Accord de transfert de données

Le présent accord de transfert de données ("ATD") est conclu entre Celartem, Inc. faisant affaire sous le nom d'Extensis ("Extensis") et le client de [Extensis Online Services] ("Client") dans la mesure où le Client transfère des données personnelles à Extensis ou permet à Extensis d'accéder à des données personnelles situées dans une juridiction qui exige des protections spéciales pour le transfert d'informations à travers les frontières internationales, telles que l'Espace économique européen ("EEE").

1. D'une manière générale. Les parties conviennent que, pour toute juridiction non mentionnée ci-dessous qui exige des protections spéciales pour un transfert international de données, elles concluent par la présente et acceptent d'être liées par les Clauses contractuelles types de l'EEE pour les transferts de données personnelles à partir de cette juridiction, à moins que les parties n'en conviennent autrement par écrit.
2. Description du traitement et statut des parties. L'annexe 1 énumère les statuts des parties en vertu de la législation pertinente sur la protection des données pour chaque activité de traitement pertinente pour les services.
3. Espace économique européen.
   1. " Clauses contractuelles types de l'EEE " désigne les clauses contractuelles types de l'Union européenne pour les transferts internationaux de l'Espace économique européen vers des pays tiers, décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021.
   2. Pour les transferts au départ de l'EEE qui ne font pas l'objet d'une décision d'adéquation ou d'une exception, les parties intègrent par référence les clauses contractuelles types de l'EEE et s'engagent également à être liées par ces clauses contractuelles types de l'EEE. Les parties conviennent de sélectionner les options suivantes offertes par les clauses contractuelles types de l'EEE.
      1. Informations de contrôleur à contrôleur pour les transferts internationaux de données
         • Clause 11(a), Module 1 : Les parties ne choisissent pas l'option de résolution indépendante des litiges.
         • Clause 17, module 1 : les parties choisissent l'option 1. Les parties conviennent que la juridiction compétente est l'Irlande.
         • Clause 18(b), Module 1 : Les parties conviennent que les tribunaux irlandais sont compétents.
         • Annexe I(A) : L'exportateur de données est le client et l'importateur de données est Extensis.
         • Annexe I(B) : Les parties conviennent que l'annexe 1 décrit le transfert.
         • Annexe I(C) : L'autorité de contrôle compétente est la Commission de protection des données de l'Irlande.
         • Annexe II : Les parties conviennent que l'annexe 2 décrit les mesures techniques et organisationnelles applicables au transfert.
         • Annexe III : Les parties conviennent que l'annexe 1 décrit les sous-traitants concernés et leur rôle dans le traitement des données à caractère personnel.
      2. Informations entre le contrôleur et le sous-traitant pour les transferts internationaux de données
         • Clause 9, module 2(a) : Les parties choisissent l'option 2. Le délai est de 30 jours.
         • Clause 11(a), Module 2 : Les parties ne choisissent pas l'option de résolution indépendante des litiges.
         • Clause 17, Module 2 : Les parties choisissent l'option 1. Les parties conviennent que la juridiction compétente est l'Irlande.
         • Clause 18, Module 2 : Les parties conviennent que les tribunaux irlandais sont compétents.
         • Annexe I(A) : L'exportateur de données est le client et l'importateur de données est Extensis. Les statuts des parties en tant que responsables du traitement ou sous-traitants sont décrits dans l'annexe 1.
         • Annexe I(B) : Les parties conviennent que l'annexe 1 décrit le transfert.
         • Annexe I(C) : L'autorité de contrôle compétente est la Data Protection Commission of Ireland.
         • Annexe II : Les parties conviennent que l'annexe 2 décrit les mesures techniques et organisationnelles applicables au transfert.
         • Annexe III : Les parties conviennent que l'annexe 1 décrit les sous-traitants concernés et leur rôle dans le traitement des données à caractère personnel.
