ADDENDUM DE TRAITEMENT DES DONNÉES EMERGENETIC

Language:

English | Español | Italiano | Français | Français Canadien | Deutsch | Nederlands | Română | العربية | 繁體中文 | 简体中文

CET ADDENDUM DE TRAITEMENT DES DONNÉES EMERGENETICS (« Addendum ») est conclu par et entre The Browning Group International, Inc., faisant affaires sous le nom de Emergenetics International et ses sociétés affiliées, y compris, mais sans s'y limiter, STEP, LLC, Emergenetics Europe Limited, et Emergenetics Caelan & Sage PTE Ltd (collectivement, « Emergenetics », « nous » et « nos ») et vous (le « Client » ou « Partenaire », selon le cas, chacun tel que défini ci-dessous) (chacun une « Partie » et collectivement les « Parties »). Cet Addendum régit votre traitement des données personnelles sur la plateforme Emergenetics. Si vous acceptez les termes du présent Addendum au nom d'une entité, vous déclarez et garantissez à Emergenetics que vous avez le pouvoir de lier cette entité et ses sociétés affiliées, le cas échéant, aux conditions du présent Addendum. Cet Addendum entre en vigueur à la date à laquelle vous l'acceptez (la « Date d'Addendum ») en acceptant l'Accord d'utilisateur Emergenetics

PRÉAMBULE

ATTENDU QUE, Emergenetics et vous avez signé un Accord de services (l'« Accord de services ») impliquant le Traitement de données personnelles (tel que défini ci-dessous) de Personnes concernées (telles que définies ci-dessous) que les Parties désirent modifier comme prévu ;

ATTENDU QUE, dans le cadre de la prestation de services en vertu de l'Accord de services, vous, à titre de Responsable du traitement des données, traitez certaines Données personnelles de Personnes concernées ;

ATTENDU QUE, en tant que Responsable du traitement des données, Emergenetics exige que vous et les destinataires ultérieurs de Données personnelles qui, dans le cadre de votre travail avec Emergenetics, étant susceptibles de traiter des données personnelles, prennent toutes les mesures nécessaires pour traiter ces informations conformément Règlement général sur la protection des données de l'UE (GDPR) et autres lois et règlements applicables ;

ATTENDU QUE, lorsque les deux parties déterminent conjointement les finalités et les moyens du traitement, elles agissent à titre de Responsables conjoints ; et

ATTENDU QUE, les parties s'engagent à cet Addendum souhaitant se conformer aux principes et normes de protection des données tel que requis par le GDPR et d'autres lois et règlements applicables, en ce qui concerne le traitement des données personnelles en vertu de l'accord de services.

EN CONSÉQUENCE, compte tenu des accords mutuels énoncés dans le présent Addendum et pour tout autre bon et valable examen dont les parties reconnaissent la réception et la validité, les parties conviennent de ce qui suit :

DÉFINITIONS

Les termes en majuscules utilisés mais non définis dans cet Addendum ont le sens qui leur est donné dans l'Accord de services.

Aux fins du présent Addendum, les termes en majuscules suivants auront le sens qui leur est attribué, tel qu'il est énoncé ci-dessous, chaque fois qu'ils apparaissent dans les dispositions du présent Addendum :

TERMES

Les parties conviennent de ce qui suit :

