvre des politiques et des procédures appropriées concernant les données à caractère personnel, notamment :

  • Procédures de sécurité de l'information ;
  • Politiques sur l'utilisation des données à caractère personnel ;
  • Procédure de signalement des incidents liés à la sécurité et à la protection de la vie privée ;
  • Mécanismes d'évaluation des risques ;
  • Procédures d'audit interne ;
  • Mesures contractuelles.

7.      Contrôles de la gestion de la vulnérabilité

AtmanCo emploie des contrôles efficaces de gestion de la vulnérabilité sur tous les systèmes utilisés pour créer, transmettre ou traiter des données à caractère personnel, ces mesures comprenant notamment :

  • Déploiement de dispositifs de prévention et de détection du réseau pour aider à filtrer les courriels d'hameçonnage et les logiciels malveillants avant qu'ils n'atteignent les postes de travail gérés par AtmanCo et ayant un accès direct ou indirect aux données à caractère personnel.
  • Déploiement de logiciels de prévention et de détection anti-virus et anti-malware sur tous les postes de travail gérés par AtmanCo et traitant des données à caractère personnel.
  • Maintenir un processus et une pratique standard de gestion des correctifs afin de garantir la protection de tous les appareils utilisés pour accéder aux données à caractère personnel, les traiter ou les stocker.
  • Les appareils et documents contenant des données à caractère personnel doivent permettre d'identifier les informations consultées, être inventoriés et accessibles uniquement aux utilisateurs autorisés à accéder aux données conformément au document de sécurité.
  • Mesures visant à empêcher le vol, la perte ou l'accès non autorisé aux données personnelles pendant les opérations de transmission et de transfert.

8.      Sauvegarde, récupération et disponibilité des données

AtmanCo met en œuvre les plans de reprise après sinistre et de continuité des activités suivants afin de réduire au maximum les temps d'arrêt et les pertes de données.

  • AtmanCo met en œuvre des fonctions de reprise après sinistre conçues pour restaurer la fonctionnalité du système contenant des données à caractère personnel dans un délai convenu par les parties ou, à défaut, dans un délai raisonnable compte tenu de la nature des données à caractère personnel.
  • AtmanCo veille systématiquement à ce que les données à caractère personnel soient inaccessibles autrement que par le personnel autorisé d'AtmanCo (par exemple, les sauvegardes externes sont systématiquement cryptées).
  • Pour réduire les risques liés aux menaces environnementales, aux dangers et aux possibilités d'accès non autorisé, les équipements sont situés à l'écart des lieux soumis à une forte probabilité de risques environnementaux et sont complétés par des équipements redondants situés à une distance raisonnable.
  • Des mécanismes de sécurité et des redondances sont mis en œuvre pour protéger les équipements contre les interruptions de service (par exemple, les pannes de courant, les interruptions de réseau, etc.)
  • Des politiques et des procédures de conservation et de stockage des données sont établies et des mécanismes de sauvegarde ou de redondance sont mis en œuvre pour garantir le respect des exigences réglementaires, statutaires, contractuelles ou commerciales. Des tests de récupération des sauvegardes sur disque ou sur bande sont mis en œuvre à des intervalles planifiés.
  • Toutes les données et configurations sont répliquées dans une deuxième région pour permettre la récupération en cas de sinistre.

