Le présent avenant relatif au traitement des données ("DPA") fait partie de l'accord ou des accords et est conclu par et entre le client et le prestataire de services à la date d'entrée en vigueur. Pour éviter toute ambiguïté, le présent DPA n'est pas valable ni juridiquement contraignant s'il n'existe pas d'accord(s) entre le client et le prestataire de services.

Le présent DPA entre en vigueur le 25 mai 2018 ou à la date d'acceptation de l'accord ou des accords, la date la plus tardive étant retenue (la "date d'entrée en vigueur").

  1. DÉFINITIONS

    1. “Accord(s)” désigne l'accord conclu entre le Client et le Prestataire de services pour la fourniture des Services du Prestataire de services au Client en ce qui concerne les produits Kerio. Notre (nos) accord(s) se trouve(nt) ici: https://www.gfi.com/fr/legal.

    2. “Client” désigne l'entité juridique qui reçoit les services en vertu de l'accord ou des accords, y compris toutes les sociétés affiliées à cette entité, le cas échéant.

    3. “EEA” désigne l'Espace économique européen.

    4. “Règles de l'UE” désigne les lois et règlements de l'Union européenne, de l'Espace économique européen, de leurs États membres et du Royaume-Uni, applicables au traitement des données à caractère personnel dans le cadre du ou des accords, y compris (le cas échéant) le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 également connu sous le nom de règlement général sur la protection des données. (“RGPD”).

    5. “Bouclier de protection de la vie privée” fait référence au cadre de principes de protection de la vie privée UE-États-Unis convenu le 2 février 2016 et formellement adopté par la décision d'exécution de la Commission européenne C(2016) 4176 final du 12 juillet 2016, ou tout autre cadre de transfert de données à caractère personnel de l'EEE ou de la Suisse vers les États-Unis approuvé par la Commission européenne comme offrant un niveau de protection adéquat conformément à la réglementation de l'UE.

    6. “Services” désigne les services et autres activités à fournir ou à réaliser par ou pour le compte du prestataire de services pour le client conformément au(x) contrat(s).

    7. “Prestataire de services” désigne l'entité juridique qui est partie au(x) contrat(s) et qui traite les données à caractère personnel pour le compte du client.

    8. “Clauses contractuelles types” désigne les clauses contractuelles types pour le transfert de données à caractère personnel d'un contrôleur de données de l'EEE à des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE de l'UE sur la protection des données (la "directive"), ou de toute législation remplaçant la directive, sous la forme prévue à l'annexe de la décision 2010/87/UE de la Commission européenne (ou toute décision alternative ou succédant à celle-ci approuvant de nouvelles clauses contractuelles types pour les transferts à des sous-traitants de données dans des pays tiers), telle que modifiée en incorporant la description des données à caractère personnel à transférer figurant à l'appendice 1 du présent DPA et les mesures techniques et organisationnelles à mettre en œuvre figurant à l'appendice 2 du présent DPA. Les clauses contractuelles types sont disponibles sur le site web de la Commission européenne à l'adresse suivante: http://ec.europa.eu/justice/data-protection/international-transfers/files/clauses_for_personal_data_transfer_processors_c2010-593.doc.

  2. APPLICABILITÉ ; RÔLES DES PARTIES

    1. Le présent DPA modifie et complète le(s) contrat(s) conclu(s) entre les parties. Les termes de ce DPA s'appliqueront à tous les traitements de données à caractère personnel en relation avec les services fournis selon les termes du (des) contrat(s). Le présent DPA ne s'applique pas au traitement des données à caractère personnel lorsque ce traitement n'est pas régi par les règles de l'UE.

    2. Les termes en majuscules utilisés mais non définis dans la présente DPA ont la signification qui leur est attribuée dans le(s) Accord(s) ou les Règles de l'UE. Les "données à caractère personnel", telles qu'elles sont utilisées dans la présente DPA, comprennent toutes les données relatives aux personnes concernées situées dans l'EEE et en Suisse qui sont traitées par le Prestataire de services pour le compte du Client dans le cadre de l'Accord ou des Accords.

