Addendum sur le traitement des données GDPR
Le présent Accord de traitement des données du Règlement général sur la protection des données (le présent " RGPD ") est conclu par et entre Celartem, Inc. d.b.a. Extensis ou LizardTech (" Extensis ") et Partner, et régit le Traitement par Extensis des Données à caractère personnel dans la mesure où ces Données à caractère personnel concernent des personnes physiques de l'Espace économique européen (" EEE "), du Royaume-Uni (" RU ") ou de la Suisse dans le cadre des obligations d'Extensis en vertu de l'Accord. Sauf indication contraire, tous les termes en majuscules utilisés mais non définis dans le présent DPA ont la signification qui leur est donnée dans le Règlement (UE) 2016/679, le Règlement général sur la protection des données ("RGPD").
Les parties conviennent qu'aux fins du présent DPA, le Partenaire est un contrôleur de données et Extensis est un processeur de données.
- Droit applicable. Extensis déclare et garantit qu'elle est en conformité avec toutes les lois applicables en matière de protection des données.
- Instructions du partenaire. Extensis ne traitera les Données Personnelles que sur instructions documentées du Partenaire, y compris en ce qui concerne les transferts de Données Personnelles vers un pays tiers ou une organisation internationale, à moins que le droit de l'Union européenne ou d'un Etat membre auquel Extensis est soumise ne l'exige. Extensis informera rapidement le partenaire si le fait de suivre les instructions du partenaire entraîne une violation de la législation applicable en matière de protection des données ou si Extensis doit divulguer des données à caractère personnel en réponse à une obligation légale (à moins que l'obligation légale n'interdise à Extensis de procéder à une telle divulgation). Pour éviter toute ambiguïté, les instructions documentées du partenaire incluent la présente DPA.
- Confidentialité. Extensis limitera l'accès aux données personnelles aux personnes autorisées qui ont besoin de ces informations pour fournir les services. Extensis s'assurera que ces personnes autorisées sont tenues de préserver la confidentialité des données personnelles.
- Sécurité. Extensis mettra en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux données personnelles fournies par le partenaire et traitées par Extensis.
- Sous-traitants. Le Partenaire accepte qu'Extensis fasse appel à d'autres sous-traitants ("Sous-traitants") pour l'aider à fournir les Services conformément au présent DPA. Extensis mettra à disposition une liste de ces sous-traitants par le biais d'un lien sur le site web. Le partenaire disposera de 30 jours calendaires à compter de la date de mise à jour de la liste pour s'opposer à l'utilisation par Extensis de nouveaux sous-traitants, après quoi le partenaire sera réputé avoir accepté la liste des sous-traitants d'Extensis. L'objection du partenaire ne sera effective que s'il articule des raisons objectives et justifiables pour lesquelles il estime que les nouveaux sous-traitants ne sont pas en mesure de protéger adéquatement les données à caractère personnel conformément à la présente DPA ou à la législation applicable en matière de protection des données.
- Obligations des sous-traitants. Lorsqu'Extensis engage un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques au nom du partenaire, les mêmes obligations de protection des données que celles énoncées dans le présent DPA seront imposées à ce sous-traitant ultérieur par le biais d'un contrat ou d'un autre acte juridique en vertu de la législation de l'UE ou de l'État membre, en particulier en fournissant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la législation de l'UE en matière de protection des données. Si ce Sous-Traitant ne remplit pas ses obligations en matière de protection des données, Extensis restera pleinement responsable envers le Partenaire de l'exécution des obligations de ce Sous-Traitant.
- Demandes d'accès. Extensis a mis en œuvre et maintiendra les mesures techniques et organisationnelles appropriées nécessaires pour permettre au Partenaire de répondre aux demandes d'accès, de correction, de transmission, de limitation du traitement ou de suppression de toutes les données personnelles pertinentes détenues par Extensis.
- Tenue de registres. À la demande d'une autorité de contrôle qui souhaite obtenir des informations sur les données personnelles, Extensis coopérera pour fournir à l'autorité de contrôle des informations sur les activités de traitement effectuées pour le compte du partenaire, y compris des informations sur les catégories de données personnelles traitées et les finalités du traitement, le recours à des prestataires de services pour ce traitement, toute divulgation ou tout transfert de données à des tiers et une description générale des mesures techniques et organisationnelles visant à protéger la sécurité de ces données.
- Coopération. Extensis coopérera dans la mesure raisonnablement nécessaire en rapport avec les demandes du partenaire liées aux évaluations d'impact sur la protection des données et à la consultation des autorités de contrôle, ainsi que pour le respect de l'obligation du partenaire de répondre aux demandes d'exercice des droits d'une personne concernée au titre du chapitre III du GDPR. Extensis se réserve le droit de facturer au partenaire ses coûts raisonnables de collecte et de préparation des données à caractère personnel en vue de leur transfert, ainsi que les dispositions spéciales prises pour effectuer le transfert.