9.      Sécurité des produits

  • AtmanCo dispose de solides contrôles de sécurité intégrés au produit, notamment le contrôle d'accès basé sur les rôles (RBAC), la séparation des données, l'anonymisation des données et la protection contre les attaques de connexion.
  • La plateforme AtmanCo dispose de quatre rôles d'utilisateur différents, ce qui permet à nos clients de fournir à leurs utilisateurs le niveau d'accès adéquat. La plateforme AtmanCo dispose également d'un rôle pour les utilisateurs tiers, ce qui permet à nos partenaires de partager des données avec les clients en toute sécurité.
  • Nos fonctionnalités de ségrégation des données permettent de restreindre l'accès aux données au sein de l'application. Cela permet à nos clients de séparer les données, par exemple, par unité organisationnelle ou par emplacement géographique, de sorte que seuls les utilisateurs responsables de ces unités organisationnelles ou de ces emplacements géographiques puissent avoir accès aux données.
  • Le produit comporte des fonctions de protection de la vie privée bien pensées. Par exemple, la fonction « Anonymiser les données » permet de supprimer du système les données personnelles d'utilisateurs sélectionnés. Nous nous engageons à ajouter des fonctions de sécurité et de confidentialité comme celles-ci pour permettre à nos clients de mieux contrôler leurs données.
  • Nous utilisons le protocole OpenID Connect qui correspond aux plus hautes normes de l’industrie pour gérer l'authentification et l'autorisation sur l'ensemble de nos produits et systèmes.

10.          Audit de sécurité

AtmanCo emploie des responsables du traitement sur tous les systèmes utilisés pour créer, transmettre ou traiter les données à caractère personnel, ces contrôles incluant, mais sans s'y limiter :

  • Des analyses de vulnérabilité ou des audits réalisés par des tiers sur des dispositifs d'infrastructure (publics) tournés vers l'extérieur et contenant des données à caractère personnel.
  • Tests de pénétration effectués par des tiers sur les systèmes d'AtmanCo qui stockent et traitent les données à caractère personnel.
  • Évaluation périodique par un tiers lorsque des applications ou des processus soutiennent l'information financière.
  • AtmanCo s'engage à traiter toutes les vulnérabilités identifiées à la suite de tests de pénétration et à notifier au client les actions de remédiation.

11.    Formation et sensibilisation

AtmanCo propose une formation annuelle de sensibilisation à la sécurité, obligatoire pour tous les employés. Nous effectuons également des tests d'hameçonnage. Les résultats de ces tests sont communiqués à tous les employés et des ressources supplémentaires sont mises à la disposition de ceux qui échouent aux tests, par exemple une formation de rattrapage.

AtmanCo met en œuvre un programme de sensibilisation à la sécurité pour ses employés et prestataires de services qui interagissent avec les systèmes traitant les données à caractère personnel, y compris :

  • L'AtmanCo doit veiller à ce que son personnel comprenne les menaces et les préoccupations en matière de gestion des risques liés à l'information concernant les services de l'AtmanCo et les politiques pertinentes de gestion des risques liés à l'information.
  • Le personnel d'AtmanCo reçoit une formation et des mises à jour régulières sur les politiques et procédures de gestion des risques liés à l'information, sur le système standard de classification de la gestion des risques et sur les procédures appropriées.
  • Le personnel des fournisseurs est informé du système de classification de la gestion des risques liés à l'information d'AtmanCo et des procédures appropriées.
  • Des politiques et des procédures sont établies pour éliminer les documents visibles contenant des données sensibles lorsqu'un espace de travail est laissé sans surveillance et pour appliquer la déconnexion de la session du poste de travail pendant une période d'inactivité.

Annexe 3 - Sous-traitants

Sous-Traitant Fins du traitement Juridiction
Amazon Web Services Envoi automatisé de courriels États-Unis
Azure Hébergement de l’infrastructure Canada
Microsoft Exchange Envoi de courriels Canada
Microsoft Sharepoint Partage de documents États-Unis
Microsoft Teams Communications États-Unis
Azure DevOps Gestion de projet et hébergement de code source États-Unis
Cloudflare Hébergement de domaine et services de sécurité États-Unis
Intercom Gestion de la relation client; Automatisation du markerting; Assistance technique États-Unis et Europe
Pipedrive Gestion de relation client États-Unis et Europe
QuickBooks Comptabilité Canada
Twilio Envoi de messages SMS États-Unis
Sentry Débogage et support États-Unis
Zendesk Support aux utilisateurs États-Unis et Europe
Slack Messagerie interne États-Unis
Stripe Fournisseur de services de paiement États-Unis
Zoom Communication avec les clients Canada
Google Captcha Services Captcha États-Unis
Google Drive Partage de fichiers États-Unis
Google Analytics Intelligence d’affaires États-Unis
Zapier Automatisation des processus États-Unis
IpInfo Géolocalisation États-Unis
IpStack Géolocalisation États-Unis
MailChimp Envoi de courriels automatisés États-Unis
DocuSign Service de signature électronique États-Unis, Canada, et Europe
Ubity Téléphonie infonuagique Canada
OneTrust Service de sécurité Canada
Acuity Scheduling Gestion des horaires États-Unis
GoDaddy Fournisseur DNS/SSL États-Unis
Asana Gestion de projet Europe
DropBox Hébergement de documents États-Unis
Survey Monkey Sondages en ligne Canada
Thinkific Plateforme de gestion des apprentissages États-Unis