    3. Dans le cadre du présent DPA, le client agit en tant que contrôleur de données et le prestataire de services en tant que sous-traitant de données en ce qui concerne le traitement des données à caractère personnel.

    4. Le prestataire de services fournira les services et traitera les données à caractère personnel reçues du client comme indiqué dans le(s) contrat(s) ou comme notifié par écrit par le client au prestataire de services pendant la durée du(des) contrat(s). Si, de l'avis du prestataire de services, une instruction de traitement donnée par le client est susceptible d'enfreindre les règles de l'UE, le prestataire de services en informera immédiatement le client dès qu'il aura connaissance d'une telle instruction de traitement.

    5. Le prestataire de services s'engage à tout moment à respecter les règles de l'UE et à ne pas exécuter ses obligations au titre du ou des contrats de manière à amener le client à enfreindre l'une quelconque de ses obligations applicables en vertu des règles de l'UE et de toute réglementation existante émise par les autorités compétentes en matière de protection des données.

  3. PROTECTION DES DONNÉES

    1. Toutes les données à caractère personnel fournies au prestataire de services par le client ou obtenues par le prestataire de services dans le cadre de son travail avec le client doivent être protégées et ne peuvent être copiées, divulguées ou traitées de quelque manière que ce soit sans l'autorisation écrite du client. Dans la mesure où les dispositions du/des Contrat(s) ou les instructions du Client nécessitent la copie, la divulgation ou le traitement de données, ceci sera considéré comme constituant l'autorisation requise pour ce faire.

    2. Le prestataire de services accepte de se conformer périodiquement à toutes les mesures raisonnables requises par le client pour garantir que ses obligations au titre du présent DPA sont remplies de manière satisfaisante, conformément à l'ensemble de la législation applicable. Cela inclut tout conseil en matière de bonnes pratiques que le client notifie au prestataire de services.

  4. TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL

    1. Lorsque le prestataire de services traite des données à caractère personnel (qu'elles soient stockées sous forme d'enregistrements physiques ou électroniques) pour le compte du client, il doit:

      1. Traiter les données à caractère personnel uniquement dans la mesure et de la manière nécessaires pour se conformer aux obligations qui lui incombent en vertu du ou des accords ou comme l'exige la loi, y compris les règles de l'UE et toutes les lois, règles ou réglementations existantes émises par les autorités compétentes en matière de protection des données;

      2. Mettre en œuvre les mesures techniques et organisationnelles appropriées et prendre les dispositions nécessaires pour protéger les données à caractère personnel contre un traitement non autorisé ou illicite et contre la perte, la destruction, l'endommagement, l'altération ou la divulgation accidentels, et fournir rapidement les détails de ces mesures à la demande du client ; ces mesures de sécurité sont énoncées à la section 6 du présent RGPD ; et

      3. À la demande du client, lui fournir rapidement les détails des systèmes techniques et organisationnels mis en place pour garantir la sécurité des données à caractère personnel détenues et empêcher tout accès non autorisé.

    2. Le client reconnaît et accepte que (a) les sociétés affiliées du prestataire de services peuvent être retenues comme sous-traitants ; et (b) le prestataire de services et les sociétés affiliées du prestataire de services peuvent respectivement engager des sous-traitants tiers dans le cadre de la fourniture des services. Le Prestataire de services s'assurera que tout tiers auquel il sous-traite un traitement a conclu un contrat écrit avec le Prestataire de services contenant des dispositions similaires à celles du présent DPA, dans la mesure où elles sont applicables à la nature des Services fournis par ce Sous-Traitant. À la demande du client, le prestataire de services mettra à sa disposition la liste actuelle des sous-traitants secondaires avec leur pays d'implantation. Si le prestataire de services fournit des services d'hébergement dans le cadre de l'accord ou des accords, le client accepte et reconnaît que le prestataire de services est autorisé à héberger les données à caractère personnel dans un centre de données tiers.

