ACCORD DE TRAITEMENT DES DONNÉES DE SITEGROUND

Cet Accord de Traitement des Données (ci-après dénommée « DPA » en référencement à l’acronyme de l’appellation anglaise « Data Processing Agreement ») est conclu entre SiteGround Hosting Ltd. (« SiteGround », « nous ») et le Client (« Client », « vous »), désignés ensemble comme les « Parties ». Ce DPA fait partie des Conditions d’Utilisation, de la Politique de Confidentialité et d'autres politiques pertinentes disponibles ici. Les clients qui acceptent ces conditions concluent ce DPA en leur propre nom dans la mesure requise par les règlements et les lois de protection des données applicables et dans la mesure où SiteGround traite les données du Client selon les instructions du Contrôleur (telles que définies à la Section 1).

Dans le cadre de la fourniture des Services au Client, SiteGround peut traiter les Données Client au nom du client. Les Parties conviennent de se conformer aux dispositions suivantes concernant les Données Client, chacune agissant raisonnablement et de bonne foi:

1. Définitions

Sauf indication contraire dans le présent DPA, tous les termes en majuscules ont les significations décrites ci-dessous:

« Décision d'adéquation » : décision formelle prise par l'UE et le Royaume-Uni reconnaissant qu'un autre pays, territoire, secteur ou organisation internationale offre un niveau de protection des données à caractère personnel équivalent à celui de l'UE.

« Pays adéquat(s) » désigne les pays couverts par une décision d'adéquation émise par l'UE ou le Royaume-Uni, ce qui signifie que les données peuvent circuler librement entre ces pays.

« Produits supplémentaires » signifie toutes les fonctionnalités, produits, logiciels, programmes, addons, plugins, scripts, outils ou tout autre logiciel ou contenu tiers qui ne font pas partie des Services mais qui peuvent être accessibles via l'Espace Client sur le site web de SiteGround ou le panneau de contrôle.

« Accord » signifie les Conditions de service et d'autres documents pertinents annoncés sur notre site web, ainsi que votre Commande pour l'achat/l'utilisation des Services et la Confirmation de commande envoyée par SiteGround, le cas échéant. 

« Contrôleur » désigne la personne physique ou morale qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données clients; Dans cet accord, cela signifie le Client (vous).

« Données Client » signifie toutes les Données à Caractère Personnel qui sont fournies à SiteGround par ou au nom du Client via son utilisation des Services (pour éviter tout doute, les Données à Caractère Personnel faisant partie de la Commande du client pour l'achat/l'utilisation du Service respectif ne seront pas traitées comme Données client, soumises au présent DPA). 

« Pertes liées à la protection des données » signifie toutes les responsabilités, y compris: 

1. réclamations, demandes, actions, règlements, charges, procédures, dépenses, pertes et dommages (qu'ils soient matériels ou immatériels, y compris en cas de détresse émotionnelle) ;
2. dans la mesure où le droit applicable le permet :
3. amendes administratives, pénalités, sanctions, responsabilités ou autres recours imposés par une autorité de contrôle de la protection des données, une autre autorité de régulation concernée ou le tribunal compétent respectif ;
4. indemnisation d'une Personne Concernée ordonnée par une Autorité de Contrôle de la Protection des Données ou le tribunal compétent respectif ;
5. les coûts raisonnables liés au respect des enquêtes menées par une Autorité de Contrôle de la Protection des Données ou toute autre autorité réglementaire compétente, telle que le Commissaire à l'Information (ci-après dénommée « ICO » en référencement à l’acronyme de l’appellation anglaise « Information Commissioner's Office ») ; et
6. les coûts de chargement des Données Client et de remplacement des matériaux et équipements du Client, dans la mesure où ceux-ci sont perdus ou endommagés, et toute perte ou corruption des Données Client, y compris le coût de rectification ou de restauration des Données Client ;
7.  tous les autres frais (y compris les frais juridiques).

«  Règlements et lois sur la protection des données »  ou « Règlements sur la protection des données » désigne tous les règlements et lois, y compris, mais sans s'y limiter, les lois et règlements de l'Union européenne, de l'Espace économique européen, de leurs États membres, de la Suisse et du Royaume-Uni, applicables au Traitement des Données Client en vertu du présent DPA. Cela inclut le RGPD de l'UE et du Royaume-Uni, ainsi que le DPA de 2018.

« Personne concernée » désigne la personne physique identifiée ou identifiable à laquelle se rapportent les Données Client.

« Personne concernée dans l'UE » désigne une personne concernée qui réside dans l'Union européenne au moment où le traitement a lieu.

« Personne concernée au Royaume-Uni » désigne une personne concernée qui réside au Royaume-Uni au moment où le traitement a lieu.

« Date d'entrée en vigueur » signifie, le cas échéant :

1. la date à laquelle le Client a cliqué pour accepter l'Accord ou les Parties ont convenu autrement de cette DPA en ce qui concerne l'Accord applicable ; ou
2. 10 jours à partir de la date à laquelle SiteGround met cette DPA à la disposition du public et envoie un avis au Client.

«  RGPD » désigne le  Règlement Général sur la Protection des Données (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données des clients et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données).

« Accord International de Transfert de Données » (ci-après dénommée « IDTA » en référencement à l’acronyme de l’appellation anglaise « International Data Transfer Agreement») désigne les clauses standard de protection des données pour le transfert de Données Client lorsque la personne concernée se trouve au Royaume-Uni, incorporées à l'Annexe 4 du présent DPA.

« Adresse électronique de notification » désigne l'adresse e-mail spécifiée par le client dans la section « Détails du profil du propriétaire » de l'Espace Client pour recevoir certaines notifications de SiteGround.

« Commande » désigne toute commande du client pour l'achat/l'utilisation du/des service(s) respectif(s). 

« Partenaire » désigne toute personne ou entité qui contrôle directement ou indirectement, est contrôlée par ou est sous contrôle commun avec SiteGround. Aux fins de la présente définition, « contrôle » signifie la propriété ou le contrôle direct ou indirect de plus de 50% des intérêts avec droit de vote de l'entité concernée.

Le terme « données à caractère personnel » a la signification qui lui est attribuée dans les Réglementations applicables en matière de Protection des Données.

Le terme « traitement » a la signification qui lui est donnée dans les Réglementations applicables en matière de Protection des Données.

« Sous-traitant » désigne la personne ou l'entité qui traite les Données Client pour le compte du contrôleur.

« Services » désigne tous les services que nous offrons qui pourraient impliquer le traitement de données à caractère personnel par SiteGround et ses sous-traitants.

« SiteGround » désigne l'entité SiteGround qui est partie à ce DPA, à savoir SiteGround Hosting Ltd : SiteGround Hosting Ltd, une société enregistrée en Angleterre et au Pays de Galles (numéro d'enregistrement : 09348602), dont l'adresse est la suivante : 50, rue Broadway, 7ème étage, SW1H 0DB, Londres,

« Groupe de sociétés SiteGround » désigne toutes les sociétés, faisant partie du groupe de sociétés SiteGround, engagées dans le traitement des Données Client:

• SG Hosting Inc., une société enregistrée et existant en vertu des lois du Delaware, États-Unis, ayant son principal établissement au 700, rue N. Fairfax, bureau 614, Alexandria (en Virginie) 22314, États-Unis ;

• SiteGround Spain S.L., une société enregistrée et existant existant en vertu des lois du Royaume d'Espagne (numéro d'enregistrement CIF: B-87194171), avec adresse: 19, rue Calle Prim, Madrid 28004, Espagne ;

• SiteGround Hosting Ltd., une société enregistrée et existant en vertu des lois de l'Angleterre et du Pays de Galles (numéro d'enregistrement de société: 09348602), adresse: 50, rue Broadway, 7ème étage, SW1H 0DB, Londres, Royaume-Uni ;

• SiteGround Hosting EOOD, enregistrée en Bulgarie (UIC: 204181297), avec siège : 6, rue Olimpiyska, 7ème étage, Sofia, Bulgarie;

• SiteGround Capital Ltd, immatriculée à Chypre (numéro d'immatriculation HE 414758), domiciliée à l'adresse suivante : 8, rue Michail Karaoli, bureau 106, CY-1095, Nicosie, Chypre.

« Clauses Contractuelles Types »  (CCT) désigne les clauses types de protection des données pour le transfert de Données Client, telles que décrites à l'article 46, p.2, c) du RGPD, incorporées en annexe 1 au présent DPA.

« Sous-traitant ultérieur » désigne tout sous-traitant engagé par SiteGround ou un membre du groupe de sociétés SiteGround.

« Autorité de surveillance » ou « Autorité de protection des données » désigne une autorité publique indépendante établie au Royaume-Uni (l'ICO) ou dans l'UE. 

“Durée” désigne la période allant de la Date d'entrée en vigueur jusqu'à la fin de la fourniture des services par SiteGround en vertu de l'Accord applicable, y compris, le cas échéant, toute période pendant laquelle les Services peuvent avoir été suspendus et toute période de post-résiliation pendant laquelle SiteGround peut continuer à fournir des Services pour fins transitoires. 

« RGPD du Royaume-Uni » désigne le règlement britannique sur la protection des données applicable aux personnes concernées au Royaume-Uni.

2. Traitement des données

2.1. Champ d'application

Le présent DPA s'applique uniquement dans la mesure où SiteGround traite les Données Client pour le compte du Client dans le cadre de la fourniture des services et ces Données Client sont soumises aux réglementations applicables en matière de Protection des Données.

Annexe 1 (Clauses Contractuelles Types) s'appliquera aux Personnes Concernées qui se trouvent dans l'UE, tandis que l'Annexe 4 (Accord International de Transfert de Données) s'appliquera aux Personnes Concernées qui se trouvent au Royaume-Uni.

Si le Client acceptant ce DPA est déjà un client, ce DPA fait partie de l'Accord, de la Politique de Confidentialité et d'autres politiques et documents pertinents annoncés sur notre site web. Le présent DPA, y compris ses annexes, entrera en vigueur et remplacera toutes les conditions précédemment applicables à la confidentialité, au traitement des données et/ou à la sécurité des données lorsque SiteGround agit en tant que Sous-traitant des données.

2.2. Conformité à la réglementation applicable

Dans le cas où à la fois le RGPD, le RGPD du Royaume-Uni et la DPA 2018 s'appliquent à ce DPA, chaque partie respectera les obligations qui lui incombent en vertu des réglementations applicables en matière de protection des données concernant le traitement de ces Données Client.

2.3. Objet et Détails du Traitement des Données

2.3.1. Objet.

SiteGround traitera les Données Client si nécessaire pour la fourniture des Services et l'assistance technique et autres services connexes, y compris d'autres demandes conformément à l'Accord et selon les instructions supplémentaires du Client dans son utilisation des Services.

2.3.2. Durée du Traitement.

Sauf dans les cas prévus à l'Article 11, la Durée du Traitement des données correspond à la Durée désignée dans la Commande et l'Accord applicable.

2.3.3. Nature et Finalité du Traitement.

SiteGround traitera les Données Client aux fins de fournir les Services ainsi que le support technique et autre support connexe au Client, conformément à l'Accord, à ce DPA et aux autres documents pertinents.

2.3.4. Catégories de Personnes concernées.

Nous traitons les Données à Caractère Personnel des catégories suivantes de Personnes concernées:

• Les personnes qui accèdent et/ou utilisent les Services ;

• Les personnes dont les données sont fournies à SiteGround via les services, soit par le client, à sa demande, ou par les utilisateurs finaux/visiteurs du site web du client ;

• Les employés, les agents, les freelances, les clients et les autres sous-traitants du Client, ainsi que toute autre personne dont les Données à Caractère Personnel sont traitées dans le cadre de la fourniture des Services ;

• Les personnes qui transmettent des données en utilisant les Services, y compris les personnes qui collaborent et communiquent avec le Client ou les utilisateurs finaux/visiteurs du site web du Client.

2.3.5. Catégories de données à caractère personnel.

Nous pouvons traiter les catégories suivantes de Données à Caractère Personnel dans le cadre de la fourniture des Services 

• Informations d'identification personnelle (telles que le nom, etc.) ;

• Coordonnées (telles que l'adresse, l'adresse électronique, le numéro de téléphone, etc ;) 

• Tout autre type de Données à Caractère Personnel des Personnes concernées transmises dans le cadre de la fourniture des Services, y compris les Données à Caractère Personnel traitées dans les journaux du Client ou le contenu du Client (comme l'adresse IP, etc.).

2.4. Rôles des parties

Les Parties reconnaissent et conviennent que :

1. SiteGround est un Sous-traitant des Données Client en vertu des règlements européens et britanniques applicables en matière de Protection des Données ;
2. En vertu des Règlements européens et britanniques applicables en matière de Protection des Données, le Client est un Contrôleur de Données ou un Sous-traitant de Données, selon le cas, des Données Client ; et s'appuie sur une base légale conformément à ces Règlements applicables en matière de Protection des Données afin que SiteGround traite les Données Client et fournisse les Services conformément à l'Accord et au présent DPA.

2.5. Instructions pour le Traitement des Données

SiteGround traitera les Données Client conformément au présent DPA, qui représente les instructions complètes et finales du Client à SiteGround en ce qui concerne le traitement des Données Client. Le traitement en dehors du champ d'application du présent DPA (le cas échéant) nécessite un accord écrit préalable entre SiteGround et le Client sur des instructions supplémentaires pour le traitement. En concluant cet DPA, le Client demande à SiteGround de traiter les Données du Client uniquement conformément aux Réglementations applicables en matière de Protection des Données:

1. afin de fournir les Services ainsi que le support technique et autre support connexe ;
2. tel qu'initié par le Client et ses utilisateurs finaux/visiteurs du site web dans leur utilisation des Services; 
3. comme spécifié dans l'Accord, les Conditions d'Utilisation, la Politique de Confidentialité et d'autres documents pertinents régissant la fourniture des Services et le support technique et autre support connexe ;

2.6. Accès ou utilisation

SiteGround n'accède pas aux Données Client et ne les utilise pas, sauf si cela est nécessaire pour fournir les Services et le support technique et autre support connexe au Client conformément à la DPA, au contrat et à d'autres documents pertinents, et pour se conformer à la législation applicable, y compris à une ordonnance valide et contraignante (telle qu'une ordonnance du tribunal ou d'autres documents contraignants) d'un organisme chargé de l'application de la loi et/ou de toute autre autorité compétente/organisme d'État.

2.6.1. Traitement par le client.

Le Client devra, dans son utilisation des Services, traiter ses Données à Caractère Personnel conformément aux exigences des Lois et Règlements sur la Protection des Données qui lui sont applicables. Le Client est seul responsable de l'exactitude, de la qualité et de la licéité de ses Données et des moyens par lesquels le Client a acquis ces Données.

2.6.2. Traitement des Données Client par SiteGround. 

SiteGround ne traitera les Données Client qu'au nom du Client et conformément à ses instructions documentées (comme indiqué dans ce DPA) aux fins suivantes :

1. Traitement pour fournir les Services et le support technique et autre support connexe ;
2. Traitement initié par le Client et/ou ses utilisateurs finaux/visiteurs du site web dans le cadre de leur utilisation des Services;
3. Traitements nécessaires au maintien et à l'amélioration des Services.

2.6.3. Conformité de SiteGround aux instructions.  

À compter de la Date d'entrée en vigueur, SiteGround se conformera aux instructions décrites ci-dessus, y compris en ce qui concerne les transferts de données, à moins que la législation applicable du Royaume-Uni ou d'un État membre de l'UE à laquelle SiteGround est soumis n'exige un autre traitement des Données Client par SiteGround. Dans ce cas, SiteGround informera le Client (sauf si cette loi interdit à SiteGround de le faire pour des motifs importants d'intérêt public).

Les Données Client peuvent être consultées et traitées par SiteGround et les Sous-traitants ultérieurs pour remplir les obligations en vertu du présent DPA, de l'Accord respectif ou de la législation applicable. Un tel traitement sera conforme aux mesures décrites dans les Sections 3, Section 7 et Annexe 2 Mesures de sécurité.

2.7. Droits des Personnes concernées

2.7.1. Accès, Rectification, Limitation, Portabilité.

Pendant la Durée applicable, SiteGround doit permettre au Client, d'une manière compatible avec la fonctionnalité des Services, d'accéder aux Données Client, de les rectifier et de restreindre leur traitement. Cela inclut la possibilité de supprimer tout ou partie des Données Client sous son compte ou de supprimer l'ensemble du compte, comme décrit à la Section 2.8 (« Suppression et restitution des Données Client »), ainsi que la possibilité d'exporter les Données Client.

2.7.2.  Demandes des Personnes Concernées

2.7.2.1.  Responsabilité du Client à l'égard des demandes. 

Si, pendant la Durée applicable, SiteGround reçoit une demande d'une Personne Concernée pour exercer le droit d'accès, le droit de rectification, la restriction du traitement, l'effacement (« droit à être oublié »), la portabilité des données, l'opposition au Traitement d'une Personne Concernée, ou son droit de ne pas faire l'objet d'une prise de décision individuelle automatisée ("Demande de la Personne Concernée"), SiteGround conseillera à la Personne Concernée de soumettre sa demande au Client, et le Client sera responsable de répondre à une telle demande, y compris, si nécessaire , en utilisant la fonctionnalité des Services. SiteGround doit, dans la mesure autorisée par la loi, prendre des mesures commercialement raisonnables pour informer le Client de ces demandes.

2.7.2.2. Demande d'Assistance de la Personne Concernée de SiteGround.  

Étant donné la nature du Traitement, le Client convient que SiteGround fournira, dans la mesure du possible, une assistance technique et organisationnelle appropriée pour aider le Client à répondre aux demandes des Personnes concernées. Cela inclut, le cas échéant, l'obligation du Client de répondre aux demandes d'exercice des droits des Personnes concernées tels qu'énoncés au chapitre III du RGPD et du RGPD/DPA 2018 du Royaume-Uni, en :

(a) fournissant des ressources de documentation sous la forme de didacticiels et d'articles de la base de connaissances, de fonctionnalités et/ou de commandes dans le panneau de configuration que le Client peut choisir d'utiliser pour configurer correctement les services et utiliser les services de manière sécurisée.

