ADDENDA DE TRAITEMENT DES DONNÉES EMERGENETICS

Language:

English | Español | Italiano | Français | Français Canadien | Deutsch | Nederlands | Română | العربية | 繁體中文 | 简体中文

CET ADDENDA DE TRAITEMENT DES DONNÉES EMERGENETICS (« Addenda ») est établi et conclu par et entre The Browning Group International, Inc. exercant des activités commerciales en tant qu'Emergenetics International et ses filiales légales, y compris, sans limitation, STEP, LLC, Emergenetics Europe Limited, et Emergenetics Caelan & Sage PTE Ltd (collectivement, « Emergenetics ») et vous (le « Client » ou « Partenaire », selon le cas, chacun tel que défini ci-dessous) (chacun une « Partie » et collectivement les « Parties »). Cet Addenda régit votre traitement des données à caractère personnel sur la plateforme Emergenetics. Si vous acceptez les conditions du présent Addenda au nom d'une entité, vous déclarez et garantissez à Emergenetics que vous avez le pouvoir de lier cette entité et ses affiliés, le cas échéant, aux conditions générales du présent Addenda. Cet Addenda entre en vigueur à la date à laquelle vous acceptez le Contrat d'utilisateur Emergenetics (la « Date de l'addenda »).

ATTENDUS

ATTENDU QUE, Emergenetics et vous avez signé un contrat de services (le « Contrat de services ») impliquant le Traitement de données à caractère personnel (tel que défini ci-dessous) de Personnes concernées (telles que définies ci-dessous) que les parties désirent modifier tel que prévu aux présentes ;

ATTENDU QUE, dans le cadre de la prestation de ses services en vertu du Contrat de services, vous, à titre de Responsable du traitement des données, traitez certaines Données à caractère personnel de Personnes concernées ;

ATTENDU QUE, Emergenetics exige, à titre de Responsable du traitement des données, que vous et les Destinataires de données à caractère personnel ultérieurs qui, dans le cadre de votre travail avec Emergenetics, traitent vos Données à caractère personnel, prennent toutes les mesures nécessaires pour traiter ces informations conformément au Règlement général sur la protection des données (RGPD) dans l'UE et d'autres lois et règlements applicables ;

ATTENDU QUE, lorsque les deux Parties déterminent conjointement les finalités et les moyens du Traitement, elles agissent à titre de Responsables conjoints du traitement ; et

ATTENDU QUE, les Parties s'engagent à cet Addenda souhaitant se conformer aux principes et normes de protection des données tel que requis par le RGPD et autres lois et règlements applicables, en ce qui concerne le Traitement des données à caractère personnel en vertu du Contrat de services.

EN CONSÉQUENCE, en considération des ententes mutuelles énoncées dans le présent Addenda ainsi que d'autres considérations valables et pertinentes, dont la réception et la suffisance sont reconnues par les Parties, les Parties conviennent de ce qui suit :

DÉFINITIONS

Les termes utilisés mais non définis dans cet Addenda ont le sens qui leur est donné dans le Contrat de services.

Aux fins du présent Addenda, les termes suivants auront le sens qui leur est attribué, tel qu'énoncé ci-dessous, chaque fois qu'ils apparaissent dans les dispositions du présent Addenda :

CONDITIONS

Les Parties conviennent de ce qui suit :

  1. Date d'entrée en vigueur. Les Conditions du présent Addenda entreront en vigueur à la date la plus tardive, soit la date de l'addenda ou le 25 mai 2018 (la « Date d'entrée en vigueur ») et se poursuivront pendant la durée du Contrat de services.
  2. Portée. Cet addenda sert de cadre pour le Traitement des données à caractère personnel en vertu du Contrat de services, le cas échéant, seul ou conjointement, ainsi que pour le partage de Données à caractère personnel entre les Parties en tant que Responsables du traitement, et définit les principes et procédures auxquels les Parties doivent adhérer et les responsabilités respectives des Parties.
  3. Applicabilité. Cet Addenda ne s'appliquera pas au Traitement des données à caractère personnel, lorsque ce Traitement n'est pas régi par les Lois applicables.
  4. Déclarations et garanties de contrôle. Chaque Partie représente, déclare et garantit :
    1. en ce qui concerne le Traitement des données à caractère personnel au titre du Contrat de services, qu'elle est un Responsable du traitement au sens du présent Addenda et du RGPD ;
    2. que toutes les Données à caractère personnel ont été et seront collectées, transférées et autrement Traitées conformément au RGPD ;
    3. qu'elle ne procédera à des transferts de Données à caractère personnel que si ces transferts sont soumis à des exigences obligatoires en vertu des Lois applicables (et qu'aucune exemption ou dérogation légale ne s'applique), conformément à toutes les conditions applicables, telles qu'énoncées aux Lois applicables ;
    4. à la demande de l'autre Partie concernée, qu'elle fournira à cette autre Partie des copies de toutes les lois pertinentes sur la protection des données ou des références à celles-ci (le cas échéant, et sans compter les conseils juridiques).
  5. Déclarations et garanties de contrôle conjoint. Chaque Partie, agissant en tant que Contrôleur conjoint avec l'autre Partie, déclare et garantit :
 
