Accord de transfert de données

Mise à jour à partir du 16 août 2022.

Le présent accord de transfert de données (« ATD ») est conclu par et entre Celartem, Inc. faisant affaire sous le nom d'Extensis (« Extensis ») avec le client de [Extensis Online services] (« client ») dans la mesure où le client transfère des données personnelles à Extensis ou permet à Extensis d'accéder à des données personnelles situées dans une juridiction qui exige des protections spéciales pour transférer des informations au-delà des frontières internationales, comme l'Espace économique européen (« EEE »).

Généralement. Les parties conviennent, pour toute juridiction non énumérée ci-dessous qui exige des protections spéciales pour un transfert international de données, qu'elles concluent et acceptent d’être liées par les clauses contractuelles types de l’EEE pour les transferts de données personnelles à partir de cette juridiction, sauf accord contraire écrit des parties.
Description du traitement et statut des parties. L’annexe 1 énumère les statuts des parties en vertu de la législation pertinente sur la protection des données pour chaque activité de traitement pertinente pour les services.
Espace économique européen.
1. « Les clauses contractuelles types de l' EEE » désigne les clauses contractuelles types de l'Union européenne pour les transferts internationaux de l'Espace économique européen vers des pays tiers, décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021.
2. Pour les transferts en provenance de l’EEE qui ne font pas l’objet d’une décision d’adéquation ou d’une exception, les parties incorporent par référence les clauses contractuelles types de l’EEE et concluent et acceptent également d’être liées par les clauses contractuelles types de l’EEE. Les parties conviennent de sélectionner les options suivantes mises à disposition par les clauses contractuelles types de l’EEE.
  1. Informations de contrôleur à contrôleur pour les transferts internationaux de données
    - Article 11(a), module 1 : les parties ne choisissent pas l’option indépendante de règlement des différends.
    - Article 17, module 1 : les parties sélectionnent l’option 1. Les parties conviennent que la juridiction compétente est l’Irlande.
    - Article 18(b), module 1 : les parties conviennent que les tribunaux d’Irlande sont compétents.
    - Annexe I (A) : l’exportateur de données est le client et l’importateur de données est Extensis.
    - Annexe I (B) : les parties conviennent que l’annexe 1 décrit le transfert.
    - Annexe I (C) : l’autorité de contrôle compétente est la Commission irlandaise de protection des données.
    - Annexe II : les parties conviennent que l’annexe 2 décrit les mesures techniques et organisationnelles applicables au transfert.
    - Annexe III : les parties conviennent que l’annexe 1 décrit les sous-traitants ultérieurs concernés et leurs rôles dans le traitement des données personnelles.
  2. Informations du contrôleur au processeur pour les transferts internationaux de données
    - Article 9, module 2(a) : les parties sélectionnent l’option 2. La période est de 30 jours.
    - Article 11(a), module 2 : les parties ne choisissent pas l'option de résolution indépendante des conflits.
    - Article 17, module 2 : les parties choisissent l'option 1. Les parties conviennent que la juridiction compétente est l'Irlande.
    - Article 18, module 2 : les parties conviennent que les tribunaux d’Irlande sont compétents.
    - Annexe I (A) : l’exportateur de données est le client et l’importateur de données est Extensis. Les statuts des parties en tant que contrôleurs ou sous-traitants sont décrits à l’annexe 1.
    - Annexe I (B) : les parties conviennent que l’annexe 1 décrit le transfert.
    - Annexe I (C) : l’autorité de contrôle compétente est la Commission irlandaise de protection des données.
    - Annexe II : les parties conviennent que l’annexe 2 décrit les mesures techniques et organisationnelles applicables au transfert.
    - Annexe III : les parties conviennent que l’annexe 1 décrit les sous-traitants ultérieurs concernés et leurs rôles dans le traitement des données personnelles.