(b) fournissant des caractéristiques, des fonctionnalités et/ou des contrôles dans le panneau de contrôle que le Client peut choisir d'utiliser pour récupérer, corriger ou supprimer les Données Client des services.

(c) respectant les engagements énoncés dans le présent DPA.

(d) Dans la mesure où le Client, dans son utilisation des Services, n'a pas la capacité de répondre à une Demande de Personne Concernée, SiteGround doit, à la demande du Client, fournir des efforts commercialement raisonnables pour aider le Client à répondre à cette Demande de Personne Concernée, dans la mesure où SiteGround est légalement obligé de le faire et la réponse à cette Demande de Personne Concernée est requise en vertu de la réglementation applicable en matière de Protection des Données. Dans la mesure permise par la loi, le Client sera responsable de tous les coûts découlant de la fourniture par SiteGround d'une telle assistance.

2.8. Suppression et restitution des Données Client

SiteGround permettra au Client de supprimer les Données Client pendant la durée applicable d'une manière compatible avec la fonctionnalité des Services utilisés et les fonctionnalités respectives. La récupération ou la suppression des Données Client par le Client constitue une instruction à SiteGround de supprimer les Données Client respectives archivées sur les systèmes de sauvegarde conformément à la loi applicable et dans un délai maximum de 60 jours calendaires.  

La désactivation des Services ou l'expiration de la Durée applicable constitue une instruction à SiteGround de supprimer les Données Client et les Données Client pertinentes archivées sur des systèmes de sauvegarde dans un délai maximum de 60 jours calendaires. 

Rien dans cette section 2.8 ne varie ou ne modifie l'obligation de SiteGround de conserver certaines ou toutes les Données Client nécessaires pour se conformer à la législation applicable, y compris avec une ordonnance valide et contraignante (telle qu'une ordonnance d'un tribunal ou d'autres documents contraignants) d'un organisme d'application de la loi et /ou toute autre autorité compétente/organisme étatique. 

2.9. Divulgation

SiteGround ne divulguera pas les Données Client à un gouvernement, à des organismes chargés de l'application de la loi et à d'autres autorités, sauf si nécessaire pour se conformer à la législation applicable ou à une ordonnance valide et contraignante (telle qu'une ordonnance d'un tribunal ou d'autres documents contraignants) d'un organisme chargé de l'application de la loi et/ou toute autre autorité/organisme public compétent. Dès réception d'une commande par les autorités d'un pays tiers, SiteGround agira conformément à la clause 15 des Clauses Contractuelles Types. SiteGround peut également divulguer des Données Client à des tiers dans le cas où SiteGround vend ou achète une entreprise ou des actifs, auquel cas SiteGround peut divulguer des Données Client au vendeur ou à l'acheteur potentiel, ou dans le cas où SiteGround vend, achète, fusionne, est acquis par, ou s'associe à d'autres sociétés ou entreprises, ou vend tout ou partie de ses actifs. 

2.10. Employés de SiteGround

SiteGround interdit à ses employés de traiter les Données Client sans son autorisation. L'accès aux données des clients est limité aux employés dont le rôle et les responsabilités sont liés à la fourniture des Services. 

SiteGround impose à ses employés des obligations contractuelles appropriées, y compris des obligations pertinentes en matière de confidentialité, de protection des données et de sécurité des données. SiteGround garantit que ces obligations de confidentialité perdurent après la fin de l'engagement des employés.

2.11. Délégué à la protection des données

Conformément à la législation applicable en matière de Protection des Données, SiteGround a nommé un Délégué à la Protection des Données, qui peut être contacté à l'adresse suivante : dpo@siteground.co.uk.

3. Sous-traitants Ultérieurs.

3.1. Consentement à l'engagement de sous-traitants ultérieurs/désignation de sous-traitants ultérieurs

Le Client reconnaît et accepte que: 

(a) Les Partenaires de SiteGround peuvent être retenus en tant que Sous-traitants ultérieurs; et

(b) SiteGround et les Partenaires de SiteGround peuvent respectivement engager des Sous-traitants ultérieurs dans le cadre de la fourniture des Services. SiteGround a conclu un accord écrit avec chaque Sous-traitant ultérieur contenant des obligations de protection des données non moins protectrices que celles du présent DPA en ce qui concerne la protection des Données Client dans la mesure applicable à la nature des Services fournis par ces Sous-traitants ultérieurs.

Si le Client a conclu des Clauses Contractuelles Types (Annexe 1) ou l'Accord international de transfert de données (Annexe 4) tel que décrit dans la Section 5, les autorisations ci-dessus constituent le consentement écrit préalable du Client à la sous-traitance par SiteGround du traitement des Données Client si un tel consentement est requis en vertu des Clauses Contractuelles Types.

3.2. Informations sur les Sous-traitants ultérieurs

3.2.1. SiteGround peut partager des informations vous concernant avec des Sous-traitants ultérieurs tels que le Groupe de Sociétés SiteGround qui peuvent être engagés dans la fourniture de Services soumis à votre Accord et qui sont basés à l'intérieur et/ou à l'extérieur de l'UE, de l'EEE ou du Royaume-Uni. Ces Sous-traitants ultérieurs traiteront les Données Client fournies selon les instructions de SiteGround et conformément à notre politique de confidentialité et à ce DPA.

3.2.2. Une liste des Sous-traitants ultérieurs de SiteGround peut être divulguée sur demande, conformément à l'annexe 3.

3.3. Exigences relatives à l'engagement des Sous-traitants ultérieurs

Lors de l'engagement d'un Sous-traitant ultérieur, SiteGround doit:

(a) s'assurer via un contrat écrit que:

(i) le Sous-traitant ultérieur n'accède et n'utilise les Données Client que dans la mesure nécessaire à l'exécution des obligations qui lui ont été sous-traitées, et le fait conformément au présent Accord de Traitement des Données et à toute Clause Contractuelle Type ou Accord International de Transfert de Données conclu ou Solution de Transfert Alternative adoptée par SiteGround tel que décrit dans la Section 5; et

(ii) si le RGPD du Royaume-Uni ou de l'UE s'applique au traitement des données du Client, les obligations de protection des données définies dans le règlement de protection des données applicable, telles que décrites dans le présent Accord de traitement des données, sont imposées au Sous-traitant ultérieur ; et

(b) reste entièrement responsable de toutes les obligations qui lui sont sous-traitées, et de tous les actes et omissions du Sous-traitant ultérieur.

3.4. Droit d'opposition pour le(s) Sous-traitant(s) ultérieur(s)

3.4.1. Le client peut s'opposer à tout Sous-traitant ultérieur en résiliant l'accord applicable immédiatement après notification écrite à SiteGround, à condition que le Client fournisse un tel avis dans les 10 jours calendaires après avoir été informé de l'engagement du Sous-traitant ultérieur respectif. Ce droit de résiliation est le recours unique et exclusif du Client si le Client s'oppose à tout Sous-traitant ultérieur.

3.4.2. SiteGround remboursera au Client tous les frais prépayés couvrant le reste de la durée de cette ou ces Commandes après la date effective de résiliation en ce qui concerne ces Services résiliés, sans imposer de pénalité pour cette résiliation au Client.

4. Évaluations de l'impact de la protection des données et consultations

À la demande du Client, SiteGround fournira la coopération et l'assistance raisonnables nécessaires pour permettre au Client de remplir son obligation en vertu du RGPD de l'UE et du Royaume-Uni d'effectuer une évaluation d'impact sur la protection des données (DPIA) en lien avec l'utilisation des services par le Client, dans la mesure où le Client n'a pas autrement accès aux informations pertinentes, et dans la mesure où ces informations sont disponibles pour SiteGround. SiteGround apportera également une assistance raisonnable au Client pour coopérer ou consulter préalablement l'Autorité de surveillance dans l'exécution de ses tâches relatives à ce RGPD, dans la mesure requise par le Règlement sur la protection des données.

5. Transferts hors de l'UE, de l'EEE et du Royaume-Uni

5.1. Datacenters

SiteGround traite les données des clients dans des centres de données situés à l'intérieur et à l'extérieur de l'Union européenne, de l'EEE et du Royaume-Uni. Les informations sur les emplacements des centres de données sont disponibles sur:https://world.siteground.com/fr/datacenters et SiteGround se réserve le droit de les mettre à jour de temps en temps.

Le Client peut spécifier l'emplacement du Datacenter où le contenu de son compte d'hébergement sera stocké. Le client accepte que SiteGround puisse modifier les emplacements des Datacenters et déplacer le compte d'hébergement du client vers un autre Datacenter à sa seule discrétion. SiteGround informera le Client au moins 10 jours calendaires avant de déplacer le compte d'hébergement du Client, à sa seule discrétion, vers un nouveau Datacenter, soit en envoyant un e-mail à l'Adresse électronique de notification, soit via l'Espace Client. Si le changement du Datacenter entraîne le stockage des Données Client situées dans le compte d'hébergement du Client sous une juridiction différente, le Client peut s'opposer à ce changement en résiliant l’Accord immédiatement et moyennant notification écrite à SiteGround, à condition que le Client fournisse cette préavis dans les 10 jours calendaires après avoir été informé du changement de Datacenter.

Le Client peut à tout moment déplacer son compte d'hébergement vers un autre emplacement du Datacenter, sous réserve que la fonctionnalité des Services le permette et moyennant des frais supplémentaires.

5.2. Lieux de traitement

Dans la mesure où les Données Client se trouvent dans un Datacenter en dehors de l'Espace économique européen ou du Royaume-Uni, et dans la mesure où SiteGround fournit les Services et le support technique et autre support connexe, le Client accepte que SiteGround puisse, sous réserve de la section 5, transmettre, accéder et traiter les données du Client dans l'UE, l'EEE, le Royaume-Uni, l'Asie, l'Australie et les États-Unis et tous les autres pays où SiteGround et/ou ses partenaires et sous-traitants ultérieurs ont des Datacenters, des installations ou maintiennent des opérations de traitement des données. 

Ce type d'opérations internationales de transfert de données peut se produire lors de la fourniture de l'un des Services fournis par SiteGround, y compris le service de Réseau de Diffusion de Contenu (CDN).

Les emplacements géographiques des serveurs vers lesquels le transfert de données susmentionné peut avoir lieu sont répertoriés sur notre site web et sont sujets à des modifications à notre seule discrétion. 

Si le stockage et/ou le traitement des Données Client implique le traitement des données du Client en dehors de l'EEE et que le RGPD de l'UE s'applique, le présent DPA et l'annexe 1, contenant les Clauses contractuelles types, s'appliqueront automatiquement en tant que garantie contractuelle du transfert international de données. 

Si le stockage et/ou le traitement des Données Client impliquent le traitement des Données Client en dehors du Royaume-Uni, et que le RGPD du Royaume-Uni s'applique, alors le présent DPA et l'Annexe 4, contenant l'Accord international de transfert de données, s'appliqueront automatiquement en tant que garantie contractuelle de l'international transfert de données. 

5.3. Mécanisme de transfert

Dans la mesure où SiteGround traite ou transfère (directement ou via un transfert ultérieur) les Données Client en vertu de ce DPA du Royaume-Uni, de l'Union européenne, de l'Espace économique européen vers des pays qui ne garantissent pas un niveau adéquat de protection des données au sens des lois applicables sur la protection des données des territoires susmentionnés, les parties conviennent de ce qui suit :

1. Le Client autorise par la présente tout transfert ou accès aux données du client depuis et vers de telles destinations en dehors de l'UE, de l'Espace économique européen et du Royaume-Uni
2. SiteGround est réputé fournir des mesures appropriées et proportionnées de protection des données techniques et organisationnelles et d'atténuation des risques de cybersécurité, ainsi que d'effectuer les évaluations de risques appropriées lors du transfert de Données Client en dehors de l'UE, de l'EEE et du Royaume-Uni;
3. SiteGround est réputé fournir des garanties appropriées pour protéger les données du client en mettant à disposition des Clauses Contractuelles Types (Annexe 1) et un Accord international de transfert de données (Annexe 4) en tant que mécanisme de transfert.

          3.1. Les Clauses Contractuelles Types (Annexe 1) s'appliqueront aux Données Client transférées, lorsque la Personne concernée se trouve dans l'UE ou l'EEE ;

          3.2. L'Accord international de transfert de données (annexe 4) s'applique aux données du client transférées lorsque la personne concernée se trouve au Royaume-Uni.

6. Traitement des enregistrements.

Le Client reconnaît que SiteGround est tenu, en vertu du RGPD du Royaume-Uni et de l'UE, de :

(a) collecter et conserver des enregistrements de certaines informations, y compris le nom et les coordonnées de chaque Sous-traitant et/ou contrôleur pour le compte duquel SiteGround agit et, le cas échéant, du représentant local et du responsable de la protection des données de ce Sous-traitant ou contrôleur; et 

(b) mettre ces informations à la disposition des Autorités de contrôle. Lorsque le RGPD du Royaume-Uni et de l'UE s'applique au traitement des données du Client, celui-ci doit, sur demande, fournir ces informations à SiteGround via le site web de SiteGround ou par d'autres moyens fournis par SiteGround, et il doit s'assurer que toutes les informations fournies sont exactes et à jour.

7.  Responsabilités de SiteGround en matière de sécurité.

7.1. Mesures de sécurité

SiteGround mettra en œuvre et maintiendra des mesures techniques et organisationnelles pour protéger les Données Client contre la destruction accidentelle ou illégale, la perte, l'altération, la divulgation ou l'accès non autorisé, comme décrit à l'Annexe 2 (les « Mesures de sécurité »). Comme décrit à l'Annexe 2, les Mesures de sécurité comprennent des mesures visant à fournir une transmission cryptée des Données Client en dehors de l'environnement du Service; pour aider à assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et des Services de SiteGround ; pour aider à restaurer l'accès en temps opportun aux Données du Client à partir d'une copie de sauvegarde disponible, fournie soit par les Services de Sauvegarde SiteGround, soit par la propre copie de sauvegarde du Client suite à un incident; et pour des tests réguliers d'efficacité. SiteGround peut mettre à jour ou modifier les Mesures de Sécurité de temps à autre, à condition que ces mises à jour et modifications n'entraînent pas la dégradation de la sécurité globale des Services.

7.2. Responsabilités du Client en matière de sécurité et évaluation

Le client accepte que, sans préjudice des obligations de SiteGround en vertu de la section 7 (Responsabilités de sécurité de SiteGround) et d'autres sections pertinentes du présent DPA : 

7.2.1. Le Client est seul responsable de son utilisation des Services, y compris:

i. faire un usage approprié des Services pour assurer un niveau de sécurité adapté au risque en ce qui concerne les Données du Client et le contenu de son compte d'hébergement;

ii. sécuriser les identifiants d'authentification de compte, les systèmes et les appareils que le Client utilise pour accéder aux Services; 

iii. s'assurer que tous les programmes, scripts, addons, plugins et autres logiciels installés sur son compte d'hébergement sont sécurisés, correctement configurés et régulièrement entretenus, et que leur utilisation n'impose aucun risque de sécurité en ce qui concerne les Données du Client et le compte lui-même;

7.2.2. SiteGround n'a aucune obligation de protéger les Données Client que le Client stocke ou transfère en dehors des systèmes de SiteGround et de ses Sous-traitants (par exemple, stockage hors ligne ou sur site), ou de fournir des services de sécurité payants supplémentaires, sauf dans la mesure où SiteGround offre et respectivement le Client commande et paie ces Services.

7.2.3. Le Client est seul responsable de l'examen de la documentation et de l'évaluation pour déterminer si les services, les mesures de sécurité, ainsi que les engagements de SiteGround conformément à la présente section et ce qui suit, répondent à ses besoins. Cela inclut les obligations de sécurité du Client en vertu de la Législation Européenne sur la Protection des Données et/ou de la Législation Non Européenne sur la Protection des Données, selon le cas.

7.2.4. Le Client reconnaît et accepte que (en tenant compte des coûts de mise en œuvre et de la nature, de la portée, du contexte et de la finalité du traitement des données du Client ainsi que des risques pour les individus) les Mesures de Sécurité mises en œuvre et maintenues par SiteGround comme indiqué à la section 7.1 fournissent le niveau de sécurité nécessaire adapté au risque en ce qui concerne les Données Client.

7.2.5. Il est de la responsabilité du Client de sauvegarder les Données Client et toutes les données et contenus stockés dans son compte d'hébergement afin d'éviter toute perte de données potentielle. Les Services de Sauvegarde SiteGround sont fournis "tels quels" et sont soumis à toutes les limitations de responsabilité énoncées dans l'Accord applicable. En cas de perte ou de corruption partielle ou totale des données et si le Client n'est pas satisfait du résultat de la restauration par les services de sauvegarde de SiteGround ou si la copie de sauvegarde de SiteGround n'est pas récente ou ne convient pas à la restauration, il incombe au Client de restaurer toutes les données et tous les contenus stockés dans son compte d'hébergement à partir de la propre sauvegarde du Client.

8. Revue et audits de conformité.

En vertu de la réglementation applicable en matière de Protection des Données: 

1. Le Client a le droit de vérifier le respect par SiteGround de ses obligations en vertu du présent DPA, en procédant à un examen de la documentation ou à un audit, effectué par le client ou un auditeur indépendant nommé par le Client, en adressant une demande spécifique à SiteGround dans un forme écrite à l'adresse indiquée dans les Conditions d'utilisation respectives. 
2. SiteGround fournira en outre des réponses écrites à toutes les demandes raisonnables du Client et pourra facturer des frais pour tout examen ou audit. SiteGround fournira des détails sur tous les frais applicables avant un tel audit et le Client sera responsable de tous les frais facturés par tout auditeur et de tous les frais associés à l'exécution d'un audit. Les rapports d'un tel audit seront mis à la disposition de SiteGround sans restriction des objectifs de son utilisation ultérieure par SiteGround.
3. SiteGround peut s'opposer et refuser par écrit au Client ou à un auditeur nommé par le Client d’effectuer un audit si le Client ou l'auditeur n'est, de l'avis raisonnable de SiteGround, pas suffisamment qualifié ou indépendant, un concurrent de SiteGround, ou autrement manifestement inapproprié.
4. Si SiteGround refuse de suivre toute instruction demandée par le Client ou un auditeur concernant un audit ou un examen correctement demandé et délimité, le Client a le droit de résilier le présent DPA et l’Accord.
5. Rien dans la présente section 8 (« Revue et audits de conformité ») ne modifie ni ne change les droits ou obligations du Client ou de SiteGround en vertu des Clauses contractuelles types conclues et de l'Accord International de Transfert de Données conclu, comme décrit dans la section 5.