Annexe 4 - Clauses contractuelles types

Transfert du contrôleur au processeur

SECTION I

Clause 1

Finalités et champ d’application  

(a)  Les présentes clauses contractuelles types visent à garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)  en cas de transfert de données à caractère personnel vers un pays tiers.

(b)  Les parties :

(i)  la ou les personnes physiques ou morales, la ou les autorités publiques, la ou les agences ou autre(s) organisme(s) (ci-après la ou les «entités») qui transfèrent les données à caractère personnel, mentionnés à l’annexe I.A. (ci-après l’«exportateur de données»), et

(ii)  la ou les entités d’un pays tiers qui reçoivent les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses, mentionnées à l’annexe I.A. (ci-après l’«importateur de données»)

sont convenues des présentes clauses contractuelles types (ci-après les «clauses»).

(c)  Les présentes clauses s’appliquent au transfert de données à caractère personnel précisé à l’annexe I.B

(d)  L’appendice aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des présentes clauses.

Clause 2

Effet et invariabilité des clauses

(a)  Les présentes clauses établissent des garanties appropriées, notamment des droits opposables pour la personne concernée et des voies de droit effectives, en vertu de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types en vertu de l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l’appendice. Cela n’empêche pas les parties d’inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les présentes clauses et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.

(b)  Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.

Clause 3

Tiers bénéficiaires

(a)  Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes :

(i)  clause 1, clause 2, clause 3, clause 6, clause 7 ;

(ii)  clause 8 - module 1: clause 8.5, paragraphe e), et clause 8.9, paragraphe b); module 2: clause 8.1, paragraphe b), clause 8.9, paragraphes a), c), d) et e); module 3: clause 8.1, paragraphes a), c) et d) et clause 8.9, paragraphes a), c), d), e), f) et g); module 4: clause 8.1, paragraphe b), et clause 8.3, paragraphe b) ;

(iii)  clause 9 - module 2: clause 9, paragraphes a), c), d) et e); module 3: clause 9, paragraphes a) c), d) et e) ;

(iv)  clause 12 - module 1: clause 12, paragraphes a) et d); modules 2 et 3: clause 12, paragraphes a), d) et f) ;

(v)  clause 13 ;

(vi)  clause 15.1, paragraphes c), d) et e) ;

(vii)  clause 16, paragraphe e) ;

(viii)  clause 18 - modules 1, 2 et 3: clause 18, paragraphes a) et b) ; module 4: clause 18.

(b)  Le paragraphe a) est sans préjudice des droits des personnes concernées au titre du règlement (UE) 2016/679.

Clause 4

Interprétation

(a)  Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ceux-ci ont la même signification que dans ledit règlement.

(b)  Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.

(c)  Les présentes clauses ne sont pas interprétées dans un sens contraire aux droits et obligations prévus dans le règlement (UE) 2016/679.

Clause 5

Hiérarchie

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties existant au moment où les présentes clauses sont convenues, ou souscrites par la suite, les présentes clauses prévalent.

Clause 6

Description du ou des transferts

Les détails du ou des transferts, en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles le sont, sont précisés à l’annexe I.B.