  1. qu'elle établira ses responsabilités respectives quant au respect de ses obligations en vertu des Lois applicables ;
    1. qu'elle établira ses responsabilités respectives vis-à-vis les Personnes concernées, en tenant compte des circonstances de chaque situation de Traitement particulière, et, le cas échéant, communiquera dûment ces informations à l'autre Responsable du traitement respectif dans un contexte de Contrôle conjoint ;
    2. tel qu'énoncé au RGPD, compte tenu du fait qu'indépendamment des conditions de l'entente entre les Parties, les Personnes concernées peuvent exercer leurs droits en vertu du RGPD à l'égard et à l'encontre de chacun des Responsables du traitement, chaque Responsable du traitement dans le contexte de la fonction de Contrôleur conjoint fournira proactivement, sans avoir été demandé de le faire, toute l'assistance et les informations nécessaires à l'autre Responsable du traitement respectif dans le contexte de la fonction de Contrôleur conjoint, y compris, mais sans s'y limiter, la transmission des demandes déposées par les Personnes concernées pour exercer leurs droits en vertu du chapitre III du RGPD. lorsqu'un Responsable du traitement n'a pas rempli ses obligations en vertu de la présente disposition, il est pleinement responsable de la réponse, ou de l'absence de réponse, à la demande respective de la Personne concernée d'exercer ses droits ; et
    3. en cas de conflit de compétence concernant un ensemble spécifique d'opérations de Traitement dans le contexte du Contrôle conjoint, chaque Responsable du traitement doit agir de bonne foi pour communiquer et résoudre ledit conflit avec l'autre Responsable du traitement respectif de manière amiable, en tenant compte et en respectant, d'une part, les intérêts et les droits de la(les) Personne(s) concernée(s) respective(s) et, d'autre part, l'intérêt mutuel des deux Parties, afin d'éviter la responsabilité conjointe et solidaire, lorsque les Parties ne respectent pas les droits des Personnes concernées en raison d'un conflit de compétence non résolu.
  2. Registres des activités de traitement. Chaque responsable du Traitement s'engage à tenir un registre des activités de Traitement des Données à caractère personnel relevant de sa responsabilité, conformément à l'article 30 du RGPD.
  3. Traitement des Données à caractère personnel. Dans le cadre du présent Addenda, les Parties sont des Responsables conjoints du traitement des Données à caractère personnel des Personnes concernées. Les Clients et Partenaires contrôlent conjointement les Données à caractère personnel Traitées via la Plateforme Emergenetics avec Emergenetics. Le Traitement des Données à caractère personnel par chacun des Responsables du traitement dans le cadre du présent Addenda est soumis aux conditions suivantes :
    1. Le traitement est limité aux services et aux tâches décrits au Contrat de services pour les services et toutes les commandes, les énoncés de travail ou les ordres de travail subséquents signés entre les parties.
    2. Chaque Responsable du traitement veille à ce que le Traitement des Données à caractère personnel aux fins énoncées au Contrat de services soit effectué uniquement pour des motifs légaux, conformément à l'article 6 du RGPD, et conformément à l'article 9 du RGPD, ou les dispositions équivalentes de toute Loi applicable, selon le cas.
    3. Les Responsables du traitement respectifs doivent s'assurer que les personnes qu'ils autorisent à Traiter les Données à caractère personnel se soient engagées à la confidentialité ou soient soumis à une obligation légale de confidentialité.
  4. Mesures de sécurité. Les deux Parties mettront en œuvre les mesures de sécurité techniques et organisationnelles appropriées pour garantir et être en mesure de démontrer que le Traitement est effectué conformément au RGPD et conformément à l'article 24 du RGPD.
  5. Demandes des Personnes concernées. Chaque Partie sera responsable de répondre aux demandes d'exercice des droits d'une Personne concernée en vertu du chapitre III du RGPD ou des dispositions équivalentes d'autres Lois applicables, en ce qui concerne les Données à caractère personnel Traitées par la Chaque Partie désignera un point de contact approprié pour les demandes de Personnes concernées au sein de son organisation respective. Chaque Partie tiendra un registre des demandes de Personnes concernées pour exercer leurs droits, des décisions prises et de toute information échangée. Dans les situations où les Parties sont des Responsables conjoints du traitement, les Parties s'aviseront mutuellement de toute demande de Personnes concernées reçue. Avant de supprimer des Données à caractère personnel ou de restreindre le Traitement en réponse à une demande d'une Personne concernée, chaque Partie obtiendra l'approbation