9.  Notification des violations de sécurité. 

9.1. SiteGround maintient des politiques et procédures de gestion des incidents de sécurité et doit informer le Client sans retard injustifié après avoir pris connaissance de la destruction accidentelle ou illégale, de la perte, de l'altération, de la divulgation non autorisée ou de l'accès aux Données Client, y compris les Données client transmises, stockées ou autrement traitées par SiteGround ou ses Sous-traitants dont SiteGround prend connaissance et qui affectent les droits et libertés de toute Personne Concernée ("Incident de Données Client"). SiteGround fera des efforts raisonnables pour identifier la cause d'un tel incident de Données Client et prendra les mesures que SiteGround juge nécessaires et raisonnables afin de remédier à la cause d'un tel incident de Données Client dans la mesure où la correction est sous le contrôle raisonnable de SiteGround. Les obligations des présentes ne s'appliquent pas aux incidents causés par le Client, l'utilisation des Services par le Client, les actions ou activités du Client ou les Utilisateurs du Client.

9.2. Les notifications faites en vertu de cette section doivent décrire, dans la mesure du possible, les détails de l'incident de Données Client, y compris les mesures prises pour atténuer les risques potentiels et les mesures que SiteGround recommande au Client d'entreprendre afin de traiter l'Incident de Données Client. 

9.3. Les notifications de tout Incident de Données Client doivent être envoyées à l'adresse e-mail de notification ou, à la discrétion de SiteGround, par communication directe (par exemple, par appel téléphonique). Le Client est seul responsable de s'assurer que l'adresse électronique de notification et ses coordonnées spécifiées dans la section « Détails du profil du propriétaire » de son Espace Client sont correctes et valides.

9.4. SiteGround n'évaluera pas le contenu des Données Client afin d'identifier les informations soumises à des exigences légales spécifiques. Le Client est seul responsable du respect des lois de notification d'incident applicables au Client et de l'exécution de toute obligation de notification de tiers liée à tout incident de Données Client.

9.5. La notification ou la réponse de SiteGround à un Incident de Données Client en vertu de la présente Section 9 ne doit pas être interprétée comme une reconnaissance par SiteGround de toute faute ou responsabilité à l'égard de l’Incident de Données Client.

10. Responsabilité et indemnisation

10.1. Le Client doit indemniser et maintenir SiteGround indemnisé en ce qui concerne toutes les violations de la protection des données et les pertes subies ou encourues par, découlant de ou en relation avec:

a) tout non-respect par le Client des lois et réglementations relatives à la protection des données;

b) toute violation par le Client de ses obligations en matière de protection des données et d'autres obligations en vertu du présent DPA et de l’Accord; 

10.2. SiteGround ne sera responsable des violations de la protection des données et des pertes causées par le traitement des Données Client que dans la mesure où elles résultent directement du non-respect par SiteGround de ses obligations en tant que Sous-traitant de Données en vertu des Lois et Réglementations sur la Protection des Données. La responsabilité de SiteGround en vertu du DPA sera soumise aux exclusions et limitations de responsabilité énoncées dans l'Accord.

11. Résiliation

Le présent DPA prendra effet à compter de la Date d'Entrée en vigueur jusqu'à la fin de la fourniture des Services par SiteGround en vertu de l'Accord applicable, y compris, le cas échéant, toute période pendant laquelle les Services peuvent avoir été suspendus et toute période de post-résiliation (à savoir un maximum de 60 jours calendaires) au cours de laquelle SiteGround peut continuer à traiter les Données Client à des fins transitoires (« Durée »). Rien dans la présente Section 11 ne varie ou ne modifie l'obligation de SiteGround de conserver tout ou partie des Données Client nécessaires pour se conformer à la législation applicable ou à une ordonnance valide et contraignante (telle qu'une citation à comparaître ou une ordonnance d'un tribunal) d'un organisme d'application de la loi et /ou toute autre autorité compétente/organisme étatique. Le DPA sera automatiquement résilié à la résiliation du contrat et à la suppression de toutes les Données Client par SiteGround.

12. Effet juridique. Amendements.

12.1. En cas de conflit ou d'incohérence entre les termes du présent DPA et ceux de l'Accord applicable relatif au traitement des Données Client, les termes du présent DPA prévaudront. Pour plus de clarté, si le Client a conclu plus d'un Accord, le présent DPA modifiera chacun des Accords séparément.

12.2. SiteGround peut modifier les termes de ce DPA à tout moment. Si nous apportons des modifications substantielles à ce DPA, nous vous en informerons ici, par e-mail, ou au moyen d'un avis via notre site web ou via votre Espace Client, au moins dix (10) jours calendaires avant que les modifications ne prennent effet. Les modifications non matérielles de cet DPA prendront effet immédiatement.

 

ANNEXE 1:

CLAUSES CONTRACTUELLES TYPES

SECTION I

Clause 1

Finalités et champ d’application

a) Les présentes clauses contractuelles types visent à garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) en cas de transfert de données à caractère personnel vers un pays tiers.

b) Les parties :

i) la ou les personnes physiques ou morales, la ou les autorités publiques, la ou les agences ou autre(s) organisme(s) (ci-après la ou les « entités ») qui transfèrent les données à caractère personnel, mentionnés à l’annexe I.A. (ci-après l’« exportateur de données »), et

ii) la ou les entités d’un pays tiers qui reçoivent les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses, mentionnées à l’annexe I.A. (ci-après l’« importateur de données »)

sont convenues des présentes clauses contractuelles types (ci-après les «clauses»).

c) Les présentes clauses s’appliquent au transfert de données à caractère personnel précisé à l’annexe I.B.

d) L’appendice aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des présentes clauses.

Clause 2

Effet et invariabilité des clauses

a) Les présentes clauses établissent des garanties appropriées, notamment des droits opposables pour la personne concernée et des voies de droit effectives, en vertu de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types en vertu de l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l’appendice. Cela n’empêche pas les parties d’inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les présentes clauses et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.

b) Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.

Clause 3

Tiers bénéficiaires

a) Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes :

i) clause 1, clause 2, clause 3, clause 6, clause 7;

ii) clause 8 — module 1: clause 8.5, paragraphe e), et clause 8.9, paragraphe b); module 2: clause 8.1, paragraphe b), clause 8.9, paragraphes a), c), d) et e); module 3: clause 8.1, paragraphes a), c) et d) et clause 8.9, paragraphes a), c), d), e), f) et g); module 4: clause 8.1, paragraphe b), et clause 8.3, paragraphe b);

iii) clause 9 — module 2: clause 9, paragraphes a), c), d) et e); module 3: clause 9, paragraphes a) c), d) et e);

iv) clause 12 — module 1: clause 12, paragraphes a) et d); modules 2 et 3: clause 12, paragraphes a), d) et f);

v) clause 13;

vi) clause 15.1, paragraphes c), d) et e);

vii) clause 16, paragraphe e);

viii) clause 18 — modules 1, 2 et 3: clause 18, paragraphes a) et b); module 4: clause 18.

b) Le paragraphe a) est sans préjudice des droits des personnes concernées au titre du règlement (UE) 2016/679.

Clause 4

Interprétation

a) Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ceux-ci ont la même signification que dans ledit règlement.

b) Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.

c) Les présentes clauses ne sont pas interprétées dans un sens contraire aux droits et obligations prévus dans le règlement (UE) 2016/679.

Clause 5

Hiérarchie

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties existant au moment où les présentes clauses sont convenues, ou souscrites par la suite, les présentes clauses prévalent.

Clause 6

Description du ou des transferts

Les détails du ou des transferts, en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles le sont, sont précisés à l’annexe I.B.

Clause 7 – Facultative

Clause d’adhésion

a) Une entité qui n’est pas partie aux présentes clauses peut, avec l’accord des parties, y adhérer à tout moment, soit en tant qu’exportateur de données soit en tant qu’importateur de données, en remplissant l’appendice et en signant l’annexe I.A.

b) Une fois l’appendice rempli et l’annexe I.A. signée, l’entité adhérente devient partie aux présentes clauses et a les droits et obligations d’un exportateur de données ou d’un importateur de données selon sa désignation dans l’annexe I.A.

c) L’entité adhérente n’a aucun droit ni obligation découlant des présentes clauses pour la période antérieure à son adhésion à celles-ci.

SECTION II - OBLIGATIONS DES PARTIES

Clause 8

Garanties en matière de protection des données

L’exportateur de données garantit qu’il a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses.

8.1. Instructions

a) L’importateur de données ne traite les données à caractère personnel que sur instructions documentées de l’exportateur de données. L’exportateur de données peut donner ces instructions pendant toute la durée du contrat.

b) S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement l’exportateur de données.

8.2. Limitation des finalités

L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du transfert, telles que précisées à l’annexe I.B, sauf en cas d’instructions supplémentaires de l’exportateur de données.

8.3. Transparence

Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, notamment de l’appendice tel que rempli par les parties. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les mesures décrites à l’annexe II et les données à caractère personnel, l’exportateur de données peut occulter une partie du texte de l’appendice aux présentes clauses avant d’en communiquer une copie, mais fournit un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en comprendre le contenu ou d’exercer ses droits. Les parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des occultations, dans la mesure du possible sans révéler les informations occultées. Cette clause est sans préjudice des obligations qui incombent à l’exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.

8.4. Exactitude

Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes, ou sont obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour effacer ou rectifier les données.

8.5. Durée du traitement et effacement ou restitution des données

Le traitement par l’importateur de données n’a lieu que pendant la durée précisée à l’annexe I.B. Au terme de la prestation des services de traitement, l’importateur de données, à la convenance de l’exportateur de données, efface toutes les données à caractère personnel traitées pour le compte de ce dernier et lui en apporte la preuve, ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données à caractère personnel que dans la mesure où et aussi longtemps que cette législation locale l’exige. Ceci est sans préjudice de la clause 14, en particulier de l’obligation imposée à l’importateur de données par la clause 14, paragraphe e), d’informer l’exportateur de données, pendant toute la durée du contrat, s’il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences de la clause 14, paragraphe a).

8.6. Sécurité du traitement

a) L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à ces données (ci-après la «violation de données à caractère personnel»). Lors de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour les personnes concernées. Les parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée précise restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données. Pour s’acquitter des obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe II. Il procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié.

b) L’importateur de données ne donne l’accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données informe également l’exportateur de données de cette violation dans les meilleurs délais après en avoir eu connaissance. Cette notification contient les coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations, ainsi qu’une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), de ses conséquences probables et des mesures prises ou proposées pour y remédier, y compris, le cas échéant, des mesures visant à en atténuer les effets négatifs potentiels. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et les autres informations sont fournies par la suite, dans les meilleurs délais, à mesure qu’elles deviennent disponibles.

d) L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter les obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment celle d’informer l’autorité de contrôle compétente et les personnes concernées, compte tenu de la nature du traitement et des informations à la disposition de l’importateur de données.

8.7. Données sensibles

Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après les «données sensibles»), l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires décrites à l’annexe I.B.

8.8. Transferts ultérieurs

L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées de l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après «transfert ultérieur»), que si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié, ou si:

(i) le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur;

(ii) le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question;

(iii) le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques; ou

(iv) le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.

Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au titre des présentes clauses, en particulier de la limitation des finalités.

8.9. Documentation et conformité

a) L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de l’exportateur de données concernant le traitement au titre des présentes clauses.

b) Les parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de traitement menées pour le compte de l’exportateur de données.

c) L’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations prévues par les présentes clauses et, à la demande de l’exportateur de données, pour permettre la réalisation d’audits des activités de traitement couvertes par les présentes clauses, et contribuer à ces audits, à intervalles raisonnables ou s’il existe des indications de non-respect. Lorsqu’il décide d’un examen ou d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues par l’importateur de données.

d) L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.

e) Les parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les informations mentionnées aux paragraphes b) et c), y compris les résultats de tout audit.

Clause 9

Recours à des sous-traitants ultérieurs

a) L’importateur de données a l’autorisation générale de l’exportateur de données de recruter un ou plusieurs sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe expressément par écrit l’exportateur de données de tout changement concernant l’ajout ou le remplacement de sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste au moins 10 jours à l’avance, donnant ainsi à l’exportateur de données suffisamment de temps pour émettre des objections à l’encontre de ces changements avant le recrutement du ou des sous-traitants ultérieurs L’importateur de données fournit à l’exportateur de données les informations nécessaires pour permettre à ce dernier d’exercer son droit d’émettre des objections.

b) Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte de l’exportateur de données), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données au titre des présentes clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les personnes concernées. Les parties conviennent qu’en respectant la présente clause, l’importateur de données satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses.

c) L’importateur de données fournit à l’exportateur de données, à la demande de celui-ci, une copie du contrat avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en communiquer une copie.

d) L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu dudit contrat.

e) L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner instruction à ce dernier d’effacer ou de restituer les données à caractère personnel.

Clause 10

Droits des personnes concernées

a) L’importateur de données informe rapidement l’exportateur de données de toute demande reçue d’une personne concernée. Il ne répond pas lui-même à cette demande, à moins d’y avoir été autorisé par l’exportateur de données.

b) L’importateur de données aide l’exportateur de données à s’acquitter de son obligation de répondre aux demandes de personnes concernées désireuses d’exercer leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide requise.

c) Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de données se conforme aux instructions de l’exportateur de données.

Clause 11

Voies de recours

a) L’importateur de données informe les personnes concernées, sous une forme transparente et aisément accessible, au moyen d’une notification individuelle ou sur son site web, d’un point de contact autorisé à traiter les réclamations. Il traite sans délai toute réclamation reçue d’une personne concernée.

b) Lorsque la personne concernée invoque un droit du tiers bénéficiaire en vertu de la clause 3, l’importateur de données accepte la décision de la personne concernée :

i) d’introduire une réclamation auprès de l’autorité de contrôle de l’État membre dans lequel se trouve sa résidence habituelle ou son lieu de travail, ou auprès de l’autorité de contrôle compétente au sens de la clause 13;

ii) de renvoyer le litige devant les juridictions compétentes au sens de la clause 18.

c) Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l’article 80, paragraphe 1, du règlement (UE) 2016/679.

d) L’importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de l’Union ou d’un État membre.

e) L’importateur de données convient que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural et matériel de cette dernière d’obtenir réparation conformément à la législation applicable.

Clause 12

Responsabilité

a) Chaque partie est responsable envers la ou les autres parties des dommages qu’elle cause à l’autre ou aux autres parties du fait d’un manquement aux présentes clauses.

b) L’importateur de données est responsable à l’égard de la personne concernée, et la personne concernée a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’importateur de données ou son sous-traitant ultérieur du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses.

c) Nonobstant le paragraphe b), l’exportateur de données est responsable à l’égard de la personne concernée et celle-ci a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’exportateur de données ou l’importateur de données (ou son sous-traitant ultérieur) du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données et, si l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du traitement, de la responsabilité de ce dernier au titre du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas.

d) Les parties conviennent que, si l’exportateur de données est reconnu responsable, en vertu du paragraphe c), du dommage causé par l’importateur de données (ou son sous-traitant ultérieur), il a le droit de réclamer auprès de l’importateur de données la part de la réparation correspondant à la responsabilité de celui-ci dans le dommage.

e) Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement et la personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties.

f) Les parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe e), celle-ci a le droit de réclamer auprès de l’autre ou des autres parties la part de la réparation correspondant à sa/leur responsabilité dans le dommage.

g) L’importateur de données ne peut invoquer le comportement d’un sous-traitant ultérieur pour échapper à sa propre responsabilité.

Clause 13

Contrôle

 a) L’autorité de contrôle chargée de garantir le respect, par l’exportateur de données, du règlement (UE) 2016/679 en ce qui concerne le transfert de données, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente.

b) L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à garantir le respect des présentes clauses. En particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, notamment aux mesures correctrices et compensatoires. Il confirme par écrit à l’autorité de contrôle que les mesures nécessaires ont été prises.

SECTION III — LÉGISLATIONS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS DES AUTORITÉS PUBLIQUES

Clause 14

Lois et pratiques locales affectant le respect des clauses

a) Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses. Cette disposition repose sur l’idée que les législations et les pratiques qui respectent l’essence des libertés et droits fondamentaux et qui n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour préserver un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes clauses.

b) Les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte, en particulier, des éléments suivants :

i) des circonstances particulières du transfert, parmi lesquelles la longueur de la chaîne de traitement, le nombre d’acteurs concernés et les canaux de transmission utilisés; les transferts ultérieurs prévus; le type de destinataire; la finalité du traitement; les catégories et le format des données à caractère personnel transférées; le secteur économique dans lequel le transfert a lieu et le lieu de stockage des données transférées;

ii) des législations et des pratiques du pays tiers de destination – notamment celles qui exigent la divulgation de données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données – pertinentes au regard des circonstances particulières du transfert, ainsi que des limitations et des garanties applicables;

iii) de toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.

c) L’importateur de données garantit que, lors de l’évaluation au titre du paragraphe b), il a déployé tous les efforts possibles pour fournir des informations pertinentes à l’exportateur de données et convient qu’il continuera à coopérer avec ce dernier pour garantir le respect des présentes clauses.

d) Les parties conviennent de conserver une trace documentaire de l’évaluation au titre du paragraphe b) et de mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande.

e) L’importateur de données accepte d’informer sans délai l’exportateur de données si, après avoir souscrit aux présentes clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences du paragraphe a), notamment à la suite d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application pratique de cette législation qui n’est pas conforme aux exigences du paragraphe a). [Pour le module 3: l’exportateur de données transmet la notification au responsable du traitement.]

f) À la suite d’une notification au titre du paragraphe e), ou si l’exportateur de données a d’autres raisons de croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des présentes clauses, l’exportateur de données définit sans délai les mesures appropriées (par exemple des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) qu’il doit adopter et/ou qui doivent être adoptées par l’importateur de données pour remédier à la situation, [pour le module 3:, si nécessaire en concertation avec le responsable du traitement]. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée ne peut être fournie pour ce transfert ou si [pour le module 3: le responsable du traitement ou] l’autorité de contrôle compétente lui en donne [pour le module 3: donnent] l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 16, paragraphes d) et e), s’applique.