    3. Sauf si les lois applicables exigent la conservation de ces données à caractère personnel, le prestataire de services accepte, dans le cas où le client lui notifie qu'il n'est pas tenu de fournir d'autres services au client en vertu du présent DPA, de transférer au client une copie de toutes les informations (y compris les données à caractère personnel) qu'il détient en relation avec le présent DPA dans un format choisi par le client (à condition que le client prenne en charge les coûts associés) et/ou, à la demande du client, de détruire toutes ces informations à l'aide d'une méthode sécurisée garantissant qu'aucun tiers ne peut y avoir accès, et de fournir au client une confirmation écrite de l'élimination sécurisée.

    4. Tous les droits d'auteur, droits sur les bases de données et autres droits de propriété intellectuelle sur les données à caractère personnel traitées en vertu du présent DPA (y compris, mais sans s'y limiter, toutes les mises à jour, modifications ou adaptations des données à caractère personnel par le client ou le prestataire de services) appartiendront au client. Le prestataire de services est autorisé à utiliser ces données uniquement pendant la durée du présent DPA et conformément à celui-ci.

  5. DROITS DES PERSONNES CONCERNÉES

    1. Dans la mesure où la loi le permet, le Prestataire de services informera rapidement le Client s'il reçoit une demande d'une Personne concernée visant à exercer le droit d'accès, le droit de rectification, la limitation du Traitement, l'effacement, la portabilité des données, l'opposition au Traitement ou le droit de ne pas faire l'objet d'une décision individuelle automatisée (chacun étant une "Demande de la Personne concernée"). Compte tenu de la nature du Traitement, le Prestataire de services aidera le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'exécution de l'obligation du Client de répondre à une Demande de la personne concernée en vertu du Chapitre III du GDPR. Sauf dans la mesure où la loi applicable l'exige, le prestataire de services ne répondra pas à une telle demande de la personne concernée sans le consentement écrit préalable du client, sauf pour confirmer que la demande concerne le client.

    2. En outre, dans la mesure où le client, dans son utilisation des services, n'a pas la capacité de répondre à une demande de la personne concernée, le prestataire de services doit, à la demande du client, déployer des efforts commercialement raisonnables pour aider le client à répondre à cette demande de la personne concernée, dans la mesure où le prestataire de services est légalement autorisé à le faire et à condition que cette demande de la personne concernée soit requise en vertu des règles de l'Union européenne applicables. Tous les coûts découlant de cette assistance sont à la charge du client, dans la mesure où cela est légalement autorisé.

  6. SÉCURITÉ

    1. En tenant compte de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le prestataire de services veille à ce que, pour toutes les données à caractère personnel qu'il reçoit du client ou qu'il traite pour le compte de celui-ci, il maintienne des mesures de sécurité d'un niveau approprié aux éléments suivants : (a) du préjudice qui pourrait résulter d'un traitement illégal ou non autorisé ou d'une perte, d'un dommage ou d'une destruction accidentels des données à caractère personnel ; et (b) de la nature des données à caractère personnel.

    2. En ce qui concerne les données à caractère personnel, le Prestataire de services met en œuvre et maintient les mesures de sécurité techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté à ce risque, y compris, le cas échéant, les mesures visées à l'article 32, paragraphe 1, du GDPR, et en particulier celles liées à d'éventuelles violations de données à caractère personnel. En particulier, le Prestataire de services doit:

      1. mettre en place et respecter une politique de sécurité qui : (a) définit les besoins en matière de sécurité sur la base d'une évaluation régulière de l'impact sur la vie privée ("PIA") ; (b) attribue la responsabilité de la mise en œuvre de la politique à une personne spécifique ou aux membres d'une équipe, y compris la mise en place d'un délégué à la protection des données ("DPO") ; (c) 5.3.1.3 est diffusée à tous les membres, bénévoles et employés concernés ; et (d) prévoit un mécanisme de retour d'information et d'examen;

      2. veiller à ce que des mesures de sécurité et de protection contre les virus appropriées soient mises en place pour protéger le matériel et les logiciels utilisés dans le cadre du traitement des données à caractère personnel, conformément aux meilleures pratiques de l'industrie;

      3. empêcher l'accès non autorisé aux données à caractère personnel;