de l'autre Partie, qui ne sera pas refusée sans raison par cette autre Partie, afin d'éviter que les actions d'une Partie ne conduisent l'autre Partie à enfreindre le présent Addenda ou toute Loi applicable. Les Parties conviennent de fournir une assistance rapide et raisonnable les unes aux autres, le cas échéant, pour leur permettre de se conformer aux demandes des Personnes concernées. Chaque partie veillera à ce que ses avis de confidentialité pertinentes, le cas échéant, soient publiées conformément aux exigences du RGPD et d'autres lois applicables et qu'aucun conflit n'existe entre les avis de confidentialité des parties susceptible de créer une confusion ou d'induire en erreur les personnes concernées. En particulier, chaque Partie veillera à ce que ses avis de confidentialité pertinentes, le cas échéant, contiennent des coordonnées précises auxquelles les Personnes concernées peuvent soumettre des demandes à la Partie concernée pour exercer leurs droits en vertu du RGPD et d'autres Lois applicables, selon le cas.
  6. Avis de sécurité du traitement et d'atteinte à la protection des données à caractère personnel. Les deux Parties conviennent de mettre en œuvre et de maintenir des mesures de sécurité techniques et organisationnelles pour garantir que le niveau de sécurité des Données à caractère personnel Traitées par elles est adapté au risque, conformément aux articles 32 à 36 du RGPD, en tenant compte de la nature du Traitement et des informations disponibles pour chaque Partie. Chacune des Parties avisera l'autorité de contrôle compétente ou les Personnes concernées de toute Violation de données à caractère personnel, conformément aux articles 33 et 34 du RGPD, ou aux dispositions équivalentes des autres Lois applicables, selon le cas, et fournira toute l'assistance nécessaire à l'autre Partie respective, le cas échéant.
  7. Chaque Partie n'engagera un Processeur de données pour Traiter les Données à caractère personnel en son nom que si ce dernier fournit des garanties suffisantes, par contrat écrit ou autre acte juridique en vertu de la législation de l'Union européenne ou des États membres, qu'il mettra en œuvre les mêmes obligations en matière de protection des données que le présent Addenda et les exigences du RGPD. Ces obligations incluent en particulier l'obligation pour le Processeur de données de mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées de sorte que le Traitement satisfasse aux exigences du RGPD, y compris, mais sans s'y limiter, aux exigences applicables des articles 28, 29, et 30 du RGPD, et assure la protection des droits de la Personne concernée. Si ce Processeur de données ne remplit pas ses obligations en matière de protection des données, la Partie concernée reste entièrement responsable vis-à-vis les Personnes concernées pour l'exécution des obligations de ce dernier.
  8. Transferts restreints. Emergenetics (en tant qu'« Exportateur de données ») et le Client (en tant qu'« Importateur de données ») concluent par la présente, à la Date de l'addenda, les clauses contractuelles standard (énoncées à la pièce A) et qui sont incorporées par cette référence et font partie intégrante du présent Addenda. Les Parties sont réputées avoir accepté, exécuté et signé, le cas échéant, les clauses contractuelles standard dans leur intégralité, y compris les annexes à la Date d'entrée en vigueur.
  9. En ce qui concerne tout Transfert restreint d'Emergenetics au Client dans le cadre du présent Addenda, l'un des mécanismes de transfert suivants s'applique, dans l'ordre de préséance suivant :
    1. les clauses contractuelles standard ; ou
    2. toute autre base légale, telle que définie dans les Lois applicables, selon le cas.
    Dans les cas où les clauses contractuelles standard s'appliquent, et s'il existe un conflit entre les conditions de l'Addenda et les conditions des clauses contractuelles standard, les conditions des clauses contractuelles standard prévaudront.
  10. Responsabilité. Sans préjudice de toute forme de responsabilité directe d'une Partie ou d'un Processeur de données devant des Personnes concernées, chaque Partie est responsable envers l'autre Partie non défaillante respective pour les dommages que la Partie défaillante a causés à la Partie non défaillante par tout manquement à ses obligations, tel qu'indiqué dans le présent Addenda.
  11. En cas de litige ou de réclamation introduite par une Personne concernée ou une autorité de protection des données de l'EEE ou du Royaume-Uni concernant le Traitement de Données à caractère personnel contre l'une des Parties ou les deux, les Parties s'informent mutuellement de tout litige ou réclamation de ce type et coopèrent en vue de les régler à l'amiable en temps opportun.
  12. Points de contact pour les demandes de protection des données :