  1. Date effective. Les modalités du présent Addendum entreront en vigueur au plus tard en date de l'Addendum, soit le 25 mai 2018 (la « date d'entrée en vigueur ») et continueront d'être valables pendant la durée de la convention de services.
  2. Portée. Cet Addendum sert de cadre pour le traitement des Données personnelles en vertu de l'Accord de services, le cas échéant, seul ou conjointement, ainsi que pour le partage de Données personnelles entre les Parties en tant que Responsable du traitement des données, et définit les principes et procédures auxquels les parties doivent adhérer ainsi que leurs responsabilités respectives.
  3. Applicabilité. Cet Addendum ne s'appliquera pas au Traitement des Données personnelles, lorsque ce Traitement n'est pas régi par les Lois applicables.
  4. Représentations de contrôle et garanties. Chaque partie représente, s'engage et garantit que :
    1. en ce qui concerne le Traitement des données personnelles au titre de l'Accord de services, elle est Responsable du traitement des données au sens du présent Addendum et du GDPR ;
    2. toutes les Données personnelles ont été et seront collectées, transférées et traitées conformément au GDPR ;
    3. elle ne procédera à des transferts de Données personnelles que si ces transferts sont soumis à des exigences obligatoires en vertu des Lois applicables (et qu'aucune dispense ou dérogation légale ne s'applique), conformément à toutes les conditions applicables énoncées dans les Lois applicables ;
    4. elle fournira à l'autre Partie, à la demande de celle-ci, des copies de toutes les lois pertinentes sur la protection des données ou des références à celles-ci (si approprié et sans inclure d'avis juridique).
  5. Représentation conjointe du contrôle et garanties.Chaque Partie, agissant en tant que Responsable conjoint du traitement des données avec l'autre Partie, s'engage et garantit que :
    1. elle déterminera ses responsabilités respectives quant au respect de ses obligations en vertu des Lois applicables ;
    2. elle déterminera ses responsabilités respectives vis-à-vis des Personnes concernées, en tenant compte des circonstances de chaque situation de Traitement spécifique, et, si nécessaire, communiquera dûment ces informations à l'autre Responsable du traitement des données respectif dans un contexte de Responsabilité conjointe ;
    3. compte tenu du fait que, indépendamment des termes de l'arrangement entre les parties, les Personnes concernées peuvent exercer leurs droits en vertu du GDPR à l'égard et à l'encontre de chacun des Responsables du traitement des données, chaque Responsable du traitement des données, dans le contexte de Responsabilité conjointe, fournira, sans y être invité, toute l'assistance et les informations nécessaires à l'autre Responsable du traitement des données, y compris, mais sans s'y limiter, transmettre les demandes déposées par les Personnes concernées pour exercer leurs droits en vertu du chapitre III du GDPR. Lorsqu'un Responsable du traitement des données n'a pas rempli ses obligations en vertu de la présente disposition, il est pleinement responsable de la réponse, ou de l'absence de réponse, à la demande respective de la Personne concernée d'exercer ses droits ; et
    4. en cas de conflit de compétence concernant un ensemble spécifique d'opérations de Traitement dans le contexte de Responsabilité conjointe, chaque Responsable de traitement des données doit agir de bonne foi pour communiquer et résoudre ce conflit avec l'autre Responsable du traitement des données de manière amiable, en tenant compte et en respectant, d'une part, les intérêts et les droits des Personnes concernées et, d'autre part, l'intérêt mutuel des deux Parties, afin d'éviter la responsabilité solidaire, lorsque les parties ne respectent pas les droits d'une Personne concernée en raison d'un conflit de compétence non résolu.
  6. Registres des activités de traitement. Chaque Responsable du Traitement des données s'engage à tenir un registre des activités de Traitement des Données personnelles relevant de sa responsabilité, conformément à l'article 30 du RGPD.
  7. Traitement des données personnelles. Dans le cadre du présent Addendum, les Parties sont des Responsables conjoints du traitement des données des Personnes concernées. Les Clients et les Partenaires contrôlent conjointement les Données personnelles traitées via la plateforme Emergenetics et avec Emergenetics. Le traitement des données personnelles par chacun des Responsable du Traitement des données dans le cadre du présent Addendum est soumis aux conditions suivantes :
    1. Le Traitement est limité aux services et aux tâches décrits dans l'Accord de services pour les services et les commandes, les énoncés de travail ou les ordres de travail subséquents exécutés entre les Parties.
    2. Chaque Responsable du traitement des Données veille à ce que le Traitement des Données personnelles aux fins énoncées dans l'Accord de services soit effectué uniquement pour des motifs légaux, conformément à l'article 6 et conformément à l'article 9 du GDPR, ou les dispositions équivalentes de toute Loi applicable, selon le cas.
    3. Les Responsables du Traitement des données respectifs doivent s'assurer que les personnes qu'ils autorisent à traiter les Données personnelles se sont engagées à la confidentialité ou sont soumises à une obligation légale de confidentialité.
  8. Mesures de sécurité. Les deux Parties mettront en œuvre les mesures de sécurité techniques et organisationnelles appropriées pour garantir et être en mesure de démontrer que le traitement est effectué conformément au GDPR et à l'article 24 du GDPR.