      4. veiller à ce que le stockage des données à caractère personnel soit conforme aux pratiques du secteur, de sorte que les supports sur lesquels les données à caractère personnel sont enregistrées (y compris les documents papier et les documents stockés électroniquement) soient stockés dans des lieux sûrs et que l'accès du personnel aux données à caractère personnel soit strictement surveillé et contrôlé;

      5. mettre en place des méthodes sécurisées pour le transit des données à caractère personnel au sein du portail d'assistance à la clientèle (par exemple, en utilisant le cryptage);

      6. utiliser une protection par mot de passe pour les systèmes informatiques sur lesquels les données à caractère personnel sont stockées et veiller à ce que seul le personnel autorisé reçoive les détails du mot de passe;

      7. prendre des mesures raisonnables pour garantir la fiabilité de tout employé, agent, contractant ou autre personne ayant accès aux données à caractère personnel, en veillant dans chaque cas à ce que l'accès soit strictement limité aux personnes qui ont besoin de connaître les données à caractère personnel en question ou d'y accéder, dans la mesure où cela est strictement nécessaire aux fins de l'accord ou des accords, et pour se conformer aux règles de l'UE dans le cadre des fonctions de cette personne auprès du prestataire de services;

      8. s'assurer que tous les employés, agents, sous-traitants ou autres personnes devant accéder aux données à caractère personnel sont informés de la nature confidentielle des données à caractère personnel et respectent les obligations énoncées dans le présent DPA;

      9. veiller à ce qu'aucun des employés, agents, sous-traitants ou autres personnes ayant accès aux données à caractère personnel ne publie, ne divulgue ou ne divulgue aucune des données à caractère personnel à un tiers, à moins que le client ne le lui demande par écrit;

      10. mettre en place des méthodes de détection et de traitement des violations de la sécurité (y compris la perte, l'endommagement ou la destruction de données à caractère personnel), y compris : (a) la capacité d'identifier les personnes qui ont travaillé avec des données à caractère personnel spécifiques ; et (b) la mise en place d'une procédure appropriée pour enquêter sur les violations des principes de protection des données énoncés dans les règles de l'UE et pour y remédier, y compris des enregistrements écrits;

      11. disposer d'une procédure sécurisée de sauvegarde et de stockage des copies de sauvegarde séparément des originaux ; et

      12. disposer d'une méthode sûre d'élimination des données à caractère personnel non désirées, y compris les sauvegardes, les disques, les impressions et les équipements redondants.

    3. Le Prestataire de services fournira au Client la documentation pertinente, telle qu'un rapport d'audit (sur demande écrite et sous réserve des obligations de confidentialité), concernant toute évaluation d'impact sur la protection des données, et les consultations préalables avec les autorités de contrôle ou autres autorités compétentes en matière de confidentialité des données, lorsque le Client considère raisonnablement que de telles évaluations d'impact sur la protection des données ou consultations préalables sont requises en vertu de l'article 35 ou 36 du GDPR ou en vertu des dispositions équivalentes de toute autre règle de l'UE, mais dans chaque cas uniquement en ce qui concerne le Traitement des Données à caractère personnel par le Prestataire de services, et en tenant compte de la nature du Traitement et des informations dont dispose le Prestataire de services. Cet audit sera réalisé aux frais du Client, dans la mesure où la loi le permet.

  7. GESTION ET NOTIFICATION DES VIOLATIONS DE LA SÉCURITÉ

    1. Le Prestataire de services doit, conformément aux Règles de l'UE, notifier le Client et/ou l'autorité de contrôle dès qu'une (la " violation de données à caractère personnel ") concernant les données à caractère personnel se produit, mais au plus tard dans les 48 heures suivant la découverte d'une telle violation de données à caractère personnel. La notification ou la réponse du Prestataire de services à une violation de données à caractère personnel en vertu du présent article 7.1 ne sera pas interprétée comme une reconnaissance par le Prestataire de services d'une faute ou d'une responsabilité en ce qui concerne la violation de données à caractère personnel.