Clause 15

Obligations de l’importateur de données en cas d’accès des autorités publiques

15.1. Notification

a) L’importateur de données convient d’informer sans délai l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données) :

i) s’il reçoit une demande juridiquement contraignante d’une autorité publique, y compris judiciaire, en vertu de la législation du pays de destination en vue de la divulgation de données à caractère personnel transférées au titre des présentes clauses; cette notification comprend des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie; ou

ii) s’il a connaissance d’un quelconque accès direct des autorités publiques aux données à caractère personnel transférées au titre des présentes clauses en vertu de la législation du pays de destination; cette notification comprend toutes les informations dont l’importateur de données dispose.

b) Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de pouvoir en apporter la preuve à l’exportateur de données, si celui-ci lui en fait la demande.

c) Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations utiles que possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, la ou les autorités requérantes, la contestation ou non des demandes et l’issue de ces contestations, etc.).

d) L’importateur de données accepte de conserver les informations mentionnées aux paragraphes a) à c) pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.

e) Les paragraphes a) à c) sont sans préjudice de l’obligation incombant à l’importateur de données, en vertu de la clause 14, paragraphe e), et de la clause 16, d’informer sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses.

15.2. Contrôle de la légalité et minimisation des données

а) L’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier de vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données exerce les possibilités d’appel ultérieures dans les mêmes conditions. Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se prononce sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas obligé de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations incombant à l’importateur de données en vertu de la clause 14, paragraphe e).

b) L’importateur de données accepte de garder une trace documentaire de son évaluation juridique ainsi que de toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, de mettre les documents concernés à la disposition de l’exportateur de données. Il les met également à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande. 

(c) L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.

SECTION IV — DISPOSITIONS FINALES

Clause 16

Non-respect des clauses et résiliation

a) L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses, quelle qu’en soit la raison.

b) Dans le cas où l’importateur de données enfreint les présentes clauses ou n’est pas en mesure de les respecter, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que le respect des présentes clauses soit à nouveau garanti ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14, paragraphe f).

c) L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses, lorsque:

i) l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données en vertu du paragraphe b) et que le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension;

ii) l’importateur de données enfreint gravement ou de manière persistante les présentes clauses; ou

iii) l’importateur de données ne se conforme pas à une décision contraignante d’une juridiction ou d’une autorité de contrôle compétente concernant les obligations qui lui incombent au titre des présentes clauses.

Dans ces cas, il informe l’autorité de contrôle compétente de ce non-respect. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement.

d) Les données à caractère personnel qui ont été transférées avant la résiliation du contrat au titre du paragraphe c) sont immédiatement restituées à l’exportateur de données ou effacées dans leur intégralité, à la convenance de celui-ci. Il en va de même pour toute copie des données. L’importateur de données apporte la preuve de l’effacement des données à l’exportateur de données. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel transférées, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données que dans la mesure où et aussi longtemps que cette législation locale l’exige.

e) Chaque partie peut révoquer son consentement à être liée par les présentes clauses i) si la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s’appliquent; ou ii) si le règlement (UE) 2016/679 est intégré dans le cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations qui s’appliquent au traitement en question en vertu du règlement (UE) 2016/679.

Clause 17

Droit applicable

Les présentes clauses sont régies par le droit d’un des États membres de l’Union européenne, pour autant que ce droit reconnaisse des droits au tiers bénéficiaire. Les parties conviennent qu’il s’agit du droit du Royaume d'Espagne.

Clause 18

Élection de for et juridiction

a) Tout litige survenant du fait des présentes clauses est tranché par les juridictions d’un État membre de l’Union européenne.

b) Les parties conviennent qu’il s’agit des juridictions du Royaume d'Espagne.

c) La personne concernée peut également poursuivre l’exportateur et/ou l’importateur de données devant les juridictions de l’État membre dans lequel elle a sa résidence habituelle.

d) Les parties acceptent de se soumettre à la compétence de ces juridictions.

Annexe I.A. LISTE DES PARTIES

Exportateur(s) de données :

Nom : [Nom du client]

Adresse : [Adresse du client]

Nom, fonction et coordonnées de la personne de contact : [Personne de contact pour le client]

Activités en rapport avec les données transférées au titre des présentes clauses : L'importateur de données fournit les Services à l'Exportateur de données conformément à l'Accord.

Signature et date : ........................................................................................................

Rôle (Contrôleur de données)

Importateur(s) de données :

Nom : SiteGround Hosting Ltd.

Adresse :  50, rue Broadway, 7ème étage, SW1H 0DB, Londres, Royaume-Uni ;

Nom, fonction et coordonnées de la personne de contact : Darren Boyd-Annells, délégué à la protection des données, dpo@siteground.co.uk.

Activités en rapport avec les données transférées en vertu des présentes clauses : hébergement et autres services

Signature et date : ........................................................................................................

Rôle (Responsable du traitement des données)

Annexe I.B. DESCRIPTION DU TRANSFERT

Catégories de personnes concernées dont les données à caractère personnel sont transférées

Les données à caractère personnel concernant les catégories de personnes concernées telles que définies à la Section 2.3.4. dans l'Accord de Traitement des Données.

Catégories de données à caractère personnel transférées

Les données personnelles concernent les catégories de données telles que définies à la section 2.3.5. dans l'Accord de Traitement des Données.

Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que la limitation stricte des finalités, les restrictions d’accès (notamment l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, les restrictions applicables aux transferts ultérieurs ou les mesures de sécurité supplémentaires.

Le Client peut soumettre des Données Client dans le cadre de son utilisation des Services, dont l'étendue est déterminée et contrôlée par le Client à sa seule discrétion, et qui peuvent inclure des catégories de données sensibles. Pour assurer sa protection, nous avons adopté diverses restrictions et garanties telles que des mesures de sécurité, des systèmes et des contrôles d'accès aux données, et autres. Pour plus d'informations, voir l'Annexe 2.

La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).

De manière continue.

Nature du traitement

La nature du traitement est déterminée conformément à l'art. 2.3.3 du DPA.

Objectif(s) du transfert et du traitement ultérieur des données

L'objectif du transfert de données et du traitement ultérieur est de mieux utiliser l'infrastructure de serveur de SiteGround, dont certaines sont basées en dehors de l'EEE.

La durée de conservation des données personnelles ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée

La durée du traitement est déterminée conformément à l'art. 2.3.2 du DPA.

Pour les transferts aux (sous-)traitants, précisez également l'objet, la nature et la durée du traitement

L'objet, la nature et la durée du traitement sont déterminés conformément à l'art. 2.3.1, 2.3.2 et 2.3.3 du DPA respectivement.

Annexe I.C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

L'Autorité de contrôle compétente est l'Agence Espagnole de Protection des Données.

Annexe 2 : MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES

Mesures de sécurité

SiteGround met en œuvre et maintient des Mesures de Sécurité techniques et organisationnelles appropriées pour le Traitement des Données Personnelles, y compris les mesures énoncées dans la présente Annexe 2 de l'Accord de Traitement des Données. Ces mesures visent à protéger les Données Personnelles contre la perte, la destruction, l'altération, la divulgation ou l'accès accidentels ou non autorisés, et contre toutes les autres formes de Traitement illicites. Des mesures supplémentaires et des informations concernant ces mesures, y compris les mesures et pratiques de sécurité spécifiques pour les Services particuliers commandés par le Client, peuvent être spécifiées dans l’Accord.  

SiteGround peut mettre à jour ou modifier ces Mesures de Sécurité de temps à autre, à condition que ces mises à jour et modifications n'entraînent pas la dégradation de la sécurité globale des Services. 

Les mesures de sécurité techniques et organisationnelles mises en place par SiteGround sont conformes aux Clauses Contractuelles Types.

Personnel et confidentialité

SiteGround prend des mesures raisonnables pour s'assurer qu'aucune personne n'est chargée par SiteGround de traiter des données personnelles à moins que cette personne :

1. est compétent et qualifié pour effectuer les tâches spécifiques qui lui sont confiées par SiteGround;
2. a été autorisé par SiteGround; et
3. a été instruit par SiteGround des exigences relatives à l'exécution des obligations de SiteGround en vertu des présentes Clauses, en particulier la finalité limitée du traitement des données.

Le personnel de SiteGround est tenu de se conduire d'une manière conforme aux directives de l'entreprise en matière de confidentialité, d'éthique commerciale, d'utilisation appropriée et de normes professionnelles. SiteGround effectue des vérifications des antécédents raisonnablement appropriées dans la mesure permise par la loi et conformément au droit du travail local applicable et aux réglementations légales. Le personnel est tenu de signer un accord de confidentialité et doit accuser réception et respecter les politiques de confidentialité de SiteGround. Ils reçoivent des formations pertinentes sur la sécurité des informations et la protection des données et le personnel traitant les Données des Clients doit remplir des exigences supplémentaires adaptées à leur rôle. 

Sécurité physique

SiteGround utilise des datacenters répartis géographiquement et stocke toutes les données de production dans des centres de données physiquement sécurisés. Les centres de données de production des Sous-traitants du SiteGround utilisent des mesures pour sécuriser l'accès aux systèmes de traitement des données. Ils ont un système d'accès qui contrôle l'accès au centre de données. Ce système permet uniquement au personnel autorisé d'avoir accès aux zones sécurisées. Les installations sont conçues pour résister aux intempéries et à d'autres conditions naturelles raisonnablement prévisibles, sécurisées par des gardes 24h/7j, une surveillance CCTV, un contrôle d'accès et un accès contrôlé par escorte, et sont également prises en charge par des générateurs de secours sur place dans le cas de panne de courant.

Les systèmes d'alimentation électrique du centre de données sont conçus pour être redondants et maintenables sans impact sur les opérations continues 24h/7j. Dans la plupart des cas, une source d'alimentation principale et alternative est fournie pour les composants d'infrastructure critiques du centre de données. L'alimentation de secours est fournie par divers mécanismes tels que des batteries d'alimentation sans coupure (UPS) ou des générateurs diesel capables de fournir une alimentation électrique d'urgence ou une protection électrique fiable pendant les baisses de tension, les pannes de courant, les surtensions, conditions de sous-tension et de fréquence hors tolérance.

Les systèmes d'infrastructure ont été conçus pour éliminer les points de défaillance uniques et minimiser l'impact des risques environnementaux anticipés. L'équipement et les installations de production des Sous-traitants du SiteGround ont documenté des procédures de maintenance préventive qui détaillent le processus et la fréquence des performances conformément aux spécifications du fabricant ou internes. La maintenance préventive et corrective de l'équipement du centre de données est planifiée via un processus de changement standard selon des procédures documentées.

Contrôle d'accès au système

Les serveurs de SiteGround utilisent une implémentation Linux personnalisée pour les Services. SiteGround utilise un processus de révision pour augmenter la sécurité des systèmes d'exploitation utilisés pour fournir les Services et améliorer les produits de sécurité dans les environnements de production.

SiteGround a et maintient un ensemble de politiques de sécurité des informations pour son personnel. L'infrastructure, le développement et le personnel de support de SiteGround sont responsables de la surveillance continue de la sécurité de l'infrastructure de SiteGround, de l'examen des services et de la réponse aux incidents de sécurité.

Les politiques et processus de contrôle d'accès interne de SiteGround sont conçus pour empêcher les personnes et/ou les systèmes non autorisés d'accéder aux systèmes utilisés pour traiter les données des clients, y compris les données personnelles. SiteGround vise à concevoir ses systèmes pour : (i) autoriser uniquement les personnes autorisées à accéder aux données auxquelles elles sont autorisées à accéder ; et (ii) garantir que les données personnelles ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation pendant le traitement, l'utilisation et après l'enregistrement. SiteGround utilise un système de gestion des accès pour contrôler l'accès du personnel aux serveurs de production et ne fournit l'accès qu'au personnel autorisé. Les éléments suivants peuvent, entre autres contrôles, être appliqués en fonction des Services particuliers commandés: authentification par mots de passe et/ou authentification à deux facteurs, clés SSH, processus d'autorisation, processus de gestion des changements, l'accès logique aux centres de données est restreint et protégé par un pare-feu /VLAN, journalisation et surveillance des accès à plusieurs niveaux. L'octroi ou la modification des droits d'accès est basé sur : les responsabilités professionnelles du personnel autorisé ; les exigences du poste nécessaires pour effectuer les tâches autorisées ; et un strict besoin de savoir. L'octroi ou la modification des droits d'accès doit également être conforme aux politiques internes d'accès aux données de SiteGround.

Contrôle d'accès aux services

Les Clients doivent s'authentifier via un système d'authentification afin d'utiliser les Services. Chaque application vérifie les informations d'identification afin de permettre l'affichage des données au client.

Les contrôles suivants peuvent, entre autres, être appliqués en fonction des Services particuliers commandés: authentification par mots de passe et/ou authentification à deux facteurs, clés SSH, processus d'autorisation, processus de gestion des modifications et journalisation des accès à plusieurs niveaux. En fonction des Services particuliers commandés, les contrôles suivants peuvent également s'appliquer: des identifiants uniques sont attribués à la personne responsable, des mécanismes de révocation d'accès sur des tentatives de connexion infructueuses consécutives et des périodes de verrouillage, des mécanismes d'expiration et de réinitialisation du mot de passe, des exigences de complexité du mot de passe.

Contrôle d'accès aux données

SiteGround stocke les données dans un environnement multi-tenant, ce qui signifie que les déploiements de plusieurs clients sont stockés sur le même matériel physique. SiteGround utilise l'isolement logique pour séparer les données de chaque client et sépare logiquement les données de chaque client de celles des autres. Cela fournit l'échelle tout en empêchant rigoureusement les clients d'accéder aux données des autres.

Le Client a le contrôle sur des contrôles spécifiques pour partager l'accès aux données avec les Utilisateurs finaux à des fins spécifiques conformément à la fonctionnalité des Services. Le client peut choisir d'utiliser ces contrôles. SiteGround met à disposition certaines capacités de journalisation.

L'accès direct aux données des clients est restreint et, dans le cas où cela est nécessaire, les droits d'accès sont établis et appliqués uniquement au personnel dûment autorisé en plus des règles de contrôle d'accès énoncées dans les Sections précédentes. 

Contrôle de la transmission

Les centres de données sont généralement connectés via des liaisons privées à haut débit pour fournir un transfert de données sécurisé et rapide entre les centres de données. Ceci est conçu pour empêcher que les données soient lues, copiées, modifiées ou supprimées sans autorisation pendant le transfert ou le transport électronique ou pendant leur enregistrement sur des supports de stockage de données ou échangées au sein du centre de données. 

Pour les données en transit, SiteGround utilise des protocoles de transport standard tels que SSL et TLS entre les appareils du Client et les Services et centres de données de SiteGround, et au sein des centres de données eux-mêmes. Sauf indication contraire pour les Services (y compris dans la Commande, l’Accord applicable ou la documentation d’Utilisateur des Services), les transmissions de données en dehors de l'environnement du Service sont cryptées. Certaines fonctionnalités des Services peuvent permettre au Client de choisir des communications non cryptées dans son utilisation du Service. Le client est seul responsable des résultats de sa décision d'utiliser ces communications ou transmissions non cryptées. 

Contrôle des entrées

La source des Données à caractère personnel est sous le contrôle du Client, et l'intégration des Données Personnelles dans le système, est gérée par transfert de fichiers sécurisé, via des services web ou saisis dans l'application par le Client. Comme indiqué dans la section Contrôle de la transmission ci-dessus, certaines fonctionnalités des Services permettent aux Clients d'utiliser des protocoles de transfert de fichiers non cryptés. Dans de tels cas, le Client est seul responsable de sa décision d'utiliser ces protocoles de transfert de champ non cryptés. 

Les Services n'introduiront aucun virus dans les Données Client; cependant, les Services ne recherchent pas les virus qui pourraient être inclus dans les pièces jointes ou autres Données personnelles téléchargées dans les Services par le Client. Ces pièces jointes téléchargées ne seront pas exécutées dans les Services et n'endommageront ni ne compromettront donc le Service.

Contrôle du réseau

SiteGround bloque le trafic non autorisé vers et dans les centres de données en utilisant une variété de technologies telles que les pare-feu, les NAT, les Réseaux Locaux partitionnés et la séparation physique des serveurs principaux des interfaces publiques.

SiteGround utilise plusieurs couches de périphériques réseau et de détection d'intrusion pour protéger sa surface d'attaque externe. SiteGround prend en compte les vecteurs d'attaque potentiels et intègre des technologies adaptées à cet effet dans des systèmes externes.

SiteGround et le personnel autorisé surveilleront les Services pour les intrusions non autorisées à l'aide de mécanismes de détection d'intrusion basés sur le réseau. La détection d'intrusion est destinée à donner un aperçu des activités d'attaque en cours et à fournir des informations adéquates pour répondre aux incidents. La détection d'intrusion de SiteGround implique un contrôle strict de la surface d'attaque des communications réseau par le biais de mesures préventives telles que des pare-feu, l'utilisation de contrôles de détection intelligents aux points d'entrée de données et l'utilisation de technologies qui remédient automatiquement à certaines situations dangereuses.

Réponse aux incidents

SiteGround maintient des politiques et des procédures de gestion des incidents de sécurité et surveille une variété de canaux de communication pour les incidents de sécurité. Le personnel de SiteGround réagira rapidement aux incidents connus et informera rapidement le Client dans le cas où SiteGround prendrait connaissance d'une divulgation non autorisée réelle ou raisonnablement suspectée de Données Personnelles.

Journaux du système

SiteGround garantit que les systèmes de traitement utilisés pour stocker les informations du journal des Données Client consignent les informations dans leur journal système respectif. Les entrées du journal sont conservées et stockées en cas de suspicion d'accès inapproprié et qu'une analyse est requise. La journalisation est conservée en toute sécurité pour éviter toute falsification.

Fiabilité et sauvegarde

Pour les Services, SiteGround garantit que des sauvegardes sont effectuées régulièrement. Les sauvegardes sont sécurisées à l'aide d'une combinaison de contrôles techniques et physiques. 