    Emergenetics :

    Courriel : privacy@emergenetics.com

    Nom : Brad Hoffman

    Titre : Directeur général

    Le Client fournira les coordonnées de son point de contact pour les demandes de protection des données dans le formulaire se trouvant à l'adresse https://plus.emergenetics.com/#/privacyInfo et https://esp.emergenetics.com/user/profile/privacyInfo (disponibles à l'ouverture de session). Le Client garantit qu'il mettra à jour rapidement, le cas échéant, toutes ces informations et conservera ces informations complètes et à jour.
  13. Aucune autre modification. À l'exception de ce qui est expressément prévu dans le présent Addenda, les Parties n'entendent pas modifier le Contrat de services ni aucun autre document signé ou autrement conclu par les Parties.
  14. Accord principal. Les conditions du Contrat de services, ainsi que tout addenda ou contrat supplémentaire conclu avant le présent Addenda, sont conservés et restent en vigueur et de plein effet. Dans la mesure où les conditions du présent Addenda entrent en conflit avec les conditions contenues dans le Contrat de services, les conditions du présent Addenda prévaudront en ce qui concerne l'objet ci-décrit.
  15. Confidentialité. Cet Addenda renferme des informations confidentielles. Chaque Partie accepte :
    1. de ne pas divulguer le présent Addenda à des tiers, sauf : (1) aux conseillers juridiques ou aux conseillers en matière de protection de la confidentialité qui ont signé une entente de non-divulgation ou qui sont soumis à une obligation légale de confidentialité ; (2) tel que permis ou raisonnablement prévu par cet Addenda ; ou (3) tel que requis par le RGPD ou d'autres Lois applicables (chacune, une « Divulgation permise ») ; et
    2. exercer au moins le même degré de diligence que chaque Partie emploie généralement pour protéger ses propres informations de nature similaire afin de protéger cet Addenda contre toute possession, utilisation ou divulgation qui n'est pas une Divulgation autorisée, mais au moins avec un degré de diligence raisonnable.

Pièce A

Décision de la Commission C(2004)5721
ENSEMBLE II

Clauses contractuelles standard pour le transfert de données à caractère personnel de la Communauté vers des pays tiers (transferts de contrôleur à contrôleur)

Accord de transfert de données
entre

The Browning Group International, Inc.
2 Inverness Dr East
Suite 189
Centennial, CO, 80112
États-Unis

ci-après « Exportateur de données »

et

le Client, tel que défini dans l'Addenda de traitement des données Emergenetics (l' « Addenda ») ci-dessus

ci-après « Importateur de données »
chacun une « Partie »; ensemble « les Parties ».

Définitions

Aux fins des clauses :

  1. « Données personnelles », « Catégories particulières de données ou données sensibles », « Traitement », « Responsable du traitement », « Processeur », « Personne concernée » et « Autorité de contrôle ou Autorité » ont la même signification que dans la directive 95/46/EC du 24 octobre 1995 (selon laquelle « l'Autorité » désigne l'autorité compétente en matière de protection des données sur le territoire où l'exportateur de données est établi) ;
  2. « L'exportateur de données » signifie le responsable du traitement qui transfère les données à caractère personnel ;
  3. « L'importateur de données » signifie le responsable du traitement qui accepte de recevoir des données à caractère personnel de l'exportateur de données en vue d'un traitement ultérieur conformément aux dispositions des présentes clauses et qui n'est pas soumis au système d'un pays tiers assurant une protection adéquate ;
  4. « Clauses » signifie les clauses contractuelles, qui sont un document autonome qui n'incorpore pas de conditions commerciales commerciales établies par les parties dans le cadre d'accords commerciaux distincts.

Les détails du transfert (ainsi que les données à caractère personnel couvertes) sont précisés à l'annexe B, qui fait partie intégrante des clauses.