    2. Le Prestataire de services déploiera des efforts raisonnables pour identifier la cause de cette violation de données à caractère personnel et s'engage à le faire rapidement et sans retard injustifié : (a) enquêter sur la violation de données à caractère personnel et fournir au client des informations sur la violation de données à caractère personnel, y compris, le cas échéant, les informations qu'un responsable du traitement des données doit fournir à un contrôleur des données en vertu de l'article 33(3) du GDPR, dans la mesure où ces informations sont raisonnablement disponibles ; et (b) prendre des mesures raisonnables pour atténuer les effets et minimiser tout dommage résultant de la violation de données à caractère personnel, dans la mesure où la remédiation est sous le contrôle raisonnable du Prestataire de services Les obligations prévues aux présentes ne s'appliquent pas à toute violation causée par le client ou les utilisateurs autorisés. La notification sera adressée au client conformément à l'article 7.3 ci-dessous.

    3. La ou les notifications de violations de données à caractère personnel, le cas échéant, seront transmises à un ou plusieurs des contacts commerciaux, techniques ou administratifs du Client par tout moyen choisi par le Prestataire de services, y compris par courrier électronique. Il est de la seule responsabilité du Client de s'assurer qu'il maintient des informations de contact exactes sur les systèmes de support du Prestataire de service à tout moment.

  8. OBLIGATIONS DU CLIENT

    Le client est seul responsable:

    1. Respecter, à tout moment, les règles de l'UE en ce qui concerne le traitement des données à caractère personnel dans le cadre de l'accord ou des accords et des services ;

    2. S'assurer que le traitement des données à caractère personnel par le prestataire de services est licite ;

    3. Le cas échéant, s'assurer que des consentements juridiquement contraignants à la collecte, à l'accès, à l'utilisation, à la maintenance et/ou à la divulgation des données personnelles conformément aux règles de l'UE et aux politiques et procédures du client ont été obtenus de chaque individu et entité (y compris, mais sans s'y limiter, les consommateurs, les clients commerciaux et/ou les employés et sous-traitants du client) à qui les données personnelles se rapportent ;

    4. Rendre les données à caractère personnel contenues dans ses systèmes inutilisables, illisibles ou indéchiffrables pour les personnes non autorisées, conformément aux normes du secteur, à la législation applicable et à tout code de conduite pertinent ;

    5. Mettre en place les mesures de sécurité de l'information applicables et les politiques associées pour protéger les données à caractère personnel dans ses installations. Le Client doit communiquer au Prestataire, avec un préavis raisonnable et par écrit, les mesures de protection et les politiques pertinentes lorsque le Prestataire fournit des services dans une installation du Client ou accède aux systèmes du Client ;

    6. Informer rapidement le prestataire de services de toute politique qu'il met en œuvre en matière de traitement et de protection des données à caractère personnel, en donnant des instructions expresses sur la manière dont ces politiques doivent être mises en œuvre par le prestataire de services ;

    7. Informer rapidement le fournisseur de services de toute demande d'effacement des données personnelles de la personne concernée, en donnant des instructions détaillées sur la manière dont le fournisseur de services doit répondre à la demande ; et

    8. Fournir au Fournisseur de services et mettre à jour rapidement, si nécessaire, les informations indiquées ci-dessous (le cas échéant) : (a) identité et coordonnées du Délégué à la protection des données du Client ; (b) identité et coordonnées du représentant de l'UE du Client ; (c) description des catégories de Traitement effectuées par le Client en ce qui concerne les Services ; (d) types de Données à caractère personnel à traiter ; et (e) catégories de Personnes concernées auxquelles les Données à caractère personnel se rapportent.

  9. TRANSFERTS INTERNATIONAUX DE DONNÉES

    1. Le Prestataire ne transférera les données à caractère personnel en dehors de l'EEE, lorsque ces transferts sont régis par les Règles de l'UE, qu'en conformité avec les Règles de l'UE. Le Client autorise le Prestataire de services (et autorise le Prestataire de services à autoriser ses Sous-traitants) à traiter les Données à caractère personnel et à les transférer vers les pays ou territoires où ces Sous-traitants sont situés, conformément au(x) Contrat(s) et à la présente DPA.