- Demandes de tiers. Si Extensis reçoit une demande d'un tiers dans le cadre d'une enquête gouvernementale ou d'une procédure judiciaire qui, selon Extensis, l'obligerait à produire des données personnelles, Extensis informera le partenaire par écrit de cette demande et coopérera avec le partenaire si ce dernier souhaite limiter, contester ou se protéger contre une telle divulgation, dans la mesure permise par le droit applicable.
- LePartenaire autorise Extensis à transférer, stocker ou traiter les Données Personnelles aux Etats-Unis ou dans tout autre pays dans lequel Extensis ou ses Sous-Traitants disposent d'installations. Le Partenaire nomme Extensis pour effectuer un tel transfert de Données Personnelles vers un tel pays et pour stocker et traiter les Données Personnelles afin de fournir les Services. Extensis mènera toutes ces activités conformément à la présente DPA, au droit applicable et aux instructions du partenaire.
- Transferts de données en dehors de l'UE. Dans la mesure où les Services impliquent un transfert de Données à caractère personnel provenant des systèmes de l'une ou l'autre partie dans l'EEE, au Royaume-Uni ou en Suisse vers les systèmes d'Extensis situés dans des pays en dehors de l'EEE, du Royaume-Uni ou de la Suisse qui n'ont pas reçu de décision d'adéquation contraignante de la part de l'autorité compétente, les parties exécuteront les clauses contractuelles types applicables annexées à la Décision d'exécution (UE) 2021/914 de la Commission européenne et, dans le cas du Royaume-Uni, l'accord international sur le transfert de données publié par l'Information Commissioner's Office (bureau du commissaire à l'information).
- Conservation. Les données personnelles reçues du partenaire ne seront conservées que pendant la durée raisonnablement nécessaire à l'exécution par Extensis du présent DPA ou pendant la durée requise par le droit applicable.
- Suppression ou retour. Au choix du partenaire, Extensis supprimera ou renverra toutes les données personnelles traitées dans le cadre des services au partenaire après la fin de la fourniture de ces services, et supprimera les copies existantes, à moins que le droit applicable n'exige le stockage des données personnelles. Extensis transmettra les instructions du Partenaire à tous les Sous-Traitants.
- Notification de violation. Après avoir pris connaissance d'une violation de données à caractère personnel, Extensis informera le Partenaire dans les meilleurs délais : (a) de la nature de la violation de données ; (b) du nombre et des catégories de personnes concernées et d'enregistrements de données affectés ; et (c) du nom et des coordonnées de la personne de contact concernée chez Extensis.
- Audits. Sur demande, Extensis mettra à la disposition du partenaire toutes les informations nécessaires, et autorisera et contribuera aux audits, y compris les inspections, menés par le partenaire ou un autre auditeur mandaté par le partenaire, afin de démontrer la conformité avec l'article 28 du GDPR. Pour plus de clarté, ces audits ou inspections sont limités au traitement des données personnelles par Extensis uniquement, et non à tout autre aspect de l'activité ou des systèmes d'information d'Extensis. Si le Partenaire demande à Extensis de contribuer à des audits ou inspections nécessaires pour démontrer la conformité, le Partenaire fournira à Extensis une notification écrite au moins 60 jours avant l'audit ou l'inspection. Cette notification écrite précisera les éléments, les personnes, les lieux ou les documents à mettre à disposition. Cette notification écrite, et tout ce qui est produit en réponse à cette notification (y compris tout produit de travail dérivé tel que des notes d'entretien), seront considérés comme des informations confidentielles et resteront des informations confidentielles à perpétuité ou pendant la période la plus longue autorisée par la loi applicable après la résiliation du présent accord de partenariat et de coopération. Ces documents et produits dérivés réalisés en réponse à la demande du partenaire ne seront divulgués à personne sans l'autorisation écrite préalable d'Extensis, à moins qu'une telle divulgation ne soit requise par la loi applicable. Si la divulgation est requise par la loi applicable, le partenaire informera Extensis par écrit dans les meilleurs délais de cette exigence et lui donnera la possibilité d'obtenir une ordonnance de protection afin d'interdire ou de limiter cette divulgation, sauf dans la mesure où une telle notification est interdite par la loi applicable ou par l'ordonnance d'un tribunal ou d'une agence gouvernementale. Le partenaire s'efforcera de coopérer avec Extensis pour programmer des audits ou des inspections à des moments qui conviennent à Extensis. Si, après avoir examiné la réponse d'Extensis à la demande d'audit ou d'inspection du partenaire, ce dernier exige des audits ou des inspections supplémentaires, le partenaire reconnaît et accepte qu'il sera seul responsable de tous les coûts encourus en relation avec ces audits ou inspections supplémentaires.