SiteGround garantit que les systèmes sur lesquels les Données Client sont stockées disposent d'une installation de reprise après sinistre et sont régis par un plan de reprise après sinistre. Dans le cas où les installations de production seraient rendues indisponibles, SiteGround exécutera des plans de récupération pour rétablir le fonctionnement en temps opportun. SiteGround a conçu et planifie et teste régulièrement ses plans de reprise après sinistre.

Suppression des données

Lorsque les Clients suppriment des données ou quittent le Service, SiteGround s'assure que les données sont supprimées conformément aux conditions de l'Accord applicable. Les centres de données de production du Sous-traitant de SiteGround utilisent des procédures strictes pour la réutilisation, le redéploiement, la destruction des données et la mise hors service des disques et du matériel.

Sécurité des sous-traitants

Avant d'intégrer des Sous-traitants, SiteGround effectue une vérification préalable des pratiques de sécurité et de confidentialité des Sous-traitants ultérieurs pour s'assurer que les Sous-traitants ultérieurs fournissent un niveau de sécurité et de confidentialité adapté à leur accès aux données et à l'étendue des Services qu'ils sont engagés à fournir. Le Sous-traitant est tenu de conclure des conditions contractuelles appropriées en matière de sécurité, de confidentialité et de respect de la vie privée.

Modifications et améliorations du système

SiteGround peut améliorer et mettre en œuvre des modifications des Services pendant la durée de l’Accord. Les contrôles, procédures, politiques et fonctionnalités de sécurité peuvent changer ou être ajoutés. SiteGround fournira des contrôles de sécurité qui offrent un niveau de protection de sécurité qui n'est pas sensiblement inférieur à celui fourni à la date d'entrée en vigueur.

Annexe 3 : Liste des sous-traitants

Disponible sur demande.

Annexe 4 : Accord International de Transfert de Données

Cet Accord International de Transfert de Données (IDTA) a été émis par le Commissaire à l'information pour les Parties effectuant des Transferts Restreints. Le Commissaire à l'information considère qu'il fournit des Garanties Appropriées pour les Transferts Restreints lorsqu'il est conclu en tant que contrat juridiquement contraignant.

Partie 1: Tableaux

Tableau 1: Parties et signatures

Date de début	A partir du moment où l'Exportateur (Contrôleur) entre en relation avec l'Importateur (Administrateur)
Les Parties	Exportateur (qui envoie le Transfert Restreint)	Importateur (qui reçoit le Transfert Restreint)
Coordonnées des parties	Client de SiteGround, résident du Royaume-Uni	SiteGround Hosting Ltd.     Adresse enregistrée : 50, rue Broadway, 7ème étage, SW1H 0DB, Londres, Royaume-Uni Numéro d'enregistrement de société: 09348602
Contact clé	Comme décrit dans la section « Détails du profil du propriétaire » dans l'Espace Client	Darren Boyd-Annells,  Délégué à la protection des données, dpo@siteground.co.uk.
Contact de la Personne Concernée de l'Importateur		Darren Boyd-Annells,  Délégué à la protection des données, dpo@siteground.co.uk.
Signatures confirmant que chaque partie accepte d'être liée par le présent IDTA	Considéré comme signé lors de l'acceptation de l'Accord de Traitement des Données.	Considéré comme signé dès sa publication sur le site web de SiteGround.

Tableau 2 : Détails du transfert

Loi du pays du Royaume-Uni qui régit IDTA :	Angleterre et Pays de Galles
Lieu principal où les parties peuvent déposer des demandes juridiques	Angleterre et Pays de Galles
Statut de l'Exportateur	Concernant le Traitement des Données Transférées : L'Exportateur est un Contrôleur, un Administrateur ou un Sous-traitant
Statut de l'Importateur	Concernant le Traitement des Données Transférées: L'importateur est l’Administrateur ou le Sous-traitant de l'Exportateur
Si le RGPD du Royaume-Uni s'applique à l'Importateur	Le RGPD du Royaume-Uni s'applique au Traitement par l'Importateur des Données Transférées lorsque les personnes concernées se trouvent au Royaume-Uni
Accord lié	Si l'Importateur est l’Administrateur ou le Sous-traitant de l'Exportateur, le ou les accords entre les Parties qui définissent les instructions du Administrateur ou du Sous-traitant pour le Traitement des Données Transférées : Nom de l'accord : Accord de Traitement des Données Date de l'accord: la date d'entrée en vigueur spécifiée dans le DPA Parties à l'accord: les clients de SiteGround et SiteGround
Durée	L'Importateur peut Traiter les Données Transférées pendant la période suivante : la période pendant laquelle l'Accord Lié est en vigueur
Mettre fin à l'IDTA avant la fin de la période de validité	Les parties ne peuvent pas mettre fin à l'IDTA avant la fin de la période de validité, sauf en cas de violation de l'IDTA ou si les parties en conviennent par écrit.
Mettre fin a l'IDTA en cas de modification de l'IDTA approuvé	Lesquelles parties peuvent mettre fin à l'IDTA conformément à la section 29.2 : Importateur
L'importateur peut-il procéder à d'autres transferts des données transférées ?	L'importateur PEUT transférer les données transférées à une autre organisation ou personne (qui est une entité juridique différente) conformément à la section 16.1 (Transfert des données transférées).
Restrictions spécifiques lorsque l'importateur peut transférer les données transférées	Il n'y a pas de restrictions spécifiques.
Dates de révision	Les parties doivent revoir les exigences de sécurité au moins une fois par an ou à chaque fois qu'un changement intervient dans les données transférées, les finalités, les informations sur l'importateur, l'évaluation des risques de transfert.

Tableau 3 : Données transférées

Données Transférées	Les catégories de Données transférées seront mises à jour automatiquement si les informations sont mises à jour dans l'Accord Lié auquel il est fait référence. Les données à caractère personnel concernent les catégories de données telles que définies à la Section 2.3.5. dans l'Accord Lié. Le Client peut soumettre des Données Client dans le cadre de son utilisation des Services, dont l'étendue est déterminée et contrôlée par le Client à sa seule discrétion, et qui peuvent inclure des catégories de données sensibles. Pour assurer sa protection, nous avons adopté diverses restrictions et garanties telles que des mesures de sécurité, des systèmes et des contrôles d'accès aux données, et autres. Pour plus d'informations, voir l'Annexe 2.
Catégories particulières de données à caractère personnel et condamnations pénales et infractions	Tous les types de données sensibles peuvent être transférés par le Client à sa seule discrétion lors de l'utilisation des services, et l'Importateur mettra en œuvre des restrictions ou des garanties qui prennent pleinement en considération la nature des données et les risques encourus, comme par exemple la limitation stricte de la finalité, des restrictions d'accès (y compris l'accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre d'accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.
Personnes concernées pertinents	Les Personnes Concernées par les Données Transférées sont: Les catégories de Personnes Concernées seront mises à jour automatiquement si les informations sont mises à jour dans l'Accord Lié auquel il est fait référence. Les Données à caractère personnel concernent les catégories de personnes concernées telles que définies à la Section 2.3.4. dans l'Accord Lié.
Objectif	L'importateur peut Traiter les Données Transférées aux fins énoncées dans l'Accord Lié. Les objectifs seront automatiquement mis à jour si les informations sont mises à jour dans l'Accord Lié auquel il est fait référence.

Tableau 4 : Exigences de sécurité

Sécurité de la transmission	Comme indiqué à l'Annexe 2 de l'Accord Lié.
Sécurité du stockage	Comme indiqué à l'Annexe 2 de l'Accord Lié.
Sécurité du traitement	Comme indiqué à l'Annexe 2 de l'Accord Lié.
Mesures de sécurité organisationnelle	Comme indiqué à l'Annexe 2 de l'Accord Lié.
Exigences minimales de sécurité technique	Comme indiqué à l'Annexe 2 de l'Accord Lié.
Mises à jour des Exigences de Sécurité	Les Exigences de Sécurité seront automatiquement mises à jour si les informations sont mises à jour dans l'Accord Lié auquel il est fait référence.

Partie 2 : Clauses de Protection Supplémentaire

Clauses de Protection Supplémentaire:	Comme indiqué dans l'Accord Lié et son Annexe 2.
(i) Protection de sécurité technique supplémentaire	Comme indiqué dans l'Accord Lié et son Annexe 2.
(ii) Protections de sécurité organisationnelle supplémentaire	Comme indiqué dans l'Accord Lié et son Annexe 2.
(iii) Protection de sécurité contractuelle supplémentaire	Comme indiqué dans l'Accord Lié et son Annexe 2.

Partie 3: Clauses Commerciales

Clauses en matière d'activité commerciale

Comme indiqué dans l'Accord Lié.

Partie 4: Clauses obligatoires

Informations qui vous aident à comprendre cet IDTA

1.       Cet IDTA et les accords liés

1.1 Chaque Partie accepte d'être liée par les conditions énoncées dans l'IDTA, en échange de quoi l'autre partie accepte également d'être liée par l'IDTA.

1.2    Cet IDTA est composé de :

1.2.1    Première partie : Tableaux ;

1.2.2    Deuxième partie : Clauses de Protection Supplémentaire ;

1.2.3    Troisième partie : Clauses Commerciales; et

1.2.4    Quatrième partie: Clauses Obligatoires.

1.3    L' IDTA commence à la Date de Début et se termine comme indiqué dans les Sections 29 ou 30.

1.4 Si l'importateur est un Administrateur ou un Sous-traitant mandaté par l'Exportateur : l'Exportateur doit s'assurer qu'au plus tard à la date de début et pendant la durée du contrat, un accord lié exécutoire entre les Parties est en place, et qu'il est conforme à l'article 28 du RGDP britannique (et veiller à ce qu'il continue à l'être).

1.5 Les références à l'Accord Lié ou aux Clauses Commerciales ne s'appliquent que dans la mesure où elles sont compatibles avec les Clauses Obligatoires.

2.       Sens juridique des mots

2.1    Si un mot commence par une majuscule, il a le sens spécifique défini dans le Glossaire Juridique – Section 36.

2.2 Afin de faciliter la lecture et la compréhension, le présent IDTA inclut des titres et des notes explicatives. Ceux-ci ne font pas partie intégrante du contrat contraignant que constitue l'IDTA.

3.       Vous avez fourni toutes les informations requises

3.1    Les Parties doivent s'assurer que les informations contenues dans la Première Partie: Tableaux sont correctes et complètes à la Date de début et pendant la Durée.

3.2 Dans le tableau 2 : Détails du transfert, si la sélection indiquant que les parties sont des responsables du traitement, des sous-traitants ou des sous-traitants ultérieurs est erronée (que ce soit en fait ou à la suite de l'application des lois du Royaume-Uni sur la protection des données), alors :

3.2.1 Les termes et conditions de l’IDTA Approuvé qui s'appliquent à l'option correcte qui n'a pas été sélectionnée s'appliqueront; et

3.2.2 les Parties et toutes les Personnes concernées ont le droit d'appliquer les conditions générales de l'IDTA approuvée qui s'appliquent à cette option correcte

3.3    Dans le Tableau 2: Détails du transfert, si la sélection appliquée par le RGPD du Royaume-Uni est erronée (soit en fait, soit en raison de l'application des lois du Royaume-Uni sur la Protection des Données), les conditions générales de l’IDTA s'appliqueront toujours au la plus grande mesure possible.

4.       Comment signer l’IDTA

4.1    Les Parties peuvent choisir de signer (ou d'exécuter) :

4.1.1    la même copie de cet IDTA ;

4.1.2    deux copies de l’IDTA. Dans ce cas, chaque copie identique est toujours un original de cet IDTA, et l'ensemble de ces copies constitue un seul et même accord ;

4.1.3  une copie distincte et identique de l'IDTA. Dans ce cas, chaque copie identique est toujours un original de cet IDTA, et l'ensemble de ces copies constitue un seul et même accord, à moins que la signature (ou l'exécution) de cette manière ne signifie que l'IDTA ne serait pas contraignant pour les Parties en vertu des lois locales.

5.       Commend modifier l'IDTA

5.1    Chaque Partie ne doit pas modifier les Clauses Obligatoires telles qu'elles sont énoncées dans l'IDTA approuvée, sauf uniquement:

5.1.1 pour assurer des renvois corrects : renvois à la première partie : Tableaux (ou tout tableau), Partie deux : Protections supplémentaires, et/ou à la troisième partie : Clauses commerciales peuvent être modifiées lorsque les parties ont présenté les informations dans un format différent, de sorte que la référence croisée renvoie à l'emplacement correct des mêmes informations, ou lorsque des clauses ont été supprimées parce qu'elles ne s'appliquaient pas, comme indiqué ci-dessous ;

5.1.2 de supprimer les sections dont il est expressément indiqué qu'elles ne s'appliquent pas aux sélections effectuées par les parties dans le tableau 2 : Détails du transfert, que les parties sont des responsables du traitement, des sous-traitants ou des sous-traitants ultérieurs et/ou que l'importateur est soumis ou non au RGPD du Royaume-Uni. L'exportateur et l'importateur comprennent et reconnaissent que les sections supprimées peuvent toujours s'appliquer et faire partie de cet IDTA si elles ont été supprimées de manière incorrecte, notamment en raison d'une sélection erronée dans le tableau 2 : Détails du transfert ;

5.1.3 pour que l'IDTA fonctionne comme un accord multipartite s'il y a plus de deux parties à l'IDTA. Cela peut inclure la désignation d'une ou de plusieurs parties principales qui peuvent prendre des décisions au nom de certaines ou de toutes les autres parties en rapport avec cet accord (y compris la révision du tableau 4 : exigences en matière de sécurité et de la partie deux : Clauses de protection supplémentaires, et la mise à jour de la première partie : Tableaux (ou tout tableau), à la partie deux : Clauses de protection supplémentaire, et/ou à la partie trois : Clauses commerciales) ; et/ou

5.1.4 mettre à jour l'IDTA afin d'indiquer par écrit toute modification apportée à l'IDTA approuvé en vertu de la section 5.4, si les parties le souhaitent. Les modifications s'appliqueront automatiquement sans qu'il soit nécessaire de les mettre à jour comme indiqué dans la section 5.4, à condition qu'elles ne réduisent pas les garanties appropriées.

5.2 Si les parties souhaitent modifier le format des informations incluses dans la première partie : Tableaux, la partie deux : Clauses de protection supplémentaires ou dans la troisième partie : Clauses commerciales de l'IDTA approuvé, elles peuvent le faire en convenant par écrit de la modification, à condition que celle-ci ne réduise pas les garanties appropriées.

5.3 Si les parties souhaitent modifier les informations figurant dans la première partie : Tableaux, la partie deux : Clauses de protection supplémentaires ou dans la troisième partie : Clauses commerciales de la présente IDTA (ou des informations équivalentes), elles peuvent le faire en convenant par écrit de la modification, à condition que celle-ci ne réduise pas les garanties appropriées.

5.4 De temps à autre, l'ICO peut publier une version révisée de l'IDTA approuvée :

5.4.1 apporte des modifications raisonnables et proportionnées à l'IDTA approuvée, y compris la correction d'erreurs dans l'IDTA approuvée ; et/ou

5.4.2    reflète les modifications apportées aux lois du Royaume-Uni sur la Protection des Données.

La version révisée de l'IDTA approuvée précisera la date à partir de laquelle les modifications apportées à l'IDTA approuvée sont effectives et indiquera si une date de révision supplémentaire est nécessaire en raison des modifications. Le présent IDTA est automatiquement modifié conformément à l'IDTA approuvé révisé à compter de la date d'entrée en vigueur spécifiée.

6.       Comment comprendre cet IDTA

6.1 Le présent IDTA doit toujours être interprété d'une manière compatible avec les lois du Royaume-Uni sur la Protection des Données et de sorte qu'il remplisse l'obligation des Parties de fournir les Garanties Appropriées.

6.2    En cas d'incohérence ou de conflit entre les lois du Royaume-Uni sur la Protection des Données et cet IDTA, les lois du Royaume-Uni sur la Protection des Données s'appliquent.

6.3 Si la signification de l'IDTA n'est pas claire ou s'il y a plus d'une signification, c'est la signification la plus proche des lois du Royaume-Uni sur la Protection des Données qui s'applique.

6.4  Aucune disposition de l'IDTA (y compris les Clauses Commerciales ou l'Accord Lié) ne limite ou n'exclut la responsabilité de l'une ou l'autre des Parties à l'égard des Personnes concernées ou de l'ICO en vertu du présent IDTA ou des lois du Royaume-Uni sur la Protection des Données.

6.5 Si un quelconque libellé dans les parties un, deux ou trois contredit les Clauses Obligatoires et/ou cherche à limiter ou à exclure toute responsabilité envers les personnes concernées ou l'ICO, ce libellé ne s'appliquera pas.

6.6 Les Parties peuvent inclure dans l'Accord lié des dispositions qui confèrent aux Parties des droits renforcés autrement couverts par le présent IDTA. Ces droits renforcés peuvent être soumis à des conditions commerciales, notamment de paiement, dans le cadre de l'Accord lié, mais cela n'affecte pas les droits accordés en vertu du présent IDTA.

6.7 En cas d'incohérence ou de conflit entre le présent IDTA et un Accord lié ou tout autre accord, le présent IDTA prévaut sur l'Accord lié ou tout autre accord, même si ces accords ont été négociés par les Parties. Les exceptions à cette règle sont les suivantes (et dans la mesure où) :

6.7.1 les conditions incompatibles ou conflictuelles de l'Accord lié ou d'un autre accord assurent une meilleure protection des droits de la Personne concernée, auquel cas ces conditions l'emportent sur l’IDTA; et

6.7.2 Si une Partie agit en tant que Responsable du traitement et que les conditions incompatibles ou conflictuelles de l'Accord lié sont des obligations expressément requises par l'Article 28 du RGPD du Royaume-Uni pour cette Partie, alors ces conditions prévaudront sur les conditions incompatibles ou conflictuelles de l'IDTA en ce qui concerne le traitement effectué par cette Partie en tant que Sous-traitant.

6.8    Les mots "comprendre", "comprend", "y compris", "en particulier" sont utilisés pour donner des exemples et non pour dresser une liste finie.