  1. Obligations de l'exportateur de données

    L'exportateur de données offre les garanties et prend les engagements suivants :

    1. Il a collecté, traité et transféré les données à caractère personnel conformément aux lois applicables à l'exportateur de données.
    2. Il a déployé des efforts raisonnables pour déterminer que l'importateur de données est en mesure de satisfaire à ses obligations légales en vertu des présentes clauses.
    3. Il fournira à l'importateur de données, sur demande, des copies des lois pertinentes sur la protection des données ou des références à celles-ci (le cas échéant, et sans avis juridique) du pays dans lequel l'exportateur de données est établi.
    4. Il répondra aux demandes de renseignements des personnes concernées et des autorités concernant le traitement des données à caractère personnel par l'importateur de données, sauf si les parties ont convenues que l'importateur de données y répondra, auquel cas l'exportateur de données répondra dans la mesure du possible et avec les informations raisonnablement à sa disposition si l'importateur de données n'est pas disposé à, ou est dans l'impossibilité de répondre. Les réponses seront données dans un délai raisonnable.
    5. Il mettra à disposition, sur demande, une copie des clauses aux personnes concernées qui sont des tiers bénéficiaires en vertu de la clause III, à moins que les clauses contiennent des informations confidentielles, auquel cas il peut supprimer ces informations. Lorsque l'information est supprimée, l'exportateur de données informe par écrit les personnes concernées des raisons du retrait et de leur droit de signaler le retrait à l'autorité. Toutefois, l'exportateur de données doit se conformer à une décision de l'autorité concernant l'accès au texte intégral des clauses par les personnes concernées, à condition que les personnes concernées aient accepté de respecter la confidentialité des informations confidentielles supprimées. L'exportateur de données doit également fournir une copie des clauses à l'autorité le cas échéant.

  2. Obligations de l'importateur de données

    L'importateur de données offre les garanties et prend les engagements suivants :

    1. Il mettra en place des mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre toute destruction accidentelle ou illicite ou toute perte accidentelle, modification, divulgation ou accès non autorisés, et qui fournissent un niveau de sécurité approprié au risque représenté par le traitement et la nature des données à protéger.
    2. Il aura mis en place des procédures afin que toute tierce partie qu'il autorise à avoir accès aux données à caractère personnel, y compris les processeurs, respectera et maintiendra la confidentialité et la sécurité des données à caractère personnel. Toute personne agissant sous l'autorité de l'importateur de données, y compris tout processeur de données, ne sera tenue de traiter les données à caractère personnel que sur instructions de l'importateur de données. Cette disposition ne s'applique pas aux personnes autorisées ou tenues par la loi ou la réglementation d'avoir accès aux données à caractère personnel.
    3. Il n'a aucune raison de croire, au moment de la conclusion de ces clauses, à l'existence de lois locales qui auraient un effet défavorable important sur les garanties prévues par ces clauses, et il informera l'exportateur de données (qui passera un tel avis à l'autorité le cas échéant) si elle en prend connaissance de telles lois.
    4. Il traitera les données à caractère personnel aux fins décrites à l'annexe B, et a l'autorité légale de donner les garanties et de remplir les engagements énoncés dans ces clauses.
    5. Il indiquera à l'exportateur de données un point de contact au sein de son organisation autorisé à répondre aux demandes de traitement des données à caractère personnel et coopérera de bonne foi avec l'exportateur de données, la personne concernée et l'autorité concernée dans un délai raisonnable. En cas de dissolution légale de l'exportateur de données, ou si les parties en ont convenu ainsi, l'importateur de données assumera la responsabilité du respect des dispositions de la clause I(e).
    6. À la demande de l'exportateur de données, il fournira à l'exportateur de données des preuves de ressources financières suffisantes pour s'acquitter de ses responsabilités en vertu de l'article III (qui peut inclure une garantie).
    7. Sur demande raisonnable de l'exportateur de données, il soumettra ses installations de traitement de données, fichiers de données et documents nécessaires au traitement à l'examen, à la vérification et/ou à la certification par l'exportateur de données (ou tout agent ou vérificateur indépendant ou impartial sélectionné par l'exportateur de données et auquel l'importateur de données ne peut raisonnablement s'opposer) pour s'assurer du respect des garanties et des engagements énoncés dans ces clauses, moyennant un préavis raisonnable et pendant les heures normales d'ouverture. La demande sera soumise à tout consentement ou approbation nécessaire d'une autorité réglementaire ou de surveillance du pays de l'importateur de données, lequel consentement ou approbation que l'importateur de données tentera d'obtenir en temps opportun.
    8. Il traitera les données à caractère personnel, à son choix, conformément :
      1. aux lois sur la protection des données du pays dans lequel l'exportateur de données est établi, ou
      2. aux dispositions pertinentes[1] de toute décision de la Commission conformément à l'article 25, paragraphe 6, de la directive 95/46/CE, lorsque l'importateur de données se conforme aux dispositions pertinentes d'une telle autorisation ou décision et est basé dans un pays auquel une telle autorisation ou une telle décision se rapporte, mais n'est pas couvert par une telle autorisation ou décision aux fins de transfert(s) de données à caractère personnel[2], ou
      3. les principes de traitement des données énoncés à l'annexe A.