4. Suisse. Les parties conviennent d'apporter les modifications suivantes aux clauses contractuelles types de l'EEE afin de les rendre applicables aux transferts de données à caractère personnel depuis la Suisse.
   • Les parties adoptent la norme GDPR pour tous les transferts de données depuis la Suisse.
   • Clause 13 et annexe I, point C : les autorités compétentes en vertu de la clause 13 et de l'annexe I, point C, sont le Préposé fédéral à la protection des données et à la transparence et, simultanément, l'autorité de l'État membre de l'EEE susmentionnée.
   • Clause 17 : Les parties conviennent que la juridiction compétente est [la Suisse].
   • Clause 18 : Les parties conviennent que le for est [les tribunaux suisses]. Les parties conviennent d'interpréter les clauses contractuelles types de l'EEE de manière à ce que les personnes concernées en Suisse puissent faire valoir leurs droits en Suisse conformément à la clause 18, point c).
   • Les parties conviennent d'interpréter les clauses contractuelles types de l'EEE de manière à ce que les "personnes concernées" comprennent les informations relatives aux personnes morales suisses jusqu'à ce que la loi fédérale révisée sur la protection des données entre en vigueur.
5. Royaume-Uni.
   1. "IDTA" désigne l'Accord international de transfert de données publié par l'ICO et déposé devant le Parlement conformément à l'article 119A de la loi sur la protection des données 2018 le 2 février 2022, tel que modifié par le bureau du commissaire à l'information du Royaume-Uni de temps à autre.
   2. Pour les transferts en provenance du Royaume-Uni qui ne font pas l'objet d'une décision d'adéquation ou d'une exception, les parties intègrent l'IDTA par référence et, en signant la présente DTA, concluent également les clauses obligatoires de l'IDTA et acceptent d'être liées par celles-ci.
   3. Conformément aux sections 5.2 et 5.3 de la CDI, les parties conviennent que les informations suivantes sont pertinentes pour les tableaux 1 à 4 de la CDI et qu'en modifiant le format et le contenu des tableaux, aucune des parties n'a l'intention de réduire les garanties appropriées (telles que définies dans la CDI).
      • Tableau 1 : les coordonnées des parties, les contacts clés, les contacts avec les personnes concernées et les signatures figurent dans le bloc-signature de la CDI.
      • Tableau 2 :
        • La loi qui régit l'IDTA est l'Angleterre et le Pays de Galles.
        • Les tribunaux d'Angleterre sont les premiers à pouvoir être saisis par les parties.
        • Les statuts de l'exportateur et de l'importateur de données sont décrits dans l'annexe 1.
        • L'importateur de données déclare et garantit que le GDPR britannique ne s'applique pas au traitement des données personnelles dans le cadre de l'accord.
        • La relation entre les accords établissant les conditions de protection des données entre les parties, y compris la présente section, la CDI et l'accord, est décrite à la section 1 de la CDI.
        • La durée pendant laquelle les parties peuvent traiter des données à caractère personnel est fixée dans la CDI.
        • L'IDTA coïncide avec la CDI. Aucune des parties ne peut mettre fin à l'IDTA avant l'expiration du DTA, sauf si l'une des parties enfreint l'IDTA ou si les parties en conviennent par écrit.
        • L'importateur de données peut transférer des données à caractère personnel à une autre organisation ou personne (qui est une entité juridique différente) si ce transfert est conforme aux clauses obligatoires applicables de l'IDTA.
        • Les parties réexaminent tous les douze (12) mois les exigences de sécurité énumérées dans le tableau 4 et les mesures supplémentaires décrites dans l'annexe 3 de la présente CDI.
      • Tableau 3 :
        • Les catégories de données à caractère personnel, les données sensibles, les personnes concernées et les finalités du traitement sont décrites dans l'annexe 1. Cette description ne peut être mise à jour qu'avec l'accord écrit des parties.
      • Tableau 4 :
        • Les mesures de sécurité adoptées par les parties sont décrites dans l'annexe 2 du présent CDI. Ces mesures de sécurité ne peuvent être mises à jour qu'avec l'accord écrit des parties.