Clause 7 

Clause d’adhésion

(a)  Une entité qui n’est pas partie aux présentes clauses peut, avec l’accord des parties, y adhérer à tout moment, soit en tant qu’exportateur de données soit en tant qu’importateur de données, en remplissant l’appendice et en signant l’annexe I.A.

(b)  Une fois l’appendice rempli et l’annexe I.A. signée, l’entité adhérente devient partie aux présentes clauses et a les droits et obligations d’un exportateur de données ou d’un importateur de données selon sa désignation dans l’annexe I.A.

(c)  L’entité adhérente n’a aucun droit ni obligation découlant des présentes clauses pour la période antérieure à son adhésion à celles-ci.

SECTION II – OBLIGATIONS DES PARTIES

Clause 8

Garanties en matière de protection des données

L’exportateur de données garantit qu’il a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses.

8.1 Instructions

(a)  L’importateur de données ne traite les données à caractère personnel que sur instructions documentées de l’exportateur de données. L’exportateur de données peut donner ces instructions pendant toute la durée du contrat.

(b)  S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement l’exportateur de données.

8.2 Limitation des finalités

L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du transfert, telles que précisées à l’annexe I.B, sauf en cas d’instructions supplémentaires de l’exportateur de données.

8.3 Transparence

Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, notamment de l’appendice tel que rempli par les parties. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les mesures décrites à l’annexe II et les données à caractère personnel, l’exportateur de données peut occulter une partie du texte de l’appendice aux présentes clauses avant d’en communiquer une copie, mais fournit un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en comprendre le contenu ou d’exercer ses droits. Les parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des occultations, dans la mesure du possible sans révéler les informations occultées. Cette clause est sans préjudice des obligations qui incombent à l’exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.

8.4 Exactitude

Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes, ou sont obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour effacer ou rectifier les données.

8.5  Durée du traitement et effacement ou restitution des données

Le traitement par l’importateur de données n’a lieu que pendant la durée précisée à l’annexe I.B. Au terme de la prestation des services de traitement, l’importateur de données, à la convenance de l’exportateur de données, efface toutes les données à caractère personnel traitées pour le compte de ce dernier et lui en apporte la preuve, ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données à caractère personnel que dans la mesure où et aussi longtemps que cette législation locale l’exige. Ceci est sans préjudice de la clause 14, en particulier de l’obligation imposée à l’importateur de données par la clause 14, paragraphe e), d’informer l’exportateur de données, pendant toute la durée du contrat, s’il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences de la clause 14, paragraphe a).

8.6  Sécurité du traitement

(a)  L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à ces données (ci-après la «violation de données à caractère personnel»). Lors de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour les personnes concernées. Les parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée précise restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données. Pour s'acquitter des obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe II. Il procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié.

(b)  L’importateur de données ne donne l’accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

(c)  En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données informe également l’exportateur de données de cette violation dans les meilleurs délais après en avoir eu connaissance. Cette notification contient les coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations, ainsi qu’une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), de ses conséquences probables et des mesures prises ou proposées pour y remédier, y compris, le cas échéant, des mesures visant à en atténuer les effets négatifs potentiels. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et les autres informations sont fournies par la suite, dans les meilleurs délais, à mesure qu’elles deviennent disponibles.

(d)  L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter les obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment celle d’informer l’autorité de contrôle compétente et les personnes concernées, compte tenu de la nature du traitement et des informations à la disposition de l’importateur de données.

8.7  Données sensibles

Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après les «données sensibles»), l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires décrites à l’annexe I.B.

8.8  Transferts ultérieurs

L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées de l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne  (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après «transfert ultérieur»), que si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié, ou si :

(i)  le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur ;

(ii)  le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question ;

(iii)  le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques ; ou

(iv)  le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.

Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au titre des présentes clauses, en particulier de la limitation des finalités.

8.9 Documentation et conformité

(a)  L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de l’exportateur de données concernant le traitement au titre des présentes clauses.