  9. Demandes des personnes concernées. Il incombera à chaque Partie de répondre aux demandes d'exercice des droits d'une Personne concernée en vertu du chapitre III du GDPR ou de dispositions équivalentes d'autres Lois applicables, en ce qui concerne les Données personnelles traitées par cette Chaque Partie désignera un point de contact approprié pour les demandes de Personnes concernées dans son organisation respective. Chaque Partie tiendra un registre des demandes de Personnes concernées pour exercer leurs droits, les décisions prises, et toute information échangée. Dans les situations où les Parties sont des Responsables de traitement de données personnelles conjoints, les Parties se notifieront mutuellement toutes les demandes de Personne concernée reçues. Avant de supprimer des Données Personnelles ou de restreindre le Traitement en réponse à une Demande de données, chaque Partie obtiendra l'approbation de l'autre Partie, qui ne sera pas refusée sans raison par cette autre Partie, afin d'éviter que l'une des Partie soit en violation de cet Addendum ou de toute loi applicable. Les Parties conviennent de fournir une assistance rapide et raisonnable les unes aux autres, si nécessaire, pour leur permettre de se conformer aux demandes de Personnes concernées. Chaque Partie veillera à ce que ses notices de confidentialité pertinentes, le cas échéant, soient publiées conformément aux exigences du GDPR et d'autres Lois applicables, et qu'aucun conflit n'existe entre les notices de confidentialité des Parties qui soit susceptible de créer une confusion ou d'induire en erreur les Personnes concernées. En particulier, chaque Partie veillera à ce que ses notices de confidentialité pertinentes, le cas échéant, contiennent des coordonnées précises auxquelles les Personnes concernées peuvent soumettre des demandes à la Partie concernée pour exercer leurs droits en vertu du GDPR et d'autres Lois Applicables, selon le cas.
  10. Sécurité du traitement et notifications de violation des données personnelles. Les deux Parties conviennent de mettre en œuvre et de maintenir des mesures de sécurité techniques et organisationnelles pour garantir que le niveau de sécurité des Données personnelles traitées est adapté au risque, conformément aux Articles 32 à 36 du GDPR, en tenant compte de la nature du traitement et des informations disponibles pour chaque Partie. Chacune des Parties notifiera une Violation de Données personnelles à l'autorité de contrôle compétente ou aux Personnes concernées, conformément aux Articles 33 et 34 du GDPR, ou aux dispositions équivalentes des autres Lois applicables, selon le cas, ainsi que toute l'assistance nécessaire à l'autre partie, si nécessaire.
  11. Sous-traitants. Chaque Partie n'engagera un Sous-traitant pour traiter les Données personnelles en son nom que si ce dernier fournit des garanties suffisantes, par accord écrit ou autre acte juridique en vertu de la législation de l'Union européenne ou des États membres, assurant qu'il appliquera les mêmes obligations en matière de protection des données requises par le présent Addendum et les exigences du GDPR. Ces obligations incluent en particulier l'obligation, pour le sous-traitant des données, de mettre en œuvre les mesures de sécurité techniques et organisationnelles appropriées de sorte que le traitement satisfasse aux exigences du GDPR, y compris, mais sans s'y limiter, les exigences applicables des articles 28, 29, et 30 du GDPR, et assurer la protection des droits de la personne concernée. Si ce sous-traitant ne remplit pas ses obligations en matière de protection des données, la partie concernée reste entièrement responsable vis-à-vis des Personnes concernées pour l'exécution des obligations de ce dernier.
  12. Transferts restreints. Emergenetics (en tant qu'« exportateur de données ») et le client (en tant qu'« importateur de données ») concluent par la présente, à la Date de cet Addendum, les Clauses contractuelles types (énoncées dans la pièce A) qui sont intégrées par renvoi et font partie intégrante de cet Addendum. Les parties sont réputées avoir accepté, signé et exécuté, le cas échéant, les Clauses contractuelles types dans leur intégralité, y compris les annexes à la date d'entrée en vigueur.
  13. En ce qui concerne tout transfert restreint d'Emergenetics au Client dans le cadre du présent Addendum, l'un des mécanismes de transfert suivants s'applique, dans l'ordre de préséance suivant :
    1. les clauses contractuelles types ; ou
    2. toute autre fin légitime, telle que définie dans les Lois applicables, selon le cas.
    Dans les cas où les Clauses contractuelles types s'appliquent, et s'il existe un conflit entre les termes de l'Addendum et les termes des Clauses contractuelles type, les termes des Clauses contractuelles types prévaudront.
  14. Responsabilité. Sans préjudice de toute forme de responsabilité directe d'une partie ou d'un responsable du traitement des données, chaque partie est responsable vis-à-vis de l'autre partie non défaillante pour les dommages que la partie défaillante a causés à la partie non défaillante par le manquement à ses obligations énoncées dans le présent Addendum.
  15. En cas de litige ou de réclamation introduite par une Personne concernée ou une autorité de protection des données de l'EEE ou du Royaume-Uni concernant le Traitement de données personnelles contre l'une ou les deux Parties, les Parties s'informeront mutuellement de tout litige ou réclamation et coopéreront en vue de les régler à l'amiable et en temps voulu.
  16. Points de contact pour les demandes de protection des données :