    2. Transferts en application des clauses contractuelles types

      1. Les Clauses Contractuelles Types s'appliquent aux Données Personnelles transférées depuis l'EEE, directement ou par transfert ultérieur, vers tout pays ou destinataire : (i) non reconnu par la Commission européenne comme assurant un niveau de protection adéquat des données personnelles (tel que décrit dans la Directive européenne sur la protection des données et toute législation lui succédant), et (ii) non couvert par un cadre approprié reconnu par les autorités ou tribunaux compétents comme assurant un niveau de protection adéquat des données personnelles, y compris, mais sans s'y limiter, le cadre du Bouclier de protection de la vie privée UE/États-Unis.

      2. Lorsque les clauses contractuelles types s'appliquent conformément à la section 9.2.1:

        1. Le Prestataire de services accepte de se conformer aux termes des Clauses contractuelles standard, aux fins desquelles le Client et ses affiliés établis dans l'EEE seront considérés comme le(s) Exportateur(s) de données et le Prestataire de services sera considéré comme l'Importateur de données;

        2. le droit applicable en vertu de l'article 9 des Clauses contractuelles types est le droit de l'exportateur de données;

        3. si la législation ou les procédures réglementaires de toute juridiction l'exigent, les parties ou le prestataire de services et l'une ou plusieurs de ses sociétés affiliées établies dans l'EEE, le cas échéant, exécutent ou réexécutent les clauses contractuelles types en tant que documents distincts exposant les transferts de données à caractère personnel proposés de la manière requise;

        4. en cas de contradiction entre les dispositions des clauses contractuelles types et le présent DPA, le contrat ou d'autres accords entre les parties concernant les services, les clauses contractuelles types prévalent;

        5. si les clauses contractuelles types sont modifiées, remplacées ou abrogées par la Commission européenne ou en vertu des règles de l'UE, les parties collaborent de bonne foi pour conclure toute version actualisée des clauses contractuelles types ou négocier de bonne foi une solution permettant d'effectuer un transfert de données à caractère personnel en conformité avec les règles de l'UE ; et

        6. les parties conviennent que la certification de la suppression des données à caractère personnel décrite dans la clause 12(1) des clauses contractuelles types ne sera fournie par l'importateur de données à l'exportateur de données qu'à la demande de ce dernier.

    3. Transferts effectués dans le cadre du bouclier de protection de la vie privée

      1. En ce qui concerne les données à caractère personnel transférées par le client au prestataire de services conformément au cadre du bouclier de protection de la vie privée UE-États-Unis ou Suisse-États-Unis, le prestataire de services ne traitera ces données à caractère personnel qu'en stricte conformité avec les principes du bouclier de protection de la vie privée UE-États-Unis ou Suisse-États-Unis et les principes complémentaires.

  10. CONDITIONS GÉNÉRALES

    1. La responsabilité de chaque partie et de toutes ses sociétés affiliées, prise dans son ensemble, découlant de ou liée à ce DPA, que ce soit dans le cadre d'un contrat, d'un délit ou de toute autre théorie de la responsabilité, est soumise à la section relative à la limitation de la responsabilité du/des contrat(s), et toute référence dans cette section à la responsabilité d'une partie signifie la responsabilité globale de cette partie et de toutes ses sociétés affiliées dans le cadre du/des contrat(s) et de ce DPA.

    2. Aucune altération, aucun amendement ou aucune modification de ce DPA ne sera valide à moins d'être écrit et signé par un représentant autorisé des deux parties.

    3. Toute ambiguïté dans les termes de ce DPA sera résolue pour permettre au prestataire de services ou au client de se conformer aux lois applicables.

    4. Le présent DPA constitue l'accord intégral et complet entre les parties en ce qui concerne la confidentialité et la sécurité des données à caractère personnel et remplace tous les autres accords, déclarations ou ententes, qu'ils soient oraux ou écrits. Toutes les clauses de l'accord ou des accords qui ne sont pas explicitement modifiées ou complétées par les clauses du présent DPA, et tant que cela n'est pas en contradiction avec les exigences obligatoires des règles de l'UE, en vertu du présent DPA, restent pleinement en vigueur et s'appliquent, y compris, mais sans s'y limiter : Droit applicable et règlement des litiges, juridiction, limitation de la responsabilité (dans toute la mesure permise par les règles de l'UE).