Suisse. Les parties acceptent les modifications suivantes des clauses contractuelles types de l'EEE afin de les rendre applicables aux transferts de données personnelles depuis la Suisse.
- Les parties adoptent la norme RGPD pour tous les transferts de données depuis la Suisse.
- Article 13 et annexe I(C) : les autorités compétentes en vertu de l'article 13, et dans l'annexe I(C), sont le Commissaire fédéral à la protection des données et à l'information et, simultanément, l'autorité de l'État membre de l'EEE identifiée ci-dessus.
- Article 17 : les parties conviennent que la juridiction compétente est la [Suisse].
- Article 18 : les parties conviennent que [les tribunaux de Suisse] sont compétents. Les parties conviennent d’interpréter les clauses contractuelles types de l’EEE afin que les personnes concernées en Suisse puissent intenter une action en justice pour leurs droits en Suisse conformément à l’article 18, point c).
- Les parties conviennent d'interpréter les clauses contractuelles types de l'EEE de manière à ce que les « personnes concernées » incluent les informations sur les entités juridiques suisses jusqu'à ce que la loi fédérale révisée sur la protection des données entre en vigueur.
Royaume-Uni.
1. « L'AITD » désigne l'Accord international de transfert de données publié par l'OIC et déposé devant le Parlement conformément à l'article s119A de la loi sur la protection des données 2018 du 2 février 2022, tel que modifié par le Bureau du commissaire à l'information du Royaume-Uni de temps à autre.
2. Les parties incorporent l'AIDT par référence et, en signant le présent ATD, elles s'engagent également à respecter les clauses obligatoires de l'AIDT pour les transferts à partir du Royaume-Uni qui ne font pas l'objet d'une décision d'adéquation ou d'une exception.
3. Conformément aux articles 5.2 et 5.3 de l’AIDT, les parties conviennent que les informations suivantes sont pertinentes pour les tableaux 1 à 4 de l’AIDT et qu’en modifiant le format et le contenu des tableaux, aucune des parties n’a l’intention de réduire les garanties appropriées (telles que définies dans l’AIDT).
  - Tableau 1 : les coordonnées, les contacts clés, les contacts des personnes concernées et les signatures des parties figurent dans le bloc de signature de l'ATD.
  - Tableau 2 :
    - La loi qui régit l’AIDT est l’Angleterre et le Pays de Galles.
    - Le principal lieu de réclamation juridique des parties est celui des tribunaux d’Angleterre.
    - Les statuts de l’exportateur de données et de l’importateur de données sont décrits à la pièce 1.
    - L’importateur de données déclare et garantit que le RGPD du Royaume-Uni ne s’applique pas à son traitement des données personnelles en vertu du Contrat.
    - La relation entre les accords énonçant les conditions de protection des données entre les parties, y compris la présente section, l’ATD et l’accord, est décrite à la section 1 de l’ATD.
    - La durée pendant laquelle les parties peuvent traiter les données personnelles est définie dans l’ATD.
    - L’AIDT est interdépendant de l’ATD. Aucune des parties ne peut résilier l’AIDT avant la fin de l’ATD, à moins que l’une des parties ne viole l’AIDT ou que les parties n’en conviennent par écrit.
    - L’importateur de données peut transférer des données personnelles à une autre organisation ou personne (qui est une entité juridique différente) si ce transfert est conforme aux clauses obligatoires applicables de l’AIDT.
    - Les parties examineront les exigences de sécurité énumérées dans le tableau 4, ainsi que les mesures supplémentaires décrites dans l'annexe 3, du présent ATD tous les douze (12) mois.
  - Tableau 3 :
    - Les catégories de données personnelles, les données sensibles, les personnes concernées et les finalités du traitement sont décrites à l’annexe 1. Cette description ne peut être mise à jour que par accord écrit des parties.
  - Tableau 4 :
    - Les mesures de sécurité adoptées par les parties sont décrites à l’annexe 2 du présent ADT. Ces mesures de sécurité ne peuvent être mises à jour que par accord écrit des parties.