    Emergenetics :

    E-mail : privacy@emergenetics.com

    Nom : Brad Hoffman

    Titre : Directeur général

    Le Client fournira les coordonnées de son point de contact pour les demandes de protection des données dans le formulaire situé dans https://plus.emergenetics.com/#/privacyInfo et https://esp.emergenetics.com/user/profile/privacyInfo ( accessible après la connexion). Le Client garantit qu'il mettra à jour toutes ces informations rapidement, si nécessaire, et conservera toutes ces informations complètes et à jour.
  17. Aucun autre amendement. À l'exception de ce qui est expressément prévu dans le présent Addendum, les Parties n'entendent pas modifier l'Accord de services ou tout autre document signé ou autrement conclu par les Parties.
  18. Accord principal. Les termes de l'Accord de services , ainsi que tout Addendum ou accord supplémentaire conclu avant le présent Addendum, sont conservés et restent pleinement en vigueur. Dans la mesure où les termes du présent Addendum entrent en conflit avec les termes contenus dans l'Accord de services, les termes du présent Addendum prévaudront en ce qui concerne l'objet décrit ici.
  19. Confidentialité. Cet Addendum constitue une information confidentielle. Chaque Partie accepte de :
    1. ne pas divulguer le présent Addendum à des tiers, sauf : (1) aux conseillers juridiques ou aux conseillers en protection de la vie privée qui ont signé un accord de non-divulgation ou qui sont soumis à une obligation légale de confidentialité ; (2) tel que permis ou raisonnablement prévu par cet Addendum ; ou (3) tel que requis par le GDPR ou d'autres Lois applicables (chacune, une « Divulgation autorisée ») ; et
    2. exercer au moins le même degré de soin que chaque Partie utilise généralement pour protéger ses propres informations de nature similaire afin de protéger cet Addendum contre toute possession, utilisation ou divulgation qui n'est pas une Divulgation autorisée, mais en aucun cas s'abstenir de prendre des précautions raisonnables.

Pièce A

Décision de la Commission C(2004)5721

ENSEMBLE II

Clauses contractuelles types pour le transfert de données à caractère personnel de la Communauté vers des pays tiers (transferts de contrôleur à contrôleur)

Accord de transfert de données
entre

Le groupe Browning International, Inc.
2 Inverness Dr East
Suite 189
Centennial, CO, 80112
Etats-Unis

ci-après « exportateur de données »

et

le Client, tel que défini dans l'Addendum de traitement des Données (l'Addendum) ci-dessus

ci-après, « l’importateur de données », d’autre part,
dénommés ensemble « les parties » et individuellement une « partie ».

Définitions

Aux fins des clauses :

  1. « Données personnelles », « catégories particulières de données / données sensibles », « traiter / traitement », « Responsable du traitement », « sous-traitant », « personne concernée » et « autorité de contrôle / autorité » ont la même signification que dans la directive 95/46 / CE du 24 octobre 1995 (par laquelle « l'autorité » désigne l'autorité compétente en matière de protection des données sur le territoire où l'exportateur de données est établi) ;
  2. « L'exportateur de données » est le responsable du traitement qui transfère les données personnelle ;
  3. « L'importateur de données » est le responsable du traitement qui accepte de recevoir des données personnelles de l'exportateur de données, en vue d'un traitement ultérieur conformément aux dispositions des présentes clauses, et qui n'est pas soumis au système d'un pays tiers assurant une protection adéquate ;
  4. « Clauses » signifie les clauses contractuelles, qui sont un document autonome qui n'incorpore pas de conditions commerciales établies par les parties dans le cadre d'accords commerciaux distincts.

Les détails du transfert (ainsi que les données personnelles couvertes) sont précisés à l'annexe B, qui fait partie intégrante des clauses.

  1. Obligations de l'exportateur de données

    L'exportateur de données s'engage et garantit que :