 

Annexe 1 : Description du traitement

Activité de traitement (nature et finalité du traitement ; catégories de personnes concernées)	Statut des parties en tant que responsables du traitement ou sous-traitants	Statut des parties en tant qu'exportateurs ou importateurs de données	Catégories de données à caractère personnel traitées	Catégories de données sensibles traitées	Fréquence de transfert	Sous-traitants d'Extensis qui soutiennent l'activité de traitement	Module CSC applicable
Extensis traite des données à caractère personnel pour fournir les services ou, en relation avec les services, reçoit des données à caractère personnel du client ou collecte des données à caractère personnel pour le compte du client.	Le client est un contrôleur. Extensis est un sous-traitant.	Le Client est l'Exportateur de données. Extensis est l'importateur de données et importe des données aux États-Unis.	Toutes les données personnelles que le Client divulgue à Extensis ou qu'Extensis collecte pour le compte du Client.	Aucune	Continu	Amazon Web Services Avalara Azure BlueSnap Calendy ChurnZero Clarifai Datadog DoubleClick Dynamics NAV Facebook Gong google-analytics.com HotJar Hubspot keylight Subscription Suite Linkedin Sales Navigator Mailchimp/Mandrill Microsoft Corporation Mimecast Mission Cloud NachoNacho Okta PartnerStack Pendo Revulytics (Revenera) Salesforce SendGrid Slack Surveymonkey Zendesk Zenduty Zoom Zuora	Module 2
Extensis recueille les données personnelles des employés, du personnel, des sous-traitants ou des agents du client pour fournir des services professionnels dans le cadre des services.	Le client est un contrôleur. Extensis est un contrôleur.	Le client est l'exportateur de données. Extensis est l'importateur de données et importe des données aux États-Unis.	Nom, adresse électronique, autres informations de contact et identifiant unique de l'utilisateur final. Pour plus de clarté, Extensis est un sous-traitant en ce qui concerne les données personnelles que le client fournit sur ses clients ou utilisateurs finaux.	Aucune	Continu		Module 1
Extensis traite les données de compte dans le cadre de ses obligations au titre du contrat de logiciel en tant que service.	Le client est un contrôleur. Extensis est un contrôleur.	Le client est l'exportateur de données. Extensis est l'importateur de données et importe des données aux États-Unis.	Données relatives aux comptes que le personnel du Client peut créer dans le cadre de l'utilisation des Services, y compris les noms ou les coordonnées des personnes autorisées par le Client à accéder à son compte et les informations de facturation des personnes que le Client a associées à son compte. Les données analytiques, d'utilisation, de télémétrie et les journaux qu'Extensis génère lorsque le personnel du Client utilise les Services. Les données qu'Extensis peut être amenée à collecter à des fins de vérification d'identité.	Aucune	En continu		Module 1
Les parties traitent les données à caractère personnel de leur personnel respectif pour, par exemple, (a) administrer et fournir les services ; (b) gérer les factures ; (c) gérer l'accord et résoudre tout litige y afférent ; (d) répondre et/ou poser des questions d'ordre général ; et (e) se conformer à leurs obligations réglementaires respectives.	Le client est un contrôleur. Extensis est un contrôleur.	Le Client est l'Exportateur de données. Extensis est l'importateur de données et importe des données aux États-Unis.	Nom, titre et coordonnées du personnel des parties.	Aucun	Continu		Module 1

 

Annexe 2 : Mesures de sécurité techniques et organisationnelles

En sa qualité de sous-traitant, Extensis a mis en œuvre une politique de sécurité de l'information écrite qui aborde les points suivants :

• les rôles et responsabilités en matière de gestion des contrôles de sécurité
• Mesures disciplinaires à l'encontre des employés.
• La gestion des exceptions.
• l'évaluation des risques
• La formation des employés.
• Gestion des actifs et cryptage.
• Sécurité physique et environnementale.
• Contrôles d'accès.
• Journalisation et surveillance.
• Réponse aux incidents.
• Continuité des activités et reprise après sinistre.
• Dispositifs mobiles et télétravail.

Extensis utilise une solution sécurisée pour faciliter les transferts de données personnelles avec les clients.