6.9    Les références à:

6.9.1    mots ou personnes au singulier ou au pluriel, inclut également le pluriel ou le singulier de ces mots ou personnes;

6.9.2 législation (ou dispositions spécifiques de la législation) : cette législation (ou disposition spécifique) telle qu'elle peut évoluer au fil du temps, y compris si elle est consolidée, réadoptée et/ou remplacée après la signature de l'IDTA ; et

6.9.3 toute obligation de ne pas faire quelque chose inclut l'obligation de ne pas permettre ou faire en sorte que cette chose soit faite par quelqu'un d'autre.

7.       Quelles sont les lois applicables à cet IDTA 

7.1    Cet IDTA est régi par les lois du pays du Royaume-Uni énoncées dans le Tableau 2: Détails du transfert. Si aucune sélection n'a été faite, ce sont les lois de l'Angleterre et du Pays de Galles. Cela ne s'applique pas à l'article 35 qui est toujours régi par les lois d'Angleterre et du Pays de Galles.

Comment cet IDTA fournit des garanties appropriées

8.       Garanties Appropriées

8.1    Le but de cet IDTA est de garantir que les Données Transférées bénéficient de Garanties Appropriées lorsqu'elles sont traitées par l'Importateur pendant la Durée. Cette norme est respectée quand et aussi longtemps que:

8.1.1    les deux parties se conforment à l’IDTA, y compris les Exigences de Sécurité et toutes les Clauses de Protection Supplémentaire; et

8.1.2    les Exigences de Sécurité et toute Clause de Protection Supplémentaire offrent un niveau de sécurité adapté au risque de Violation de Données à Caractère Personnel et à l'impact sur les Personnes Concernées d'une telle Violation de Données à Caractère Personnel, y compris en tenant compte de toute Donnée de Catégorie Spéciale dans les Données Transférées.

8.2    L'Exportateur doit:

8.2.1 garantir et démontrer que cet IDTA (y compris les Exigences de Sécurité et les Clauses de Protection Supplémentaire) fournit des Garanties Appropriées; et

8.2.2 (si l'Importateur le demande raisonnablement) lui fournir une copie de toute évaluation des risques de transfert.

8.3    L'Importateur doit:

avant de recevoir des Données Transférées, fournir à l'Exportateur toutes les informations pertinentes concernant les Lois et Pratiques Locales, ainsi que les protections et les risques qui s'appliquent aux Données Transférées lorsqu'elles sont Traitées par l'Importateur, y compris toute information pouvant raisonnablement être exigée de l'Exportateur pour effectuer une évaluation des risques de transfert (les « informations relatives à l'importateur ») ;

8.3.2    coopérer avec l'Exportateur pour assurer le respect des obligations de l'Exportateur en vertu des lois du Royaume-Uni sur la Protection des Données;

8.3.3    examiner si des informations sur l'Importateur ont changé et si des Lois Locales contredisent ses obligations dans le présent IDTA et prendre des mesures raisonnables pour vérifier cela, sur une base régulière. Ces révisions doivent être au moins aussi fréquentes que les dates de révision; et

8.3.4    informer l'Exportateur dès qu'il prend connaissance de toute modification des informations de l'Importateur et/ou de toute loi locale susceptible d'empêcher ou de limiter le respect par l'Importateur de ses obligations dans le présent IDTA. Ces informations font alors partie des informations relatives à l'Importateur.

8.4 L'importateur doit veiller à ce que, à la date de début et pendant la durée du contrat :

8.4.1 les informations relatives à l'importateur soient exactes ;

8.4.2  il prenne des mesures raisonnables pour vérifier s'il existe des lois locales qui contredisent ses obligations dans le cadre du présent IDTA, ou toute information supplémentaire concernant les lois locales qui pourrait être pertinente pour le présent IDTA.

8.5    chaque Partie s'assure que les Exigences de Sécurité et les Clauses de Protection Supplémentaire offrent un niveau de sécurité approprié au risque de survenance d'une Violation de Données à Caractère Personnel et à l'impact potentiel sur les Personnes Concernées.

9. Révisions visant à s'assurer que les garanties appropriées se poursuivent

9.1    Chaque Partie doit:

9.1.1   réviser cet IDTA (y compris les Exigences en matière de sécurité, les  Clauses de protection supplémentaires et les informations relatives à l'Importateur) à intervalles réguliers, afin de s'assurer que l'IDTA reste exact et à jour et qu'il continue à fournir les Garanties Appropriées. Chaque partie procédera à ces révisions aussi souvent que les dates de révision correspondantes ou plus tôt ; et

9.1.2 Informer l'autre Partie par écrit dès qu'elle constate qu'une information contenue dans le présent IDTA, toute évaluation des risques de transfert, ou les informations relatives à l'importateur, n'est plus exacte ou à jour.

9.2  Si, à un moment quelconque, l'IDTA ne fournit plus les Garanties Appropriées, les parties doivent, sans retard injustifié :

9.2.1 Suspendre les transferts et le Traitement des Données Transférées pendant la période où une modification des tableaux est en cours de négociation. L'importateur peut conserver une copie des Données Transférées durant cette suspension, à condition de limiter le traitement aux actions nécessaires pour maintenir, dans la mesure du possible, les mesures de protection qu'il appliquait avant que l'IDTA ne cesse de fournir les Garanties Appropriées, sans effectuer d'autres traitements ;

9.2.2  Convenir d'une modification de la Première partie, y compris les tableaux, ou de la Deuxième partie, y compris les Clauses de Protection Supplémentaire, afin de maintenir les Garanties Appropriées (conformément à la Section 5) ; et

9.2.3    lorsqu'une modification de la Première partie, y compris les tableaux, ou de la Deuxième partie, y compris les Clauses de Protection Supplémentaire, qui maintient les Garanties Appropriées, ne peut être convenue, l'Exportateur doit mettre fin à cet IDTA par notification écrite à l'Importateur.

10.   L'ICO 

10.1 Chaque partie accepte de se conformer à toute demande raisonnable de l'ICO concernant cet IDTA ou son Traitement des Données Transférées.

10.2 L'exportateur fournira à l’ICO une copie de toute évaluation du risque de transfert, des informations relatives à l'importateur et du présent IDTA, si l’ICO en fait la demande.

10.3 L'Importateur fournira une copie de toute Information sur l'Importateur et de cet IDTA à l'ICO, si l'ICO demande.

L'Exportateur

11.   Obligations de l'Exportateur

11.1 L'Exportateur accepte que les lois du Royaume-Uni sur la Protection des Données s'appliquent à son Traitement des Données Transférées, y compris leur transfert à l'Importateur.

11.2 L'Exportateur doit:

11.2.1 se conformer aux lois du Royaume-Uni sur la Protection des Données lors du transfert des Données Transférées à l'Importateur;

11.2.2 se conformer à l'Accord Lié en ce qui concerne son transfert des Données Transférées à l'Importateur; et

11.2.3 effectuer des contrôles raisonnables sur la capacité de l'importateur à se conformer à l'accord et prendre les mesures appropriées, y compris en vertu de la section 9.2, de la section 29 ou de la section 30, si, à tout moment, il ne considère plus que l'importateur est en mesure de se conformer à l'accord ou de fournir des Garanties Appropriées.

11.3 L'Exportateur doit se conformer à toutes ses obligations dans l’IDTA, y compris dans les Exigences de Sécurité, toutes les Clauses de Protection Supplémentaire et toutes les Clauses Commerciales.

11.4 L'Exportateur doit coopérer avec les demandes raisonnables de l'Importateur pour transmettre des avis ou d'autres informations à destination ou en provenance des Personnes Concernées ou de tout Contrôleur Tiers lorsque cela n'est pas raisonnablement faisable pour l'Importateur. L'Exportateur peut utiliser un tiers pour transmettre ces informations si cela est raisonnable.

11.5 L'Exportateur doit coopérer et fournir une assistance raisonnable à l'Importateur, afin que l'Importateur soit en mesure de se conformer à ses obligations envers les Personnes Concernées en vertu de la législation locale et du présent IDTA.

L'Importateur 

12.   Obligations générales de l'Importateur

12.1 L'importateur doit:

12.1.1 ne traiter les Données Transférées qu'aux fins prévues ;

12.1.2 respecter toutes les obligations qui lui incombent en vertu de l'IDTA, y compris les Exigences en matière de sécurité, toute Clause de protection supplémentaire et toute clause commerciale ;

12.1.3 se conformer à toutes ses obligations dans l'Accord Lié qui se rapportent à son Traitement des Données Transférées;

12.1.4 conserver un enregistrement écrit de son Traitement des Données Transférées, qui démontre sa conformité avec cet IDTA, et fournir cet enregistrement écrit si l'Exportateur le demande;

12.1.5 si l'Accord Lié inclut des droits pour l'Exportateur d'obtenir des informations ou de réaliser un audit, accorder à l'Exportateur les mêmes droits en ce qui concerne cet IDTA; et

12.1.6 si l'ICO le demande, fournir à l'ICO les informations qu'il serait tenu de fournir sur demande à l'Exportateur en vertu de la présente Section 12.1 (y compris la trace écrite de son Traitement et les résultats des audits et des inspections).

12.2 L'Importateur doit coopérer et fournir une assistance raisonnable à l'Exportateur et à tout Contrôleur Tiers, afin que l'Exportateur et tout Contrôleur Tiers soient en mesure de se conformer à leurs obligations en vertu des lois du Royaume-Uni sur la Protection des Données et de cet IDTA.

13.   Obligations de l'Importateur s'il est soumis aux lois du Royaume-Uni sur la Protection des Données

13.1 Si le traitement des données transférées par l'importateur est soumis aux lois du Royaume-Uni sur la Protection des Données, il convient que:

13.1.1 Les lois du Royaume-Uni sur la Protection des Données s'appliquent à son Traitement des Données Transférées, et l'ICO est compétent à cet égard ; et

13.1.2  il a respecté et respectera les lois du Royaume-Uni sur la Protection des Données en ce qui concerne le Traitement des Données Transférées.

13.2 Si la Section 13.1 s'applique et que l'Importateur se conforme à la Section 13.1, il n'est pas tenu de se conformer à:

- Section 14 (Obligations de l'importateur de se conformer aux principes clés de la protection des données) ;

- Section 15 (Que se passe-t-il en cas de violation de données à caractère personnel par l'importateur) ;

- Section 15 (Comment les personnes concernées peuvent exercer leurs droits en tant que personnes concernées) ; et

- Section 21 (Comment les personnes concernées peuvent exercer leurs droits en tant que personnes concernées - si l'importateur est le sous-traitant ou le sous-traitant ultérieur de l'exportateur).

14.   Obligations de l'Importateur de se conformer aux principes clés de protection des données

14.1 L'Importateur n'est pas tenu de se conformer à la présente Section 14 s'il s'agit du Sous-traitant ou du le Sous-traitant ultérieur de l'Exportateur.

14.2 L'Importateur doit:

14.2.1 s'assurer que les Données Transférées qu'il Traite sont adéquates, pertinentes et limitées à ce qui est nécessaire à son Objectif;

14.2.2 s'assurer que les Données Transférées qu'il Traite sont exactes et (le cas échéant) tenues à jour, et (le cas échéant compte tenu l’Objectif) corriger ou supprimer toute Donnée Transférée inexacte dont il prend connaissance Sans Retard Injustifié; et

14.2.3 s'assurer qu'il ne Traite pas les Données Transférées plus longtemps qu'il n'est raisonnablement nécessaire à l’Objectif.

15.   Que se passe-t-il en cas de violation de données à caractère personnel par l’importateur ?

15.1 S'il y a une Violation des Données à Caractère Personnel par l'Importateur, l'Importateur est tenu de :

15.1.1 prendre des mesures raisonnables pour y remédier, y compris pour minimiser les effets néfastes sur les Personnes Concernées, l'empêcher de continuer et empêcher qu'il ne se reproduise. Si l'Importateur est le Sous-traitant ou le Sous-traitant ultérieur de l'Exportateur: ces étapes doivent être conformes aux instructions de l'Exportateur et à l'Accord Lié et être effectuées en coopération avec l'Exportateur et tout Contrôleur Tiers; et

15.1.2 s'assurer que les Exigences de Sécurité continuent de fournir (ou sont modifiées conformément à cet IDTA afin qu'elles fournissent) un niveau de sécurité adapté au risque de Violation des Données à Caractère Personnel et à l'impact sur les Personnes Concernées d'une telle Violation des Données à Caractère Personnel.

15.2 Si l'Importateur est un Sous-traitant ou un Sous-traitant ultérieur, et qu'il y a une Violation des Données à Caractère Personnel, l'Importateur doit :

15.2.1 informer l'Exportateur sans Retard Excessif après avoir pris connaissance de la violation, en fournissant les informations suivantes:

15.2.1.1 une description de la nature de la violation des données à Caractère Personnel de l'Importateur;

15.2.1.2 (si et lorsque cela est possible) les catégories et le nombre approximatif de Personnes Concernées et d'enregistrements de Données Transférées concernés;

15.2.1.3 conséquences probables de la Violation des Données à Caractère Personnel de l'Importateur;

15.2.1.4 mesures prises (ou qu'il est proposé de prendre) pour résoudre la situation (y compris pour minimiser les effets néfastes sur les Personnes Concernées, l'empêcher de se poursuivre et l'empêcher de se reproduire) et pour s'assurer que des mesures de protection appropriées sont en place;

15.2.1.5 point de contact pour plus d'informations; et

15.2.1.6 toute autre information raisonnablement demandée par l'Exportateur,

15.2.2 s'il n'est pas possible pour l'importateur de fournir toutes les informations susmentionnées en même temps, il peut le faire par étapes, sans retard injustifié ; et

15.2.3 assister l'Exportateur (et tout Contrôleur Tiers) afin que l'Exportateur (ou tout Contrôleur Tiers) puisse informer les Personnes Concernées ou l'ICO ou tout autre régulateur ou autorité compétente de la Violation des Données à Caractère Personnel de l'Importateur sans Retard Injustifié.

15.3 Si l'Importateur est un Contrôleur : si la Violation de Données à Caractère Personnel de l'importateur est susceptible d'entraîner un risque pour les droits ou les libertés de toute Personne Concernée, l'Importateur doit notifier l'Exportateur sans Retard Injustifié après avoir pris connaissance de la violation, en fournissant les informations suivantes :

15.3.1 une description de la nature de la Violation des Données à Caractère Personnel de l'Importateur;

15.3.2 (si et quand cela est possible) les catégories et le nombre approximatif de Personnes Concernées et d'enregistrements de Données Transférés concernés;

15.3.3 conséquences probables de la Violation des Données à Caractère Personnel de l'Importateur;

15.3.4 les mesures prises (ou qu'il est proposé de prendre) pour résoudre la situation (y compris pour minimiser les effets néfastes sur les Personnes Concernées, l'empêcher de se poursuivre et l'empêcher de se reproduire) et pour s'assurer que les Garanties Appropriées sont en place;

15.3.5 point de contact pour plus d'informations; et

15.3.6 toute autre information raisonnablement demandée par l'Exportateur.

S'il n'est pas possible pour l'importateur de fournir toutes les informations susmentionnées en même temps, il peut le faire par étapes, sans retard injustifié.

15.4 Si l'Importateur est un Contrôleur : en cas de Violation des Données à Caractère Personnel de l'Importateur susceptible de poser un risque pour les droits ou libertés de toute Personne Concernée, l'Importateur doit informer ces Personnes Concernées sans Retard Injustifié. Toutefois, si cela nécessite un effort disproportionné, l'Importateur peut, à la place, assurer une communication publique ou prendre des mesures similaires pour informer les Personnes Concernées de manière tout aussi efficace.

15.5 L'Importateur doit conserver une trace écrite de tous les faits pertinents relatifs à la Violation des Données à Caractère Personnel de l'Importateur, qu'il fournira à l'Exportateur et à l'ICO sur demande.

Cet enregistrement doit inclure les mesures qu'il prend pour réparer la Violation des Données à Caractère Personnel de l'Importateur (y compris pour minimiser les effets néfastes sur les Personnes Concernées, l'empêcher de continuer et l'empêcher de se reproduire) et pour garantir que les exigences de sécurité continuent de fournir un niveau de une sécurité adaptée au risque de survenance d'une Violation de Données à Caractère Personnel et à l'impact sur les Personnes Concernées d'une telle Violation de Données à Caractère Personnel.

16. Transfert des Données Transférées

16.1 L'Importateur peut transférer les Données Transférées à un tiers uniquement si cela est autorisé dans le Tableau 2 : Tableau des Détails de Transfert, si le transfert correspond à l'Objectif spécifié, s'il ne viole pas l'Accord Lié, et si au moins l'une des conditions suivantes est remplie :

16.1.1 Le tiers a signé un contrat écrit avec l'Importateur qui offre le même niveau de protection pour les Personnes Concernées que celui prévu dans cet IDTA (en fonction du rôle du destinataire en tant que responsable du traitement ou sous-traitant), et l'Importateur a réalisé une évaluation des risques pour garantir que les Garanties Appropriées seront assurées par ce contrat ; ou

16.1.2 le tiers a été ajouté à cet IDTA en tant que Partie; ou

16.1.3 si l'Importateur se trouvait au Royaume-Uni, le transfert des Données Transférées serait conforme à l'article 46 du RGPD du Royaume-Uni; ou

16.1.4 si l'Importateur se trouvait au Royaume-Uni, le transfert des Données Transférées serait conforme à l'une des exceptions de l'article 49 du RGPD Royaume-Un; ou

16.1.5 le transfert est à destination du Royaume-Uni ou d'un Pays Adéquat.

16.2 L'importateur n'est pas tenu de se conformer à la section 16.1 s'il transfère des données transférées et/ou permet l'accès aux données transférées conformément à la section 23 (Demandes d'accès et accès direct).

17.   Responsabilité de l'Importateur s'il autorise d'autres personnes à exécuter ses obligations

17.1 L'Importateur peut sous-traiter ses obligations dans cet IDTA à un Sous-traitant ou un Sous-traitant ultérieur (à condition qu'il se conforme à l'article 16).

17.2 Si l'Importateur est le Sous-traitant ou le Sous-traitant ultérieur de l'Exportateur: il doit également se conformer à l'Accord Lié ou être avec le consentement écrit de l'Exportateur.