    1. les données personnelles ont été collectées, traitées et transférées conformément aux lois applicables à l'exportateur de données.
    2. il a déployé des efforts raisonnables pour déterminer que l'importateur de données est en mesure de satisfaire à ses obligations légales en vertu de ces clauses.
    3. il fournira à l'importateur de données, sur demande, des copies des lois pertinentes sur la protection des données ou des références à celles-ci (le cas échéant, sans avis juridique) du pays dans lequel l'exportateur de données est établi.
    4. il répondra aux demandes de renseignements des personnes concernées et de l’autorité au sujet du traitement des données à caractère personnel par l’importateur de données, à moins que les parties n’aient convenu que c’est à l’importateur de données d'y répondre, auquel cas l’exportateur de données doit néanmoins répondre dans la mesure du possible en communiquant les informations dont il peut raisonnablement disposer si l’importateur de données ne consent pas à répondre ou n’est pas en mesure de le faire. Les réponses sont apportées dans des délais raisonnables.
    5. Il mettra à disposition, sur demande, une copie des clauses aux Personnes concernées qui sont des tiers bénéficiaires en vertu de la clause III, à moins que les clauses contiennent des informations confidentielles, auquel cas il peut supprimer ces informations. Lorsque l'information est supprimée, l'exportateur de données informe par écrit les Personnes concernées des raisons du retrait et de leur droit de retirer le signalement à l'autorité. Toutefois, l'exportateur de données doit se conformer à une décision de l'autorité concernant l'accès au texte intégral des clauses par les personnes concernées, à condition que les personnes concernées aient accepté de respecter la confidentialité des informations confidentielles supprimées. L'exportateur de données doit également fournir une copie des clauses à l'autorité si nécessaire.

  2. Obligations de l'importateur de données

    L'importateur de données garantit et s'engage à ce que :

    1. il mettra en place des mesures techniques et organisationnelles appropriées pour protéger les données personnelles contre la destruction accidentelle ou illicite, la perte accidentelle, la modification, la divulgation ou l'accès non autorisés, mesures qui fournissent un niveau de sécurité approprié au risque représenté par le traitement et la nature des données à protéger.
    2. il mettra en place des procédures afin que toute tierce partie qu'il autorise à avoir accès aux données personnelles, y compris les processeurs, respecte et maintienne la confidentialité et la sécurité de ces données personnelles. Toute personne agissant sous l'autorité de l'importateur de données, y compris un sous-traitant, ne sera tenue de traiter les données à caractère personnel que sur instructions de l'importateur de données. Cette disposition ne s'applique pas aux personnes autorisées à, ou requises par la loi ou la réglementation d'avoir accès aux données personnelles.
    3. il informera l'exportateur de données (qui passera notification à l'autorité si nécessaire) s'il prend connaissance de lois locales qui auraient un effet défavorable important sur les garanties prévues par ces clauses, et il n'a pas connaissance de l'existence de ces lois au moment où il adhère aux présentes clauses.
    4. il traitera les données personnelles aux fins décrites dans l'annexe B, et détient l'autorité légale de donner les garanties et de remplir les engagements énoncés dans ces clauses.
    5. il identifiera à l'exportateur de données un point de contact au sein de son organisation autorisé à répondre aux demandes de traitement des données personnelles et coopérera de bonne foi avec l'exportateur de données, la personne concernée et l'autorité concernée dans un délai raisonnable. En cas de dissolution légale de l'exportateur de données, ou si les parties en sont convenues, l'importateur de données assumera la responsabilité du respect des dispositions de la clause I (e).
    6. il fournira à l'exportateur de données, à la demande de celui-ci, des preuves de ressources financières suffisantes pour s'acquitter de ses responsabilités en vertu de l'article III (qui peut inclure une couverture d'assurance).
    7. Sur demande raisonnable de l'exportateur de données, il soumettra ses installations de traitement de données, fichiers de données et documents nécessaires au traitement et examen, audit et / ou certification par l'exportateur de données (ou tout agent ou vérificateur indépendant ou impartial sélectionné par l'exportateur de données et auquel l'importateur de données n'a pas raisonnablement objecté) pour s'assurer du respect des garanties et des engagements énoncés dans ces clauses, moyennant un préavis raisonnable et pendant les heures normales d'ouverture. La demande sera soumise à tout consentement ou approbation nécessaire d'une autorité réglementaire ou de surveillance du pays de l'importateur de données, consentement ou approbation que l'importateur de données tentera d'obtenir en temps opportun.
    8. Il traitera les données personnelles, à son choix, conformément aux :
      1. lois sur la protection des données du pays dans lequel l'exportateur de données est établi, ou
      2. dispositions pertinentes[1] de toute décision de la Commission conformément à l'Article 25, Paragraphe 6, de la Directive 95/46 / CE, lorsque l'importateur de données se conforme aux dispositions pertinentes d'une telle autorisation ou décision et est basé dans un pays qu'une telle autorisation ou décision concerne, mais n'est pas couvert par une telle autorisation ou décision aux fins du ou des transfert(s) des données personnelles[2], ou
      3. principes de traitement des données énoncés à l'annexe A.