      L'importateur de données doit indiquer l'option qu'il choisit : article II(h)(iii) ;
    9. Il ne divulguera ni ne transférera les données à caractère personnel à tout tiers responsable du traitement des données situé en dehors de l'Espace économique européen (EEE), sauf s'il en informe l'exportateur et
      1. le responsable du traitement des données tiers traite les données à caractère personnel conformément à une décision de la Commission constatant qu'un pays tiers fournit une protection adéquate, ou
      2. le responsable du traitement des données tiers devient signataire de ces clauses ou d'un autre contrat de transfert de données approuvé par une autorité compétente de l'UE, ou
      3. les personnes concernées ont eu la possibilité de s'opposer, après avoir été informées des objectifs du transfert, aux catégories de destinataires et au fait que les pays vers lesquels les données sont exportées peuvent avoir des normes de protection des données différentes, ou
      4. en ce qui concerne les transferts ultérieurs de données sensibles, les personnes concernées ont donné leur consentement sans équivoque au transfert ultérieur

  3. Responsabilité et droits des tiers


    1. Chaque partie sera responsable vis-à-vis des autres parties pour tout dommage causé par toute violation de ces clauses. La responsabilité entre les parties est limitée aux dommages réels subis. Les dommages punitifs (c'est-à-dire les dommages destinés à punir une partie pour sa conduite scandaleuse) sont spécifiquement exclus. Chaque partie est responsable envers les personnes concernées des dommages qu'elle cause en cas de violation des droits de tiers en vertu des présentes clauses. Cela n'affecte pas la responsabilité de l'exportateur de données en vertu de sa loi sur la protection des données.
    2. Les parties conviennent que la personne concernée aura le droit de faire exécuter en tant que tierce partie bénéficiaire la présente clause et les clauses I(b), I(d), I(e), II(a), II(c), II(d), II(e), II(h), II(i), III(a), V, VI(d) et VII contre l'importateur de données ou l'exportateur de données, pour leur violation respective de leurs obligations contractuelles, en ce qui concerne ses données à caractère personnel, et d'accepter la compétence à cet effet dans le pays d'établissement de l'exportateur de données. Dans les cas impliquant des allégations de violation par l'importateur de données, la personne concernée doit d'abord demander à l'exportateur de données de prendre les mesures appropriées pour faire valoir ses droits à l'encontre de l'importateur de données ; si l'exportateur de données ne prend pas de telles mesures dans un délai raisonnable (qui, dans des circonstances normales, serait d'un mois), la personne concernée peut alors faire valoir ses droits directement auprès de l'importateur de données. Une personne concernée a le droit de poursuivre directement un exportateur de données qui n'a pas déployé des efforts raisonnables pour déterminer que l'importateur de données est en mesure de satisfaire à ses obligations légales en vertu des présentes clauses (l'exportateur de données devra prouver qu'il a déployé des efforts raisonnables).
  4. Loi applicable aux clauses


    Ces clauses sont régies par la loi du pays dans lequel l'exportateur de données est établi, à l'exception des lois et règlements relatifs au traitement des données à caractère personnel par l'importateur de données en vertu de la clause II(h), qui ne s'appliquent que si choisis par l'importateur de données en vertu de cette clause.

  5. Résolution des litiges avec les personnes concernées ou l'autorité


    1. En cas de litige ou de réclamation introduite par une personne concernée ou l'autorité concernant le traitement des données à caractère personnel contre l'une des parties ou les deux, les parties s'informeront mutuellement de tout tel litige ou réclamation, et coopéreront en vue de les régler à l'amiable en temps opportun.
    2. Les parties conviennent de répondre à toute procédure de médiation non contraignante généralement disponible initiée par une personne concernée ou par l'autorité. S'ils participent à la procédure, les parties peuvent choisir de le faire à distance (par téléphone ou par d'autres moyens électroniques). Les parties conviennent également d'envisager de participer à toute autre procédure d'arbitrage, de médiation ou à toute autre procédure de règlement des litiges élaborée pour des litiges relatifs à la protection des données.
    3. Chaque partie doit se conformer à une décision d'un tribunal compétent du pays d'établissement de l'exportateur de données ou de l'autorité qui est définitive et contre laquelle aucun appel ultérieur n'est possible.
  6. Résiliation