(b)  Les parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de traitement menées pour le compte de l’exportateur de données.

(c)  L’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations prévues par les présentes clauses et, à la demande de l’exportateur de données, pour permettre la réalisation d’audits des activités de traitement couvertes par les présentes clauses, et contribuer à ces audits, à intervalles raisonnables ou s’il existe des indications de non-respect. Lorsqu’il décide d’un examen ou d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues par l’importateur de données. 

(d)  L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.

(e)  Les parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les informations mentionnées aux paragraphes b) et c), y compris les résultats de tout audit.

Clause 9

Recours à des sous-traitants ultérieurs

(a)  L’importateur de données a l’autorisation générale de l’exportateur de données de recruter un ou plusieurs sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe expressément par écrit l’exportateur de données de tout changement concernant l’ajout ou le remplacement de sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste au moins 30 jours à l’avance, donnant ainsi à l’exportateur de données suffisamment de temps pour émettre des objections à l’encontre de ces changements avant le recrutement du ou des sous-traitants ultérieurs L’importateur de données fournit à l’exportateur de données les informations nécessaires pour permettre à ce dernier d’exercer son droit d’émettre des objections.

(b)  Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte de l’exportateur de données), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données au titre des présentes clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les personnes concernées . Les parties conviennent qu’en respectant la présente clause, l’importateur de données satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses.

(c)  L’importateur de données fournit à l’exportateur de données, à la demande de celui-ci, une copie du contrat avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en communiquer une copie.

(d)  L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu dudit contrat.

(e)  L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner instruction à ce dernier d’effacer ou de restituer les données à caractère personnel.

Clause 10

Droits des personnes concernées

(a)  L’importateur de données informe rapidement l’exportateur de données de toute demande reçue d’une personne concernée. Il ne répond pas lui-même à cette demande, à moins d’y avoir été autorisé par l’exportateur de données.

(b)  L’importateur de données aide l’exportateur de données à s’acquitter de son obligation de répondre aux demandes de personnes concernées désireuses d’exercer leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide requise. 

(c)  Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de données se conforme aux instructions de l’exportateur de données.

Clause 11

Voies de recours

(a)  L’importateur de données informe les personnes concernées, sous une forme transparente et aisément accessible, au moyen d’une notification individuelle ou sur son site web, d’un point de contact autorisé à traiter les réclamations. Il traite sans délai toute réclamation reçue d’une personne concernée.

 (b)  En cas de litige entre une personne concernée et l’une des parties portant sur le respect des présentes clauses, cette partie met tout en œuvre pour parvenir à un règlement à l’amiable dans les meilleurs délais. Les parties se tiennent mutuellement informées de ces litiges et, s’il y a lieu, coopèrent pour les résoudre.

(c)  Lorsque la personne concernée invoque un droit du tiers bénéficiaire en vertu de la clause 3, l’importateur de données accepte la décision de la personne concernée :

(i)  d’introduire une réclamation auprès de l’autorité de contrôle de l’État membre dans lequel se trouve sa résidence habituelle ou son lieu de travail, ou auprès de l’autorité de contrôle compétente au sens de la clause 13 ;

(ii)  de renvoyer le litige devant les juridictions compétentes au sens de la clause 18.

(d)  Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l’article 80, paragraphe 1, du règlement (UE) 2016/679.

(e)  L’importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de l’Union ou d’un État membre.

(f)  L’importateur de données convient que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural et matériel de cette dernière d’obtenir réparation conformément à la législation applicable.

Clause 12

Responsabilité

(a)  Chaque partie est responsable envers la ou les autres parties des dommages qu’elle cause à l’autre ou aux autres parties du fait d’un manquement aux présentes clauses.

(b)  L’importateur de données est responsable à l’égard de la personne concernée, et la personne concernée a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’importateur de données ou son sous-traitant ultérieur du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses.