      L'importateur de données doit indiquer l'option qu'il choisit: Section II (h) (iii) ;
    9. Il ne divulguera ni ne transférera les données personnelles à un tiers responsable du traitement des données situé en dehors de l'Espace économique européen (EEE), sauf s'il en informe l'exportateur, et
      1. le tiers responsable du traitement des données traite les données à caractère personnel conformément à une décision de la Commission constatant qu'un pays tiers fournit une protection adéquate, ou
      2. le tiers responsable du traitement des données devient signataire de ces clauses ou d'un autre accord de transfert de données approuvé par une autorité compétente de l'UE, ou
      3. les personnes concernées ont eu la possibilité de s'opposer, après avoir été informées des objectifs du transfert, aux catégories de destinataires et au fait que les pays vers lesquels les données sont exportées peuvent avoir des normes de protection des données différentes, ou
      4. en ce qui concerne les transferts ultérieurs de données sensibles, les personnes concernées ont donné leur consentement sans équivoque au transfert ultérieur

  3. Responsabilité et droits des tiers


    1. Chaque partie sera responsable vis-à-vis des autres parties pour les dommages causés par toute violation de ces clauses. La responsabilité entre les parties est limitée aux dommages réels subis. Les dommages punitifs (c'est-à-dire les dommages destinés à punir une partie pour sa conduite scandaleuse) sont spécifiquement exclus. Chaque partie est responsable vis-à-vis des personnes concernées des dommages qu'elle cause en cas de violation des droits des tiers en vertu de ces clauses. Cela n'affecte pas la responsabilité de l'exportateur de données en vertu de sa loi sur la protection des données.
    2. Les parties conviennent que la Personne concernée aura le droit de faire exécuter, en tant que tierce partie bénéficiaire, la présente clause et les clauses I (b), I (d), I (e), II (a), II (c), II (d), II (e), II (h), II (i), III (a), V, VI (d) et VII contre l'importateur de données ou l'exportateur de données, pour leur violation respective de leurs obligations contractuelles en ce qui concerne les données personnelles de la Personne concernée, et d'accepter la compétence juridique à cet effet dans le pays d'établissement de l'exportateur de données. Dans les cas impliquant des allégations de violation par l'importateur de données, la personne concernée doit d'abord demander à l'exportateur de données de prendre les mesures appropriées pour faire valoir ses droits à l'encontre de l'importateur de données ; si l'exportateur de données ne prend pas de telles mesures dans un délai raisonnable (qui, dans des circonstances normales, serait d'un mois), la personne concernée peut alors faire valoir ses droits directement auprès de l'importateur de données. Une personne concernée a le droit de poursuivre directement un exportateur de données qui n'a pas déployé des efforts raisonnables pour déterminer que l'importateur de données est en mesure de satisfaire à ses obligations légales (l'exportateur de données devra, lui, prouver qu'il a déployé des efforts raisonnables).
  4. Loi applicable aux clauses


    Ces clauses sont régies par la loi du pays dans lequel l'exportateur de données est établi, à l'exception des lois et règlements relatifs au traitement des données personnelles par l'importateur de données en vertu de la clause II (h), qui ne s'appliquent que si choisis par l'importateur de données en vertu de cette clause.

  5. Résolution des litiges avec les personnes concernées ou l'autorité


    1. En cas de litige ou de réclamation, introduite par une personne concernée ou l'autorité, concernant le traitement des données personnelles contre l'une des parties ou les deux, les parties s'informeront mutuellement de tout litige ou réclamation, et coopéreront en vue de les régler à l'amiable et en temps opportun.
    2. Les parties conviennent de répondre à toute procédure de médiation non contraignante généralement disponible initiée par une personne concernée ou par l'autorité. Si elles participent à la procédure, les parties peuvent choisir de le faire à distance (par téléphone ou autres moyens électroniques). Les parties conviennent également d'envisager de participer à toute autre procédure d'arbitrage, de médiation ou d'autres procédures de règlement des différends élaborées pour des litiges relatifs à la protection des données.
    3. Chaque partie se plie à la décision d’un tribunal compétent du pays d’établissement de l’exportateur de données ou de l’autorité qui est définitive et contre laquelle aucun recours n’est possible.
  6. Résiliation