17.3 L'importateur doit s'assurer que toute personne ou tout tiers agissant sous son autorité, y compris un Sous-traitant ou un Sous-traitant ultérieur, ne doit traiter les Données Transférées que sur ses instructions.

17.4 L'Importateur reste entièrement responsable envers l'Exportateur, l'ICO et les Personnes Concernées de ses obligations en vertu de cet IDTA lorsqu'il a sous-traité des obligations à ses Sous-traitants et Sous-traitants ultérieurs, ou a autorisé un employé ou une autre personne à les exécuter (et les références à l'Importateur dans ce contexte comprendront des références à ses Sous-traitants, Sous-traitants ultérieurs ou personnes autorisées).

Quels droits les individus ont-ils?

18.   Le droit d'obtenir une copie de l'IDTA

18.1 Si une Partie reçoit une demande d'une Personne Concernée pour une copie de cet IDTA:

18.1.1 il fournira l’IDTA à la Personne Concernée et informera l'autre Partie, dès que raisonnablement possible;

18.1.2 Il n'est pas nécessaire de fournir des copies de l'accord lié, mais il doit fournir toutes les informations des accords liés mentionnées dans les Tableaux ;

18.1.3 il peut supprimer des informations dans les Tableaux ou les informations fournies par l'Accord Lié si cela est raisonnablement nécessaire pour protéger des secrets d'affaires ou des informations confidentielles, à condition qu'il fournisse à la Personne Concernée un résumé de ces suppressions afin que la Personne Concernée puisse comprendre le contenu des Tableaux ou les informations fournies par l'Accord Lié.

19.   Le droit à l'Information sur l'Importateur et son Traitement

19.1 L'Importateur n'est pas tenu de se conformer à la présente Section 19 s'il s'agit du Sous-traitant ou du Sous-traitant ultérieur de l'Exportateur.

19.2 L'Importateur doit s'assurer que chaque Personne Concernée pertinente reçoit les informations suivantes :

·  l'Importateur (y compris les coordonnées et le contact pour les Personnes Concernées de l'Importateur) ;

·   les Objectifs; et

·   tout destinataire (ou catégorie de destinataires) des Données Transférées ;

L'Importateur peut démontrer qu'il s'est conformé à la présente Section 19.2 si les informations sont fournies (ou ont déjà été fournies) aux Personnes Concernées par l'Exportateur ou une autre partie.

L'Importateur n'est pas tenu de se conformer à la présente Section 19.2 dans la mesure où cela serait impossible ou impliquerait un effort disproportionné, auquel cas l'Importateur doit rendre les informations accessibles au public.

19.3 L'Importateur doit tenir à jour les coordonnées du contact de la Personne Concernée de l'Importateur et les rendre accessibles au public. Cela comprend la notification écrite à l'Exportateur de ces modifications.

19.4 L'Importateur doit s'assurer que ces coordonnées sont toujours faciles d'accès pour toutes les Personnes Concernées et pouvoir communiquer facilement avec les Personnes Concernées en anglais sans Retard Injustifié.

20.   Comment les Personnes Concernées Pertinents peuvent exercer leurs droits en tant que personnes concernées

20.1 L'Importateur n'est pas tenu de se conformer à la présente Section 20 s'il s'agit du Sous-traitant ou du Sous-traitant ultérieur de l'Exportateur.

20.2 Si une personne le demande, l'Importateur doit confirmer s'il traite ses Données à Caractère Personnel dans le cadre des Données Transférées.

20.3 Les Sections suivantes de la présente Section 20 concernent les Données à Caractère Personnel d'une Personne Concernée qui font partie des Données Transférées que l'Importateur Traite.

20.4 Si la Personne Concernée en fait la demande, l'Importateur doit lui fournir une copie de ses Données Transférées:

20.4.1 Sans retard excessif (et en tout état de cause dans un délai d'un mois) ;

20.4.2 sans coût plus élevé pour la Personne Concernée Pertinente que ce qu'elle serait en mesure de facturer si elle était soumise aux lois du Royaume-Uni sur la Protection des Données ;

20.4.3 en anglais clair et simple, facile à comprendre; et

20.4.4 sous une forme facilement accessible

ainsi que

20.4.5 (si nécessaire) une explication claire et simple en anglais des données transférées afin qu'elles soient compréhensibles pour la Personne Concernée ; et

20.4.6 l'information selon laquelle la personne concernée a le droit d'introduire une demande d'indemnisation au titre de la présente IDTA.

20.5 Si une Personne Concernée le demande, l'Importateur doit:

20.5.1 rectifier les Données Transférées inexactes ou incomplètes;

20.5.2 effacer les Données Transférées si elles sont Traitées en violation de cet IDTA;

20.5.3 cesser de l'utiliser à des fins de marketing direct; et

20.5.4 se conformer à toute autre demande raisonnable de la Personne Concernée Pertinente, à laquelle l'Importateur serait tenu de se conformer s'il était soumis aux lois du Royaume-Uni sur la Protection des Données.

20.6 L'Importateur ne doit pas utiliser les Données Transférées pour prendre des décisions concernant la Personne Concernée Pertinente sur la base uniquement d'un traitement automatisé, y compris le profilage (la « Prise de Décision »), qui produit des effets juridiques concernant la Personne Concernée Pertinente ou l'affecte de manière significative, sauf s’il est autorisé par la loi locale et:

20.6.1 la Personne Concernée Pertinente a donné son consentement explicite à cette prise de décision; ou

20.6.2 La législation locale prévoit des garanties qui offrent une protection suffisamment similaire aux Personnes Concernées Pertinentes par rapport à cette prise de décision, quant à la protection pertinente dont bénéficierait la Personne Concernée Pertinente si cette prise de décision se déroulait au Royaume-Uni; ou

20.6.3 les Clauses de Protection Supplémentaire fournissent des garanties pour la Prise de Décision qui offrent une protection suffisamment similaire aux Personnes Concernées Pertinentes par rapport à cette Prise de Décision, quant à la protection pertinente dont la Personne Concernée Pertinente aurait si cette prise de décision avait lieu au Royaume-Uni.

21.   Comment les Personnes Concernées pertinentes peuvent exercer leurs droits en tant que personnes concernées lorsque l'Importateur est le Sous-traitant ou le Sous-traitant ultérieur de l'Exportateur

21.1 Lorsque l'Importateur est le Sous-traitant ou le Sous -traitant ultérieur de l'Exportateur: si l'Importateur reçoit une demande directement d'une personne concernant les Données Transférées, il doit transmettre cette demande à l'Exportateur dans les meilleurs délais. L'Importateur ne doit répondre à cette personne qu'avec l'autorisation de l'Exportateur ou de tout Contrôleur tiers.

22. Les droits des Personnes Concernées Pertinentes sont soumis aux exemptions des lois du Royaume-Uni sur la Protection des Données.

22.1 L'Importateur n'est pas tenu de répondre aux demandes ou de fournir des informations ou des notifications en vertu des articles 18, 19, 20, 21 et 23 si:

22.1.1 il n'est pas en mesure de vérifier raisonnablement l'identité d'une personne faisant la demande; ou

22.1.2 les demandes sont visiblement infondées ou excessives, y compris lorsque les demandes sont répétitives. Dans ce cas, l'importateur peut refuser la demande ou facturer à la personne concernée des frais raisonnables ; ou

22.1.3 une exemption pertinente serait disponible en vertu des lois du Royaume-Uni sur la Protection des Données, si l'Importateur était soumis aux lois du Royaume-Uni sur la Protection des Données.

Si l'Importateur refuse la demande d'un individu ou facture des frais en vertu de la Section 22.1.2, il exposera par écrit les raisons de son refus ou de ses frais et informera la Personne Concernée Pertinente qu'elle a le droit de déposer une demande d'indemnisation en vertu de cet IDTA dans le cas de toute violation de cet IDTA.

Comment donner à des tiers l'accès aux données transférées en vertu de la législation locale

23.   Demandes d'accès et accès direct

23.1 Dans la présente Section 23, une « Demande d'accès » est une demande juridiquement contraignante (à l'exception des demandes uniquement contraignantes en vertu du droit des contrats) d'accès à toute Donnée transférée et un « Accès direct » est un accès direct à toute Donnée transférée par les autorités publiques dont l'Importateur a connaissance.

23.2 L'importateur peut divulguer toutes les données transférées demandées dans la mesure où il reçoit une demande d'accès, sauf si, dans les circonstances, il est raisonnable pour lui de contester cette demande d'accès au motif qu'il existe des motifs importants de croire qu'elle est illégale.

23.3 Dans la mesure où les législations locales le permettent et où il est raisonnable de le faire, l'importateur fournira sans retard injustifié les informations pertinentes concernant toute demande d'accès ou tout accès direct aux personnes suivantes : l'Exportateur, tout contrôleur tiers et, lorsque l'Importateur est un contrôleur, toutes les personnes concernées.

23.4 Dans la mesure où les législations locales le permettent, l'Importateur doit:

23.4.1 consigner par écrit les demandes d'accès et d'accès direct, y compris (si elles sont connues) : les dates, l'identité du demandeur/accesseur, l'objet de la demande d'accès ou de l'accès direct, le type de données demandées ou consultées, si elles ont été contestées ou ont fait l'objet d'un appel, et le résultat ; et les données transférées qui ont été fournies ou consultées ; et

23.4.2 fournir une copie de ce dossier écrit à l'Exportateur à chaque date de révision, ainsi qu'à chaque fois que l'Exportateur ou l’ICO en fait raisonnablement la demande.

24.   Donner un avis

24.1 Si une partie est tenue de notifier une autre partie dans le cadre de cet IDTA, la notification sera marquée à l'attention du contact principal concerné et envoyée par e-mail à l'adresse électronique indiquée pour le contact principal.

24.2 Si l'avis est envoyé conformément à la Section 24.1, il sera réputé avoir été livré au moment où l'e-mail a été envoyé, ou si ce moment est en dehors des heures normales d'ouverture de la Partie destinataire, le jour ouvrable normal suivant de la Partie destinataire et à condition qu'aucun avis de non-livraison ou de retour ne soit reçu.

24.3 Les Parties conviennent que toute Partie peut mettre à jour ses coordonnées clés en donnant un préavis écrit de 14 jours (ou plus) à l'autre Partie.

25.   Clauses générales

25.1 En ce qui concerne le transfert des Données transférées à l'Importateur et le Traitement des Données transférées par l'Importateur, cet IDTA et tout Accord lié :

25.1.1 contient tous les termes et conditions convenus par les Parties; et

25.1.2 annule tous les contacts et arrangements antérieurs, qu'ils soient oraux ou écrits.

25.2 Si une Partie a fait des déclarations orales ou écrites à l'autre avant de conclure cet IDTA (qui ne sont pas écrites dans cet IDTA), l'autre Partie confirme qu'elle ne s'est pas appuyée sur ces déclarations et qu'elle n'aura pas de recours légal si ces déclarations sont fausses ou incorrectes, sauf si la déclaration a été faite frauduleusement.

25.3 Aucune des parties ne peut procéder à une novation, à une cession ou à l'obtention d'une charge légale sur le présent IDTA (en tout ou en partie) sans le consentement écrit de l'autre Partie, qui peut être indiqué dans l'Accord Lié.

25.4 Sauf indication contraire dans la Section 17.1, aucune des Parties ne peut sous-traiter ses obligations en vertu du présent IDTA sans le consentement écrit de l'autre Partie, qui peut être énoncé dans l'Accord Lié.

25.5 Cet IDTA ne fait pas des Parties un partenariat, ni ne désigne une Partie pour agir en tant qu'agent de l'autre Partie.

25.6 Si une Section (ou une partie d'une Section) de cet IDTA est ou devient illégale, invalide ou inapplicable, cela n'affectera pas la légalité, la validité et l'applicabilité de toute autre Section (ou du reste de cette Section) de cet IDTA.

25.7 Si une Partie n'applique pas, ou tarde à appliquer, ses droits ou recours en vertu de cet IDTA ou en relation avec celui-ci, cela ne constituera pas une renonciation à ces droits ou recours. De plus, cela ne limitera pas la capacité de cette Partie à faire valoir ces droits ou tout autre droit ou recours à l'avenir.

25.8 Si une Partie choisit de renoncer à l'application d'un droit ou d'un recours en vertu de ou en relation avec le présent IDTA, cette renonciation ne sera effective que si elle est faite par écrit. Lorsqu'une Partie fournit une telle renonciation écrite:

25.8.1 il ne s'applique que dans la mesure où il renonce explicitement à des droits ou recours spécifiques;

25.8.2 il n'empêchera pas cette Partie d'exercer ces droits ou recours à l'avenir (à moins qu'elle n'ait explicitement renoncé à sa capacité de le faire); et

25.8.3 cela n'empêchera pas cette Partie de faire valoir tout autre droit ou recours à l'avenir.

Que se passe-t-il en cas de violation de cet IDTA?

26.   Infractions au présent IDTA

26.1 Chaque Partie doit informer l'autre Partie par écrit (et avec tous les détails pertinents) si elle:

26.1.1 a enfreint le présent IDTA ; ou

26.1.2 il doit raisonnablement anticiper qu'il peut enfreindre cet IDTA, et fournir toute information à ce sujet que l'autre Partie demande raisonnablement.

26.2 Dans le présent IDTA, on entend par « impact préjudiciable significatif » le fait qu'il existe un risque plus que minime qu'une violation de l'IDTA cause (directement ou indirectement) des dommages significatifs à toute personne concernée ou à l'autre partie.

Violations du présent IDTA par l'Importateur

27.1 Si l'importateur a enfreint cet IDTA, et que cela a un Impact Préjudiciable Significatif, l'Importateur doit prendre des mesures sans Retard Injustifié pour mettre fin à l'Impact Préjudiciable Significatif et, si cela n'est pas possible, réduire autant que possible l'Impact Préjudiciable Significatif.

27.2 Jusqu'à ce qu'il n'y ait plus d'Impact Préjudiciable Significatif sur les Personnes Concernées Pertinentes:

27.2.1 l'Exportateur doit suspendre l'envoi des Données Transférées à l'Importateur;

27.2.2 Si l'Importateur est le Sous-traitant ou le Sous-traitant ultérieur de l'Exportateur : à la demande de l'Exportateur, l'Importateur doit supprimer de manière sécurisée toutes les Données Transférées ou les retourner de manière sécurisée à l'Exportateur (ou à un tiers désigné par l'Exportateur) ; et

27.2.3 si l'Importateur a transféré les Données Transférées à un tiers destinataire en vertu de Section16, et que la violation a un Impact Préjudiciable Significatif sur la Personne Concernée Pertinente lorsqu'elle est Traitée par ou pour le compte de ce tiers destinataire, l'Importateur doit:

27.2.3.1 informer le tiers destinataire de la violation et suspendre l'envoi des Données Transférées; et

27.2.3.2 Si le destinataire tiers est le Sous-traitant ou le Sous-traitant ultérieur de l'Importateur : s'assurer que le destinataire tiers supprime de manière sécurisée toutes les Données Transférées qu'il a traitées, ou les retourne de manière sécurisée à l'Importateur (ou à un tiers désigné par l'Importateur).

27.3 Si la violation ne peut être corrigée dans un délai raisonnable, de sorte qu'il n'y a pas d’Impact Préjudiciable Significatif sur les Personnes Concernées, l'Exportateur doit mettre fin à l'IDTA en vertu de l'article 30.1.

28. Violations du présent IDTA par l'Exportateur

28.1 Si l'Exportateur a enfreint cet IDTA, et que cela a un Impact Préjudiciable Significatif, l'Exportateur doit prendre des mesures sans Retard Injustifié pour mettre fin à l'Impact Préjudiciable Significatif et, si cela n'est pas possible, réduire autant que possible l'Impact Préjudiciable Significatif.

28.2 Jusqu'à ce qu'il n'y ait plus de risque permanent d'Impact Préjudiciable Significatif sur les Personnes Concernées Pertinentes, l'Exportateur doit suspendre l'envoi des Données Transférées à l'Importateur.

27.3 Si la violation ne peut être corrigée dans un délai raisonnable, de sorte qu'il n'y a pas d’Impact Préjudiciable Significatif sur les Personnes Concernées, l'Importateur doit mettre fin à cet IDTA en vertu de la Section 30.1.

Mettre fin à l'IDTA

29. comment mettre fin à cet IDTA sans qu'il n'y ait de violation

29.1 L'IDTA cesse d'exister :

29.1.1 à la fin de la période indiquée dans le tableau 2 : Détails du Transfert ; ou

29.1.2 si dans le Tableau 2: Détails du Transfert, les Parties peuvent mettre fin à cet IDTA en fournissant un avis écrit à l'autre: à la fin de la période de préavis indiquée;

29.1.3 à tout moment que les Parties conviennent par écrit qu'il prendra fin; ou

29.1.4 au moment indiqué à la Section 29.2.

29.2 Si l'ICO publie une version révisée de l'IDTA approuvée conformément à l'article 5.4, si l'une des parties sélectionnées dans le tableau 2 « Fin de l'IDTA en cas de modification de l'IDTA approuvée » subit, en conséquence directe des modifications de l'IDTA approuvée, une augmentation substantielle, disproportionnée et démontrable :

29.2.1 ses coûts directs d'exécution de ses obligations en vertu de l’IDTA; et/ou

29.2.2 son risque en vertu de l’IDTA,

et dans les deux cas, elle a d'abord pris des mesures raisonnables pour réduire ce coût ou ce risque afin qu'il ne soit pas substantiel et disproportionné, cette partie peut mettre fin à l'IDTA à la fin d'une période de préavis raisonnable, en fournissant un avis écrit pour cette période à l'autre Partie avant la date de début de l'IDTA approuvé révisé.

30.   Comment mettre fin à cet IDTA en cas de violation

30.1 Une partie peut mettre fin à cet IDTA immédiatement en donnant à l'autre Partie un avis écrit si :

30.1.1 l'autre partie a enfreint cet IDTA et cela a un Impact Préjudiciable Significatif. Cela inclut les violations mineures répétées qui, prises ensemble, ont un Impact Préjudiciable Significatif, et

30.1.1.1 la violation peut être corrigée de manière à ce qu'il n'y ait pas d'Impact Préjudiciable Significatif, et l'autre Partie n'a pas réussi à le faire sans Retard Injustifié (qui ne peut pas dépasser 14 jours après avoir été tenue de le faire par écrit) ; ou

30.1.1.2 la violation et son Impact Préjudiciable Significatif ne peuvent pas être corrigés;

30.1.2 l'Importateur ne peut plus se conformer à la Section 8.3, car il existe des lois locales qui signifient qu'il ne peut pas se conformer à cet IDTA et cela a un Impact Préjudiciable Significatif.