    1. Dans le cas où l'importateur de données viole ses obligations en vertu de ces clauses, l'exportateur de données peut suspendre temporairement le transfert des données à caractère personnel à l'importateur de données jusqu'à ce que la violation soit réparée ou que le contrat soit résilié.
    2. Dans le cas où :
    3. le transfert de données à caractère personnel à l'importateur de données a été temporairement suspendu par l'exportateur de données pendant plus d'un mois conformément à l'alinéa (a) ;
    4. le respect par l'importateur de données de ces clauses constituerait une violation de ses obligations légales ou réglementaires dans le pays d'importation ;
    5. l'importateur de données enfreint de façon substantielle ou persistante toute garantie ou tout engagement pris par lui en vertu de ces clauses ;
    6. une décision définitive, contre laquelle un autre tribunal compétent du pays d'établissement de l'exportateur de données ou de l'autorité compétente ne peut interjeter appel de la décision, juge qu'il y a eu violation des clauses par l'importateur de données ou l'exportateur de données; ou
    7. une pétition est présentée pour l'administration ou la liquidation de l'importateur de données, que ce soit à titre personnel ou commercial, laquelle pétition n'étant pas rejetée dans le délai applicable pour un tel rejet en vertu de la loi applicable ; un ordre de liquidation est donné ; un administrateur judiciaire est désigné pour l'un des biens de l'importateur de données ; un syndic en matière de faillite est nommé, si l'importateur de données est un particulier ; un arrangement volontaire d'entreprise est initié par celle-ci ; ou tout événement équivalent dans une juridiction se produit

    ensuite, l'exportateur de données, sans préjudice des autres droits qu'il peut avoir à l'encontre de l'importateur de données, a le droit de mettre fin à ces clauses, auquel cas l'autorité doit être informée, le cas échéant. Dans les cas visés aux points (i), (ii) ou (iv) ci-dessus, l'importateur de données peut également mettre fin à ces clauses.
  7. Chacune des parties peut mettre fin à ces clauses si (i) une décision positive d'adéquation de la Commission en vertu de l'article 25, paragraphe 6, de la directive 95/46/CE (ou tout texte remplaçant) est émise au pays (ou à un secteur du pays) auquel les données sont transférées et traitées par l'importateur de données, ou (ii) la directive 95/46/CE (ou tout texte la remplaçant) devient directement applicable dans ce pays.
  8. Les parties conviennent que la résiliation de ces clauses à tout moment, en toutes circonstances et pour quelque raison que ce soit (sauf résiliation en vertu de la clause VI(c)) ne les exempte pas des obligations ou des conditions prévues par les clauses relatives au traitement des données à caractère personnel transférées.
  • Modification des présentes clauses


    Les parties ne peuvent modifier ces clauses que pour mettre à jour les informations de l'annexe B, auquel cas elles en informeront l'autorité le cas échéant. Cela n'empêche pas les parties d'ajouter des clauses commerciales supplémentaires le cas échéant.
  • Description du transfert


    Les détails du transfert et des données à caractère personnel sont spécifiés à l'annexe B. Les parties conviennent que l'annexe B peut contenir des informations commerciales confidentielles qu'elles ne divulgueront pas à des tiers, sauf si la loi l'exige ou en réponse à une agence réglementaire ou gouvernementale compétente, ou conformément à la clause I(e). Les parties peuvent signer des annexes supplémentaires pour couvrir les transferts supplémentaires, qui seront soumis à l'autorité le cas échéant. L'Annexe B peut, à titre subsidiaire, être rédigée pour couvrir des transferts multiples.