(c)  Nonobstant le paragraphe b), l’exportateur de données est responsable à l’égard de la personne concernée et celle-ci a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’exportateur de données ou l’importateur de données (ou son sous-traitant ultérieur) du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données et, si l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du traitement, de la responsabilité de ce dernier au titre du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas.

(d)  Les parties conviennent que, si l’exportateur de données est reconnu responsable, en vertu du paragraphe c), du dommage causé par l’importateur de données (ou son sous-traitant ultérieur), il a le droit de réclamer auprès de l’importateur de données la part de la réparation correspondant à la responsabilité de celui-ci dans le dommage.

(e)  Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement et la personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties.

(f)  The Parties agree that if one Party is held liable under paragraph (e), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its / their responsibility for the damage.

(g)  L’importateur de données ne peut invoquer le comportement d’un sous-traitant ultérieur pour échapper à sa propre responsabilité.

Clause 13

Contrôle

(a)  Si l’exportateur de données est établi dans un État membre de l’Union : L’autorité de contrôle chargée de garantir le respect, par l’exportateur de données, du règlement (UE) 2016/679 en ce qui concerne le transfert de données, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente.

Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2 sans toutefois avoir à désigner un représentant en vertu de l’article 27, paragraphe 2, du règlement (UE) 2016/679 : L’autorité de contrôle d’un des États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont transférées au titre des présentes clauses en lien avec l’offre de biens ou de services ou dont le comportement fait l’objet d’un suivi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité compétente.

(b)  L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à garantir le respect des présentes clauses. En particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, notamment aux mesures correctrices et compensatoires. Il confirme par écrit à l’autorité de contrôle que les mesures nécessaires ont été prises.

 

SECTION III – LÉGISLATIONS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS DES AUTORITÉS PUBLIQUES

Clause 14

Législations et pratiques locales ayant une incidence sur le respect des clauses

 (a)  Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses. Cette disposition repose sur l’idée que les législations et les pratiques qui respectent l’essence des libertés et droits fondamentaux et qui n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour préserver un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes clauses.

(b)  Les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte, en particulier, des éléments suivants :

(i)  des circonstances particulières du transfert, parmi lesquelles la longueur de la chaîne de traitement, le nombre d’acteurs concernés et les canaux de transmission utilisés; les transferts ultérieurs prévus; le type de destinataire; la finalité du traitement; les catégories et le format des données à caractère personnel transférées; le secteur économique dans lequel le transfert a lieu et le lieu de stockage des données transférées ;

(ii)  des législations et des pratiques du pays tiers de destination – notamment celles qui exigent la divulgation de données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données – pertinentes au regard des circonstances particulières du transfert, ainsi que des limitations et des garanties applicables ;

(iii)  de toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.

(c)  L’importateur de données garantit que, lors de l’évaluation au titre du paragraphe b), il a déployé tous les efforts possibles pour fournir des informations pertinentes à l’exportateur de données et convient qu’il continuera à coopérer avec ce dernier pour garantir le respect des présentes clauses.

(d)  Les parties conviennent de conserver une trace documentaire de l’évaluation au titre du paragraphe b) et de mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande.

(e)  L’importateur de données accepte d’informer sans délai l’exportateur de données si, après avoir souscrit aux présentes clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences du paragraphe a), notamment à la suite d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application pratique de cette législation qui n’est pas conforme aux exigences du paragraphe a).

(f)  À la suite d’une notification au titre du paragraphe e), ou si l’exportateur de données a d’autres raisons de croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des présentes clauses, l’exportateur de données définit sans délai les mesures appropriées (par exemple des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) qu’il doit adopter et/ou qui doivent être adoptées par l’importateur de données pour remédier à la situation, [pour le module 3: , si nécessaire en concertation avec le responsable du traitement]. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée ne peut être fournie pour ce transfert ou si [pour le module 3: le responsable du traitement ou] l’autorité de contrôle compétente lui en donne [pour le module 3: donnent] l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 16, paragraphes d) et e), s’applique.