31.   Que doivent faire les parties lorsque l'IDTA prend fin ?

31.1 Si les Parties souhaitent mettre fin à cet IDTA ou si cet IDTA prend fin conformément à l'une de ses dispositions, mais que l'Importateur doit se conformer à une loi locale l'obligeant à continuer à conserver toutes les Données Transférées, cet IDTA restera en vigueur en ce qui concerne les Données Transférées conservées aussi longtemps qu'elles le sont, et l'Importateur doit :

31.1.1 informer l'Exportateur, sans retard injustifié, y compris les détails de la Législation Locale pertinente et la période de conservation requise;

31.1.2 ne conserver que la quantité minimale de Données Transférées nécessaire pour se conformer à cette Législation Locale, et les Parties doivent s'assurer de maintenir les Garanties Appropriées, et modifier les Tableaux et les Clauses de Protection Supplémentaire, ainsi que toute Évaluation des risques de transfert pour refléter cela ; et

31.1.3 arrêter le Traitement des Données Transférées dès que permis par cette Législation Locale et l'IDTA prendra alors fin et le reste de la présente Section 29 s'appliquera.

31.2 Lorsque cet IDTA se termine (quelle qu'en soit la raison):

31.2.1 l'Exportateur doit cesser d'envoyer des Données Transférées à l'Importateur; et

31.2.2 si l'Importateur est le Sous-traitant ou le Sous-traitant ultérieur de l'Exportateur: l'Importateur doit supprimer toutes les Données Transférées ou les retourner en toute sécurité à l'Exportateur (ou à un tiers nommé par l'Exportateur), conformément aux instructions de l'Exportateur;

31.2.3 si l'Importateur est un Contrôleur et/ou non le Sous-traitant ou le Sous-traitant ultérieur de l'Exportateur: l'Importateur doit supprimer en toute sécurité toutes les Données Transférées.

31.2.4 les dispositions suivantes resteront en vigueur après la fin de cet IDTA (quelle qu'en soit la raison):

·   Section 1 (Cet IDTA et les Accords Liés);

·   Section 2 (Sens Juridique des Mots);

·   Section 6 (Comprendre cet IDTA);

·   Section 7 (Quelles lois s'appliquent à cet IDTA);

·   Section 10 (L’ICO);

·   Sections 11.1 et 11.4 (Obligations de l'Exportateur);

·   Sections 12.1.2, 12.1.3, 12.1.4, 12.1.5 et 12.1.6 (Obligations Générales de l'Importateur);

·   Section 13.1 (Obligations de l'Importateur s'il est soumis aux lois du Royaume-Uni sur la Protection des Données);

·   Section 17 (Responsabilité de l'importateur s'il a autorisé d'autres personnes à exécuter ses obligations);

·   Section 24 (Donner un avis);

·   Section 25 (Clauses générales);

·   Section 31 (Que doivent faire les Parties à la fin de l’IDTA);

·   Section 32 (Votre responsabilité);

·   Section 33 (Comment les Personnes Concernées Pertinentes et l'ICO peuvent intenter des actions en justice);

·   Section 34 (Actions en justice peuvent être intentées devant les tribunaux);

·   Section 35 (Arbitrage); et

·   Section 36 (Glossaire juridique).

Comment intenter une action en justice dans le cadre de l'IDTA 

32.   Votre responsabilité

32.1 Les Parties restent entièrement responsables envers les Personnes Concernées Pertinents du respect de leurs obligations en vertu du présent IDTA et (le cas échéant) en vertu des lois du Royaume-Uni sur la Protection des Données.

32.2 Chaque Partie (dans cette Section, « Première Partie ») accepte d'être entièrement responsable envers les Personnes Concernées Pertinents pour l'intégralité des dommages subis par la Personne Concernée Pertinente, causés directement ou indirectement par:

32.2.1 la violation du présent IDTA par la Première Partie ; et/ou

32.2.2 lorsque la Première Partie est un Sous-traitant, la violation par la Première Partie de toute disposition concernant son Traitement des Données Transférées dans l'Accord Lié;

32.2.3 lorsque la Première Partie est un Contrôleur, une violation de cet IDTA par l'autre Partie si elle implique le Traitement par la Première Partie des Données Transférées (aussi minimes soit-elles)

dans chaque cas à moins que la Première Partie puisse prouver qu'elle n'est en aucune façon responsable de l'événement à l'origine du dommage.

32.3 Si une Partie a payé une indemnisation à une Personne Concernée Pertinente en vertu de la Section 32.2, elle est en droit de réclamer à l'autre Partie la partie de l'indemnisation correspondant à la responsabilité de l'autre Partie pour le dommage, de sorte que l'indemnisation soit équitablement répartie entre les Parties.

32.4 Les Parties n'excluent ni ne limitent leur responsabilité en vertu de cet IDTA ou des lois du Royaume-Uni sur la Protection des Données, au motif qu'elles ont autorisé toute personne qui n'est pas une Partie (y compris un Sous-traitant) à exécuter l'une de leurs obligations, et elles resteront responsables de l'exécution ces obligations.

33.   Comment les personnes concernées et l'ICO peuvent intenter des actions en justice

33.1 Les Personnes Concernées Pertinentes ont le droit d'intenter des poursuites contre l'Exportateur et/ou l'Importateur pour violation de ce qui suit (y compris lorsque leur Traitement des Données Transférées est impliqué dans une violation de ce qui suit par l'une ou l'autre des Parties):

·   Section 1 (Le présent IDTA et les Accords Liés);

·   Section 3 (Vous avez fourni toutes les informations requises par la Première partie: Tableaux et la Deuxième partie: Clauses de Protection Supplémentaires);

·   Section 8 (Les Garanties Appropriées);

·   Section 9 (Révisions pour s'assurer que les Garanties Appropriées se poursuivent);

·   Section 11 (Obligations de l'Exportateur);

·   Section 12 (Obligations Générales de l'Importateur);

·   Section 13 (Obligations de l'Importateur s'il est soumis aux lois du Royaume-Uni sur la Protection des Données);

·   Section 14 (Obligations de l'Importateur de se conformer aux principales lois sur la Protection des Données);

·   Section 15 (Que se passe-t-il en cas de violation de données à caractère personnel par l’Importateur) ;

·   Section 16 (Transfert des Données Transférées);

·   Section 17 (Responsabilité de l'Importateur s'il autorise d'autres personnes à exécuter ses obligations);

·   Section 18 (Le droit d'obtenir une copie de l'IDTA) ;

·   Section 19 (Les Coordonnées de l'Importateur pour les Personnes Concernées);

·   Section 20 (Comment les Personnes Concernées Pertinentes peuvent exercer leurs droits en tant que Personnes Concernées);

·   Section 21 (Comment les Personnes Concernées Pertinentes peuvent exercer leurs droits en tant que Personnes Concernées : si l'Importateur est le Sous-traitant ou le Sous-traitant ultérieur de l'Exportateur);

·   Section 23 (Demandes d'Accès et Accès Direct);

·   Section 26 (Infractions au présent IDTA)

·   Section 27 (Violations de cet IDTA par l'Importateur);

·   Section 28 (Violations de cet IDTA par l'Exportateur);

·   Section 30 (Comment mettre fin à cet IDTA en cas de violation);

·   Section 31 (Que doivent faire les Parties à la fin de l’IDTA); et

·   toute autre disposition de l’IDTA qui profite expressément ou implicitement aux Personnes Concernées.

33.2 L'ICO est en droit d'intenter des poursuites contre l'Exportateur et/ou l'Importateur en cas de violation des Sections suivantes: Section 10 (l'ICO), Sections 11.1 et 11.2 (Obligations de l'Exportateur), Section 12.1.6 (obligations générales de l'Importateur) et Section 13 (Obligations de l'Importateur s'il est soumis aux lois du Royaume-Uni sur la Protection des Données).

33.3 Personne d'autre (qui n'est pas une Partie) ne peut appliquer une partie de cet IDTA (y compris en vertu de la Loi de 1999 sur les Contrats (Droits des Tiers)).

33.4 Les Parties n'ont pas besoin du consentement d'une Personne Concernée ou de l'ICO pour apporter des modifications à cet IDTA, mais toute modification doit être effectuée conformément à ses termes.

33.5 En déposant une réclamation en vertu de cet IDTA, une Personne Concernée peut être représentée par un organisme, une organisation ou une association à but non lucratif dans les mêmes conditions que celles énoncées à l'article 80, paragraphe 1, du RGPD du Royaume-Uni et aux sections 187 à 190 de la Loi sur la Protection des Données 2018.

34.   Les tribunaux peuvent être saisis d'une action en justice

34.1 Les tribunaux du Royaume-Uni indiqués dans le Tableau 2: Détails du transfert ont une compétence non exclusive sur toute réclamation liée à cet IDTA (y compris les réclamations non contractuelles).

34.2 L'Exportateur peut intenter une action contre l'Importateur dans le cadre de cet IDTA (y compris les actions non contractuelles) devant tout tribunal de tout pays compétent pour connaître de l'action.

34.3 L'Importateur ne peut intenter une action contre l'Exportateur dans le cadre de cet IDTA (y compris les actions non contractuelles) que devant les tribunaux du Royaume-Uni indiqués dans le Tableau 2: Détails du Transfert.

34.4 Les Personnes Concernées et l'ICO peuvent intenter une action contre l'Exportateur et/ou l'Importateur en relation avec cet IDTA (y compris les actions non contractuelles) devant tout tribunal de tout pays ayant compétence pour connaître de l'action.

34.5 Chaque Partie s'engage à fournir à l'autre Partie des mises à jour raisonnables concernant toute réclamation ou plainte déposée contre elle par une Personne Concernée ou l'ICO en relation avec les Données Transférées (y compris les réclamations en arbitrage).

35.   Arbitrage

35.1 Au lieu de porter plainte devant un tribunal en vertu de la Section 34, toute Partie ou Personne Concernée peut choisir de renvoyer tout litige découlant de ou en relation avec le présent IDTA (y compris les réclamations non contractuelles) à la résolution finale par arbitrage en vertu des règles de la Cour d'Arbitrage International de Londres, et ces règles sont réputées être incorporées par référence dans la présente Section ‎35.

35.2 Les Parties conviennent de se soumettre à tout arbitrage engagé par une autre Partie ou par une Personne Concernée conformément à la présente Section ‎‎35.

35.3 Il ne doit y avoir qu'un seul arbitre. L'arbitre doit être un avocat qualifié pour pratiquer le droit dans un ou plusieurs pays d'Angleterre et du Pays de Galles, d'Écosse ou d'Irlande du Nord et (2) doit avoir une expérience d'action ou de conseil dans des litiges liés aux lois du Royaume-Uni sur la Protection des Données.

35.4 Londres sera le siège ou le lieu légal de l'arbitrage. Peu importe que les Parties aient choisi un autre pays du Royaume-Uni comme «lieu principal pour les réclamations légales» dans le Tableau 2: Détails du Transfert.

35.5 La langue anglaise doit être utilisée dans la procédure arbitrale.

35.6 La loi anglaise régit cette Section ‎‎35. Cela s'applique indépendamment du fait que les parties aient choisi ou non la loi d'un autre pays du Royaume-Uni comme « loi du pays du Royaume-Uni qui régit l’IDTA » dans le Tableau 2: Détails du Transfert.

36.   Glossaire Juridique

Mot ou Phrase	Définition légale (c'est ainsi que ce mot ou cette phrase doit être interprété dans l’IDTA)
Demande d'Accès	Tel que défini à la Section 23, en tant que demande juridiquement contraignante (à l'exception des demandes uniquement contraignantes en vertu du droit des contrats) d'accès aux Données Transférées.
Pays Adéquat	Un pays tiers, ou: · un territoire; · un ou plusieurs secteurs d'organisations dans un pays tiers; · une organisation internationale; que le Secrétaire d'État a spécifié par règlement fournit un niveau adéquat de protection des Données à Caractère Personnel conformément à la Section 17A de la Loi sur la Protection des Données de 2018.
Garanties Appropriées	Le niveau de protection des Données Transférées et des droits de la Personne Concernée Pertinente, qui est requis par les lois du Royaume-Uni sur la Protection des Données lorsque vous effectuez un Transfert Restreint en vous fondant sur les clauses standard de protection des données en vertu de l'article 46(2)(d) RGPD du Royaume-Uni.
IDTA approuvé	Le modèle de l’’IDTA A1.0 émis par l'ICO et déposé devant le Parlement conformément à l'article 119A de la Loi de 2018 sur la Protection des Données le 2 février 2022, tel qu'il est révisé en vertu de la Section 5.4.
Clauses Commerciales	Les Clauses Commerciales énoncées dans la Troisième partie.
Contrôleur	Tel que défini dans le RGPD du Royaume-Uni.
Dommage	Tous les dommages matériels et immatériels.
Personne Concernée	Tel que défini dans le RGPD du Royaume-Uni..
La Prise de Décision	Tel que défini à la Section 20.6, les décisions concernant les Personnes Concernées Pertinentes fondées uniquement sur un traitement automatisé, y compris le profilage, utilisant les Données Transférées.
Accès Direct	Tel que défini à la Section 23 comme un accès direct à toutes les Données Transférées par les autorités publiques dont l'Importateur a connaissance.
Exportateur	L'Exportateur identifié dans le Tableau 1: Parties & Signature.
Clauses de Protection Supplémentaires	Les clauses énoncées dans la Deuxième partie: Clauses de Protection Supplémentaire.
ICO	Le Commissaire à l'Information.
Importateur	L'Importateur identifié dans le Tableau 1: Parties & Signature.
Contact de la Personne Concernée de l'Importateur	Le Contact de la Personne Concernée de l'Importateur identifié dans le Tableau 1: Parties & Signature, qui peut être mis à jour conformément à la Section 19.
Informations relatives à l'importateur	Comme défini dans la Section 8.3.1, comme toutes les informations pertinentes concernant les Lois et Pratiques Locales et les protections et risques qui s'appliquent aux Données Transférées lorsqu'elles sont Traitées par l'Importateur, y compris pour que l'Exportateur puisse effectuer tout TRA.
Violation des Données à Caractère Personnel par l'Importateur	Une «violation de données à caractère personnel » telle que définie dans le RGPD du Royaume-Uni, en ce qui concerne les Données Transférées lorsqu'elles sont Traitées par l'Importateur.
Accord Lié	L'accord lié énoncé dans le Tableau 2: Détails du Transfert.
Législation locale	Lois qui ne sont pas les lois du Royaume-Uni et qui lient l'Importateur.
Clauses Obligatoires	Quatrième partie: Clauses obligatoires de cet IDTA.
Période de Préavis	Comme indiqué dans le Tableau 2: Détails du Transfert.
Partie/Parties	Les parties dans cet IDTA comme indiqué dans le Tableau 1: Parties & Signature.
Données à Caractère Personne	Tel que défini dans le RGPD du Royaume-Uni.
Violation des Données à Caractère Personnel	Tel que défini dans le RGPD du Royaume-Uni.
Traitement	Tel que défini dans le RGPD du Royaume-Uni. Lorsque l'IDTA fait référence au Traitement par l'Importateur, cela inclut le cas où un Sous-traitant tiers de l'Importateur Traite pour le compte de l'Importateur.
Sous-traitant	Tel que défini dans le RGPD du Royaume-Uni.
Objectif	« L’Objectif » défini dans le Tableau 2: Détails du Transfert, y compris tous les objectifs qui ne sont pas incompatibles avec les objectifs énoncés ou auxquels il est fait référence.
Personne Concernée	Une Personne Concernée par les Données Transférées.
Transfert Restreint	Un transfert couvert par le Chapitre V du RGPD du Royaume-Uni
Dates de Révision	Les dates ou la période de révision des Exigences de Sécurité énoncées dans le Tableau 2: Détails du Transfert, et toute date d'examen indiquée dans tout IDTA approuvé révisé.
Impact Préjudiciable Significatif	Tel que défini à la Section 26.2 - lorsqu'il existe plus qu'un risque minimal de la violation causant (directement ou indirectement) un préjudice important à toute Personne Concernée Pertinente ou à l'autre Partie.
Données de Catégorie Spéciale	Comme décrit dans le RGPD du Royaume-Uni, avec les données sur les condamnations pénales ou les infractions pénales.
Date de Début	Comme indiqué dans le Tableau 1: Parties & Signature.
Sous-traitant ultérieur	Un Sous-traitant ultérieur désigné par un autre Sous-traitant pour Traiter des Données à Caractère Personnel en son nom. Cela inclut les Sous-traitants de tout niveau, par exemple un Sous-sous-traitant.
Tableaux	Les Tableaux présentés dans la Première partie de cet IDTA.
Term	Comme indiqué dans le Tableau 2 : Détails du Transfert.
Contrôleur tiers	Le Contrôleur des Données Transférées lorsque l'Exportateur est un Sous-traitant ou un Sous-traitant ultérieur S'il n'y a pas de Contrôleur Tiers, cela peut être omis.
Risque de Transfert Évaluation ou TRA	Une évaluation des risques dans la mesure où elle est requise par par les Lois du Royaume-Uni sur la Protection des Données pour démontrer que l’IDTA fournit les Garanties Appropriées
Données Transférées	Toutes les Données à Caractère Personnel que les Parties transfèrent ou ont l'intention de transférer en vertu de cet IDTA, comme décrit dans le Tableau 2: Détails du Transfert
Lois du Royaume-Uni sur la Protection des Données	Toutes les lois relatives à la protection des données, au traitement des données à Caractère Personnel, à la vie privée et/ou aux communications électroniques en vigueur de temps à autre au Royaume-Uni, y compris le RGPD du Royaume-Uni et la Loi sur la protection des données de 2018.
RGPD du Royaume-Uni	Tel que défini à la Section 3 de la Loi sur la Protection des Données de 2018.
Sans Retard Injustifié	Sans Retard Injustifié, comme cette phase est interprétée dans le RGPD du Royaume-Uni.