    1. Dans le cas où l'importateur de données viole ses obligations en vertu de ces clauses, l'exportateur de données peut suspendre temporairement le transfert des données personnelles à l'importateur de données jusqu'à ce que la violation soit réparée ou que le contrat soit résilié.
    2. Dans le cas où :
      1. le transfert de données à caractère personnel à l'importateur de données a été temporairement suspendu par l'exportateur de données pendant plus d'un mois conformément à l'alinéa (a) ;
      2. le respect par l'importateur de données de ces clauses constituerait une violation de ses obligations légales ou réglementaires dans le pays d'importation ;
      3. l'importateur de données enfreint de façon substantielle ou persistante toute garantie ou tout engagement pris par lui en vertu de ces clauses ;
      4. une décision définitive contre laquelle un autre tribunal compétent du pays d'établissement de l'exportateur de données ou de l'autorité compétente ne peut interjeter d'appel de la décision, s'il y a eu violation des clauses par l'importateur de données ou l'exportateur de données ; ou
      5. une pétition est présentée pour l'administration ou la liquidation de l'importateur de données, que ce soit à titre personnel ou commercial, cette requête n'étant pas rejetée dans le délai applicable pour un tel licenciement en vertu de la loi applicable ; un ordre de liquidation est pris ; un séquestre est nommé sur l'un de ses actifs ; un syndic de faillite est nommé, si l'importateur de données est un particulier ; un arrangement volontaire d'entreprise est commencé par lui ; ou tout événement équivalent dans une juridiction se produit

      ensuite, l'exportateur de données, sans préjudice des autres droits qu'il peut avoir à l'encontre de l'importateur de données, a le droit de mettre fin à ces clauses, auquel cas l'autorité doit être informée, le cas échéant. Dans les cas visés aux points (i), (ii) ou (iv) ci-dessus, l'importateur de données peut également mettre fin à ces clauses.
    3. Chacune des parties peut mettre fin à ces clauses si (i) une décision d'adéquation positive de la Commission en vertu de l'article 25, paragraphe 6, de la directive 95/46/CE (ou tout texte remplaçant) est délivrée relativement au pays (ou à un secteur de ce pays) vers lequel les données sont transférées et traitées par l'importateur de données, ou si (ii) la directive 95/46/CE (ou tout texte la remplaçant) devient directement applicable dans ce pays.
    4. Les parties conviennent que la résiliation de ces clauses à tout moment, en toutes circonstances et pour quelque raison que ce soit (sauf résiliation en vertu de la clause VI (c)) ne les exempte pas des obligations et / ou des conditions prévues dans le traitement des données personnelles transférées.
  7. Variation de ces clauses


    Les parties ne peuvent modifier ces clauses que pour mettre à jour les informations de l'annexe B, auquel cas elles en informeront l'autorité si nécessaire. Cela n'empêche pas les parties d'ajouter des clauses commerciales supplémentaires si nécessaire.
  8. Description du transfert


    Les détails du transfert et des données personnelles sont spécifiés à l'annexe B. Les parties conviennent que l'annexe B peut contenir des informations commerciales confidentielles qu'elles ne divulgueront pas à des tiers, sauf si la loi l'exige ou en réponse à une agence réglementaire ou gouvernementale compétente, ou conformément à la clause I (e). Les parties peuvent exécuter des annexes supplémentaires pour couvrir les transferts supplémentaires, qui seront soumis à l'autorité si nécessaire. L'Annexe B peut, à titre subsidiaire, être rédigée pour couvrir des transferts multiples.