Clause 15

Obligations de l’importateur de données en cas d’accès des autorités publiques

15.1  Notification

(a)  L’importateur de données convient d’informer sans délai l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données) :

(i)  s’il reçoit une demande juridiquement contraignante d’une autorité publique, y compris judiciaire, en vertu de la législation du pays de destination en vue de la divulgation de données à caractère personnel transférées au titre des présentes clauses; cette notification comprend des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie ; ou

(ii)  s’il a connaissance d’un quelconque accès direct des autorités publiques aux données à caractère personnel transférées au titre des présentes clauses en vertu de la législation du pays de destination; cette notification comprend toutes les informations dont l’importateur de données dispose.

 (b)  Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de pouvoir en apporter la preuve à l’exportateur de données, si celui-ci lui en fait la demande.

(c)  Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations utiles que possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, la ou les autorités requérantes, la contestation ou non des demandes et l’issue de ces contestations, etc.).

(d)  L’importateur de données accepte de conserver les informations mentionnées aux paragraphes a) à c) pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.

(e)  Les paragraphes a) à c) sont sans préjudice de l’obligation incombant à l’importateur de données, en vertu de la clause 14, paragraphe e), et de la clause 16, d’informer sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses.

15.2  Contrôle de la légalité et minimisation des données

(a)  L’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier de vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données exerce les possibilités d'appel ultérieures dans les mêmes conditions. Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se prononce sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas obligé de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations incombant à l’importateur de données en vertu de la clause 14, paragraphe e).

(b)  L’importateur de données accepte de garder une trace documentaire de son évaluation juridique ainsi que de toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, de mettre les documents concernés à la disposition de l’exportateur de données. Il les met également à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.

(c)  L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.

 

SECTION IV – DISPOSITIONS FINALES

Clause 16

Non-respect des clauses et résiliation

(a)  L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses, quelle qu’en soit la raison. 

(b)  Dans le cas où l’importateur de données enfreint les présentes clauses ou n’est pas en mesure de les respecter, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que le respect des présentes clauses soit à nouveau garanti ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14, paragraphe f).

(c)  L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses, lorsque :

(i)  l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données en vertu du paragraphe b) et que le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension ; 

(ii)  l’importateur de données enfreint gravement ou de manière persistante les présentes clauses ; ou

(iii)  l’importateur de données ne se conforme pas à une décision contraignante d’une juridiction ou d’une autorité de contrôle compétente concernant les obligations qui lui incombent au titre des présentes clauses.

Dans ces cas, il informe l’autorité de contrôle compétente [pour le module 3: et le responsable du traitement] de ce non-respect. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement.

(d)  Les données à caractère personnel qui ont été transférées avant la résiliation du contrat au titre du paragraphe c) sont immédiatement restituées à l’exportateur de données ou effacées dans leur intégralité, à la convenance de celui-ci. Il en va de même pour toute copie des données. L’importateur de données apporte la preuve de l’effacement des données à l’exportateur de données. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel transférées, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données que dans la mesure où et aussi longtemps que cette législation locale l’exige.

(e)  Chaque partie peut révoquer son consentement à être liée par les présentes clauses i) si la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s’appliquent; ou ii) si le règlement (UE) 2016/679 est intégré dans le cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations qui s’appliquent au traitement en question en vertu du règlement (UE) 2016/679.

Clause 17

Droit applicable

Les présentes clauses sont régies par le droit d’un des États membres de l’Union européenne, pour autant que ce droit reconnaisse des droits au tiers bénéficiaire. Les parties conviennent qu’il s’agit du droit de la France).

Clause 18

Élection de for et juridiction

(a)  Tout litige survenant du fait des présentes clauses est tranché par les juridictions d’un État membre de l’Union européenne.

(b)  Les parties conviennent qu’il s’agit des juridictions de la France.

(c)  La personne concernée peut également poursuivre l’exportateur et/ou l’importateur de données devant les juridictions de l’État membre dans lequel elle a sa résidence habituelle.

(d) Les parties acceptent de se soumettre à la compétence de ces juridictions.