  • ANNEXE A

    PRINCIPES DE TRAITEMENT DES DONNÉES

    1. Limitation des transferts à une finalité spécifique : les données à caractère personnel ne peuvent être traitées et ultérieurement communiquées qu’aux fins décrites à l’annexe B ou ultérieurement autorisées par la personne concernée.
    2. Qualité et proportionnalité des données : les données à caractère personnel doivent être exactes et, au besoin, actualisées. Les données à caractère personnel doivent être adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont transférées et traitées.
    3. Transparence : les personnes concernées sont en droit d’obtenir les informations nécessaires pour assurer un traitement loyal (notamment les informations sur les finalités du traitement et sur le transfert), à moins que ces informations aient été déjà fournies par l’exportateur de données.
    4. Sécurité et confidentialité : le responsable du traitement doit prendre des mesures de sécurité, sur le plan technique et au niveau de l’organisation, qui sont appropriées au regard des risques présentés par le traitement, notamment la destruction fortuite ou illicite, la perte fortuite, l’altération, la divulgation ou l’accès non autorisé. Toute personne agissant sous l’autorité du responsable du traitement, y compris un processeur, ne doit traiter les données que sur instructions du responsable.
    5. Droits d'accès, de rectification, de suppression et d'objection : conformément à l'article 12 de la directive 95/46/CE, les personnes concernées sont en droit d’obtenir, directement ou via un tiers, la communication des informations personnelles les concernant qu’une organisation détient, sauf si les demandes sont manifestement abusives du fait de leur fréquence déraisonnable, de leur nombre ou de leur nature répétitive ou systématique, ou si l’accès ne doit pas être accordé en vertu des lois du pays de l’exportateur de données. Pourvu que l'autorité ait donné son autorisation préalable, l'accès peut également ne pas être accordé lorsqu’il risque de porter gravement atteinte aux intérêts de l’importateur de données ou d’autres organisations traitant avec l’importateur de données et que les libertés et droits fondamentaux de la personne concernée ne priment pas sur ces intérêts. Les sources des données à caractère personnel peuvent ne pas être identifiées lorsque cela n’est pas possible au prix d’efforts raisonnables ou lorsque les droits de personnes autres que celle concernée seraient violés. Les personnes concernées doivent pouvoir faire rectifier, modifier ou supprimer les informations personnelles les concernant lorsqu'elles sont inexactes ou font l'objet d'un traitement contraire aux présents principes. S'il existe des raisons impérieuses de douter de la légitimité de la demande, l'organisation peut exiger d'autres justifications avant de procéder à la rectification, la modification ou la suppression. L'avis de toute rectification, modification ou suppression aux tiers à qui les données ont été divulguées ne doit pas être fait lorsque cela implique un effort disproportionné. Les personnes concernées ont le droit de s'opposer au traitement des données à caractère personnel les concernant lorsqu’il y a des raisons impérieuses et légitimes concernant sa situation particulière. La charge de la preuve pour tout refus appartient à l’importateur de données et la personne concernée peut toujours contester un refus devant l’autorité.
    6. Données sensibles : l'importateur de données doit prendre les mesures supplémentaires (par exemple, en matière de sécurité) qui sont nécessaires pour protéger les données sensibles conformément à ses obligations au titre de la clause II.
    7. Données utilisées à des fins de marketing : lorsque les données sont traitées à des fins de marketing direct, des procédures efficaces doivent exister pour permettre à la personne concernée de s’opposer à ce que les données la concernant soient, à un moment ou à un autre, utilisées à une telle fin.
    8. Décisions automatisées : aux fins du présent contrat, on entend par « décision automatisée » toute décision de l’exportateur de données ou de l’importateur de données qui produit des effets juridiques à l’égard d’une personne concernée ou affecte de manière significative une personne concernée, prise sur le seul fondement d’un traitement automatisé de données personnelles destiné à évaluer certains aspects de la personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc. Les personnes concernées ne peuvent faire l’objet de décisions automatisées de la part de l’importateur de données sauf dans le cas où :
        1. de telles décisions sont prises par l’importateur de données dans le cadre de la conclusion ou de l’exécution d’un contrat avec la personne           concernée, et
        2. la personne a l’occasion de discuter les résultats d’une décision automatisée la concernant avec un représentant de la partie prenant une telle décision ou sinon de faire des représentations auprès de cette partie.
      1. ou

      2. lorsque la loi applicable à l’exportateur de données en dispose autrement.

    ANNEXE B

    DESCRIPTION DU TRANSFERT

    En concluant les clauses contractuelles standard, conformément à l'article 12 de l'Addenda, les parties sont réputées avoir signé la présente annexe B.

    Personnes concernées
    Les données à caractère personnel transférées se rapportent aux catégories suivantes de personnes concernées :
    Les données à caractère personnel transférées se rapportent généralement aux personnes évaluées via la plateforme Emergenetics

    Buts du ou des transferts
    Le transfert est effectué aux fins suivantes :
    Permettre à l'importateur de données d'offrir et/ou de fournir les services d'Emergenetics au nom de l'exportateur de données.

    Catégories de données
    Les données à caractère personnel transférées se rapportent généralement aux catégories de données suivantes :
    Les données à caractère personnel comprennent généralement les données biographiques, les données de contact, l'apprentissage ou la gestion et les résultats de l'évaluation des styles de personnalité.

    Destinataires
    Les données à caractère personnel transférées peuvent être divulguées uniquement aux destinataires ou catégories de destinataires suivants :
    Les parties qui auraient besoin de telles données à caractère personnel pour faciliter la prestation des services Emergenetics.

    Les points de contact pour les demandes de protection des données doivent être fournis par les deux parties, tel qu'indiqué dans l'Addenda.


    [1] « Dispositions pertinentes » désigne les dispositions de toute autorisation ou décision, à l'exception des dispositions d'exécution de toute autorisation ou décision (qui seront régies par ces clauses).

    [2] Toutefois, les dispositions de l'annexe A.5 concernant les droits d'accès, de rectification, de suppression et d'opposition doivent être appliquées lorsque cette option est choisie et primer sur toute disposition comparable de la décision de la Commission sélectionnée.