ANNEXE A

PRINCIPES DE TRAITEMENT DES DONNÉES

  1. Limitation de l'objet : les données personnelles peuvent être traitées et utilisées ultérieurement ou communiquées ultérieurement uniquement à des fins décrites dans l'Annexe B, ou ultérieurement autorisées par la personne concernée.
  2. Qualité des données et proportionnalité : Les données personnelles doivent être exactes et, si nécessaire, mises à jour. Les données personnelles doivent être adéquates, pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont transférées et traitées.
  3. Transparence : les personnes concernées doivent recevoir les informations nécessaires pour garantir un traitement équitable (telles que des informations sur les finalités du traitement et sur le transfert), à moins que l'exportateur de données n'ait déjà fourni ces informations.
  4. Sécurité et confidentialité : les mesures de sécurité techniques et organisationnelles doivent être prises par le responsable du traitement de données en fonction des risques présentés par le traitement, tels que la destruction accidentelle ou illicite, la perte accidentelle, la modification, la divulgation non autorisée ou l'accès. Toute personne agissant sous l'autorité du responsable du traitement des données, y compris un sous-traitant, ne doit traiter les données que sur instructions du responsable du traitement des données.
  5. Droits d'accès, de rectification, de suppression et d'opposition : conformément à l'article 12 de la directive 95/46/CE, les personnes concernées doivent recevoir, directement ou par l'intermédiaire d'un tiers, les informations personnelles les concernant détenues par une organisation, sauf si les demandes sont manifestement abusives, fondées sur des intervalles déraisonnables, excessives en nombre, de nature répétitive ou systématique, ou pour lesquelles l'accès ne doit pas être accordé en vertu de la législation du pays de l'exportateur de données. Pourvu que l'autorité ait donné son approbation préalable, l'accès ne doit pas non plus être accordé si cela risque de nuire gravement aux intérêts de l'importateur de données ou d'autres organisations qui traitent avec l'importateur de données et que ces intérêts ne sont pas outrepassés par les intérêts des droits et libertés fondamentaux de la personne concernée. Il n'est pas nécessaire que les sources des données personnelles soient identifiées lorsque cela implique des efforts disproportionnés, ou lorsque les droits de personnes autres que l'individu seraient violés. Les personnes concernées doivent pouvoir faire rectifier, modifier ou supprimer les informations personnelles les concernant lorsqu'elles sont inexactes ou font l'objet d'un traitement contraire aux présents principes. S'il existe des raisons impérieuses de douter de la légitimité de la demande, l'organisation peut exiger d'autres justifications avant de procéder à la rectification, la modification ou la suppression. La notification de toute rectification, modification ou suppression à des tiers auxquels les données ont été divulguées n'est pas nécessaire lorsque cela implique un effort disproportionné. Une personne concernée doit également pouvoir s'opposer au traitement des données à caractère personnel la concernant s'il existe des motifs légitimes impérieux liés à sa situation particulière. La charge de la preuve de tout refus incombe à l'importateur de données et la personne concernée peut toujours contester un refus devant l'autorité.
  6. Données sensibles : l'importateur de données devra prendre les mesures supplémentaires (par exemple relatives à la sécurité) nécessaires pour protéger ces données sensibles, conformément à ses obligations au titre de la clause II.
  7. Données utilisées à des fins de marketing : lorsque des données sont traitées à des fins de marketing direct, des procédures efficaces devraient exister, permettant à la personne concernée de refuser, à tout moment, l'utilisation de ses données à de telles fins.
  8. Décisions automatisées : « décision automatisée » désigne une décision de l'exportateur de données ou de l'importateur de données produisant des effets juridiques concernant ou affectant de manière significative une personne concernée et reposant uniquement sur un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects personnels de la personne concernée, tels que sa performance au travail, sa solvabilité, sa fiabilité, sa conduite, etc. L'importateur de données ne prendra aucune décision automatisée concernant les personnes concernées, sauf si :
      1. de telles décisions sont prises par l'importateur de données lors de la conclusion ou de l'exécution d'un contrat avec la personne               concernée, et
      2. la personne concernée a la possibilité de discuter des résultats d'une décision automatisée pertinente avec un représentant des parties qui prend une telle décision ou de faire des démarches auprès de ces parties.
    1. ou

    2. lorsque cela est prévu par la loi de l'exportateur de données.

    ANNEXE B

    DESCRIPTION DU TRANSFERT

    En signant les Clauses contractuelles types, conformément à la section 12 de l'Addendum, les parties sont réputées avoir signé la présente Annexe B.

    Personnes concernées
    Les données personnelles transférées concernent les catégories suivantes de personnes concernées :
    Les données personnelles transférées concernent généralement les personnes faisant l'objet d'évaluation via la plateforme Emergenetics.

    Description du (des) transfert(s)
    Le transfert est effectué aux fins suivantes :
    Permettre à l'importateur de données d'offrir et / ou de fournir les services d'Emergenetics au nom de l'exportateur de données.

    Catégories de données
    Les données personnelles transférées concernent généralement les catégories de données suivantes :
    Les données personnelles comprennent généralement des données biographiques, des données de contact, des résultats d'apprentissage / gestion et d'évaluation des styles de personnalité.

    Destinataires
    Les données personnelles transférées peuvent être divulguées uniquement aux destinataires ou catégories de destinataires suivants :
    Les parties qui auraient besoin de telles données personnelles pour faciliter la prestation des services Emergenetics.

    Les points de contact pour les demandes de protection des données doivent être fournis par les deux parties, comme indiqué dans l'Addendum.


    [1]« Dispositions pertinentes » désigne les dispositions de toute autorisation ou décision, à l'exception des dispositions d'exécution de toute autorisation ou décision (qui seront régies par ces clauses).

    [2]Toutefois, les dispositions de l'Annexe A.5 concernant les droits d'accès, de rectification, de suppression et d'opposition doivent être appliquées lorsque cette option est choisie et primer sur toute disposition comparable de la décision de la Commission sélectionnée.