Annexe 1 : description du traitement

Activité de traitement (nature et finalité du traitement ; catégories de personnes concernées)	Statut des parties en tant que contrôleurs ou sous-traitants	Statut des parties en tant qu’exportateurs ou importateurs de données	Catégories de données personnelles traitées	Catégories de données sensibles traitées	Fréquence de transfert	Sous-traitants ultérieurs d’Extensis qui prennent en charge l’activité de traitement	Module SCC applicable
Extensis traite les données personnelles pour fournir les services ou reçoit des données personnelles du client en relation avec les services ou collecte des données personnelles au nom du client.	Le client est un contrôleur. Extensis est un sous-traitant.	Le client est l’exportateur de données. Extensis est l’importateur de données et importe des données aux États-Unis.	Toutes les données personnelles que le client divulgue à Extensis ou qu’Extensis recueille pour le compte du client.	Aucun	Continu	Amazon Web services Avalara Azure BlueSnap Calendy ChurnZero Clarifai Datadog DoubleClick Dynamics NAV Facebook Gong google-analytics.com HotJar Hubspot keylight Subscription Suite Linkedin Sales Navigator Mailchimp/Mandrill Microsoft Corporation Mimecast Mission Cloud NachoNacho Okta PartnerStack Pendo Revulytics (Revenera) Salesforce SendGrid Slack Surveymonkey Zendesk Zenduty Zoom Zuora	Module 2
Extensis recueille les données personnelles des employés, du personnel, des contractants ou des agents du client pour fournir des services professionnels en soutien aux services.	Le client est un contrôleur. Extensis est un contrôleur.	Le client est l’exportateur de données. Extensis est l’importateur de données et importe des données aux États-Unis.	Nom, adresse e-mail, autres informations de contact et identifiant unique de l'utilisateur final. En résumé, Extensis est un sous-traitant en ce qui concerne les données personnelles que le client fournit sur ses clients ou ses utilisateurs finaux.	Aucun	Continu		Module 1
Extensis traite les données du compte dans le cadre de ses obligations en vertu de l'accord sur le logiciel en tant que service.	Le client est un contrôleur. Extensis est un contrôleur.	Le client est l’exportateur de données. Extensis est l’importateur de données et importe des données aux États-Unis.	Données relatives aux comptes que le personnel du client peut créer dans le cadre de l'utilisation des services, y compris les noms ou les coordonnées des personnes autorisées par le client à accéder au compte du client et les informations de facturation des personnes que le client a associées à son compte. Analyse, utilisation, télémétrie, données et journaux générés par Extensis lorsque le personnel du client utilise les services. Données qu’Extensis peut avoir besoin de collecter à des fins de vérification d’identité.	Aucun	Continu		Module 1
Les parties traitent les données personnelles de leur personnel respectif afin, par exemple, (a) d'administrer et de fournir les services ; (b) de gérer les factures ; (c) de gérer l'accord et de résoudre tout litige y afférent ; (d) de répondre et/ou de soulever des questions générales ; et (e) de se conformer à leurs obligations réglementaires respectives.	Le client est un contrôleur. Extensis est un contrôleur.	Le client est l’exportateur de données. Extensis est l’importateur de données et importe des données aux États-Unis.	Nom, titre et coordonnées du personnel des parties.	Aucun	Continu		Module 1

Annexe 2 : mesures de sécurité techniques et organisationnelles

En sa qualité de Sous-traitant, Extensis a mis en œuvre une politique écrite de sécurité de l’information qui traite des éléments suivants :

Rôles et responsabilités pour la gestion des contrôles de sécurité.
Mesures disciplinaires pour les employés.
Gestion des exceptions.
Évaluations des risques.
Formation des employés.
Gestion des actifs et chiffrement.
Sécurité physique et environnementale.
Contrôles d’accès.
Journalisation et surveillance.
Intervention en cas d’incident.
Continuité d’activité et reprise après sinistre.
Appareils mobiles et télétravail.

Extensis utilise une solution sécurisée pour faciliter les transferts de données personnelles avec les clients.

CREATIVE INTELLIGENCE SUITE

EN SAVOIR PLUS