    5. Si une disposition de ce DPA est jugée invalide ou inapplicable en vertu d'une loi applicable, la disposition invalide ou inapplicable sera considérée comme remplacée par une disposition valide et applicable qui se rapproche le plus de l'intention de la disposition originale et le reste du DPA restera en vigueur.

    6. Si le prestataire de services détermine qu'il n'est plus en mesure de respecter ses obligations conformément au présent DPA, il en informera rapidement le client et cessera le traitement ou prendra d'autres mesures raisonnables et appropriées pour remédier à la situation.

    7. Les notifications requises au titre du présent DPA doivent être envoyées conformément à l'accord ou aux accords, avec une copie (qui ne constitue pas une notification par courrier électronique) à l'adresse suivante: legal@gfi.com.

 

ANNEXE 1 AUX CLAUSES CONTRACTUELLES TYPES

La présente annexe fait partie des clauses contractuelles types et doit être complétée et signée par les parties.

Les États membres peuvent compléter ou préciser, selon leurs procédures nationales, toute information supplémentaire nécessaire devant figurer dans cette annexe.

Exportateur de données

L'exportateur de données est (veuillez préciser brièvement vos activités en rapport avec le transfert) :

L'exportateur de données est l'entité juridique qui a signé le(s) accord(s) avec l'importateur de données.

Importateur de données

L'importateur de données est (veuillez préciser brièvement les activités liées au transfert) :

L'importateur de données est l'entité juridique qui a signé le(s) accord(s) avec l'exportateur de données et qui traite les données à caractère personnel sur instruction de l'exportateur de données conformément aux termes du(des) accord(s).

Personnes concernées

Les données à caractère personnel transférées concernent les catégories suivantes de personnes concernées (veuillez préciser) :

Les catégories de personnes concernées, telles que déterminées par l'exportateur de données, peuvent inclure les représentants des clients et les utilisateurs (finaux), tels que les employés, les candidats à l'emploi, les entrepreneurs, les collaborateurs, les partenaires, les fournisseurs et les clients du client.

Catégories de données

Les données à caractère personnel transférées concernent les catégories de données suivantes (veuillez préciser) :

Les catégories de données personnelles, telles que déterminées par l'exportateur de données, peuvent inclure, entre autres informations, les coordonnées personnelles telles que le nom, l'adresse, le numéro de téléphone ou de portable, le numéro de fax, l'adresse électronique et les mots de passe ; les détails relatifs à l'emploi, y compris le nom de l'employeur, l'intitulé du poste et la fonction, et les coordonnées professionnelles.

Catégories particulières de données (le cas échéant):

Les données à caractère personnel transférées concernent les catégories spéciales de données suivantes (veuillez préciser) :

Aucune.

Finalités du transfert / Opérations de traitement

Les données à caractère personnel transférées seront soumises aux activités de traitement de base suivantes (veuillez préciser) :

L'objectif du traitement des données à caractère personnel par l'importateur de données est l'exécution des services conformément au(x) contrat(s) conclu(s) entre l'exportateur de données et l'importateur de données.

ANNEXE 2 AUX CLAUSES CONTRACTUELLES TYPES

La présente annexe fait partie des clauses contractuelles types et doit être complétée et signée par les parties.

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données conformément à la clause 4, point d), et à la clause 5, point c) (ou document/législation joint(e):

L'importateur de données mettra en œuvre des contrôles administratifs, physiques, techniques et de gestion raisonnables pour protéger la sécurité, la confidentialité et l'intégrité des données à caractère personnel en ce qui concerne les services conformément aux exigences légales applicables, et comme indiqué dans la section 6 du présent DPA de l'importateur de données, et comme convenu autrement par écrit par les parties. L'importateur de données ne diminuera pas sensiblement la sécurité globale des services pendant la durée de l'accord ou des accords.