Complément à la protection des données
Valable à partir du 12 avril 2024
Le client qui accepte les présentes conditions (“client”) a conclu soit un accord d’utilisation, soit un accord de service SaaS avec masernet GmbH Deutschland (« masernet », « nous », « notre », etc.), en vertu duquel masernet a accepté de fournir des services au client (dans sa version en vigueur, (l’“accord”).
Le présent avenant relatif à la protection des données, y compris ses annexes (l’ “avenant”), entre en vigueur à la date d’entrée en vigueur de l’avenant (tel que défini ci-dessous) et remplace toutes les conditions relatives au traitement des données et à la sécurité précédemment en vigueur. Le présent Avenant fait partie intégrante de l’Accord.
- Définitions
Aux fins du présent avenant, les termes ci-dessous ont la signification qui leur est donnée ci-après. Les termes en majuscules utilisés dans le présent avenant mais non définis ailleurs ont le sens qui leur est donné dans l’accord.1.1“Date d’entrée en vigueur de l’avenant” désigne la date à laquelle les parties ont accepté le présent avenant.1.2“Affiliés” : toutes les entreprises qui, directement ou indirectement, contrôlent l’entreprise concernée, sont contrôlées par elle ou sont sous contrôle commun avec elle, le terme « contrôle » faisant référence au pouvoir de diriger ou d’orienter l’entreprise concernée, que ce soit par la détention de titres assortis de droits de vote, par des contrats ou de toute autre manière.1.3“Rapports d’audit” a la signification qui lui est donnée au point 5.4.4 (Rapports d’audit).1.4“CCPA” désigne la loi californienne de 2018 sur la protection de la vie privée des consommateurs (California Consumer Privacy Act).1.5“Données personnelles du client” désigne toutes les données personnelles ou informations personnelles des sujets de données contenues dans les données fournies à masernet par ou au nom du client ou des utilisateurs finaux du client en relation avec les services ou auxquelles masernet a accès.1.6“Lois globales sur la protection des données” désigne les lois européennes sur la protection des données, CCPA et LGPD, applicables au traitement des données personnelles du Client dans le cadre du Contrat.1.7“EEE” désigne l’Espace économique européen.1.8“UE” signifie l’Union européenne.1.9“Législation européenne sur la protection des données” désigne le RGPD et les autres lois sur la protection des données de l’UE, de ses États membres, de la Suisse, de l’Islande, du Liechtenstein et de la Norvège, qui s’appliquent au traitement des données personnelles des clients dans le cadre du contrat.1.10“RGPD” désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel des personnes concernées dans l’Union européenne et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.1.11“Incident de sécurité des informations” désigne une violation de la sécurité de masernet entraînant la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles du client en possession, sous la garde ou le contrôle de masernet, ou l’accès à ces données. « Incidents liés à la sécurité des informations » ne comprend pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des données personnelles du client, y compris les tentatives infructueuses de connexion, les pings, les scans de ports, les attaques par déni de service et autres attaques réseau sur les pare-feux ou les systèmes en réseau.1.12“LGPD” signifie la loi générale brésilienne sur la protection des données.1.13Les « clauses contractuelles types » ou « CCT » sont les clauses types de protection des données applicables aux transferts de données à caractère personnel vers des sous-traitants établis dans des pays tiers qui ne garantissent pas un niveau de protection adéquat, comme le prévoit l’article 46 du RGPD.1.14« Dossier de sécurité » désigne tous les documents et informations fournis par masernet conformément à la section 5.4.1 (Audits).1.15« Mesures de sécurité » a la signification donnée au point 5.1.1 (Mesures de sécurité de masernet).1.16« Services » désigne les services et/ou produits que masernet fournit au client dans le cadre du contrat.1.17« Sous-traitant » désigne un tiers autorisé à traiter les données à caractère personnel du client en rapport avec les services dans le cadre du présent avenant.1.18« Durée » désigne la période comprise entre la date d’entrée en vigueur de l’Avenant et la fin de la fourniture des Services par masernet.1.19« solution de transfert » désigne les clauses contractuelles types ou toute autre solution permettant le transfert licite de données à caractère personnel vers un pays tiers conformément aux articles 45 ou 46 du RGPD.1.20Les termes « données à caractère personnel », « personne concernée », « traitement », « responsable du traitement », « sous-traitant » et « autorité de contrôle », tels qu’ils sont utilisés dans le présent addendum, ont le sens qui leur est donné dans le RGPD et la LGPD, et les termes « importateur de données » et « exportateur de données » ont le sens qui leur est donné dans les clauses contractuelles types. Les termes « données à caractère personnel », « entreprise » et « prestataire de services » ont le sens qui leur est donné dans le CCPA.
- Durée de l’addendum
Le présent addendum entre en vigueur à la date d’entrée en vigueur de l’addendum et, nonobstant l’expiration de sa durée, reste en vigueur jusqu’à la suppression par masernet de toutes les données personnelles du client, comme décrit dans le présent addendum, après quoi il expire automatiquement. - Traitement des données
3.1 Rôles et conformité ; autorisation.3.1.1 Responsabilités du responsable du traitement et du responsable du traitement. Le présent avenant ne s’applique que dans la mesure où nous traitons les données à caractère personnel du client pour le compte du client. Si la législation européenne sur la protection des données, la LGPD ou la CCPA s’appliquent au traitement des données personnelles du client, les parties le reconnaissent et y consentent :
- l’objet et les détails du traitement sont décrits à l’annexe 1 ;
- masernet est un processeur de ces données personnelles du client conformément à la législation européenne sur la protection des données ou à la LGPD et/ou un fournisseur de services en ce qui concerne ces données personnelles du client conformément à la CCPA, selon le cas ;
- le client est soit un responsable du traitement, soit un sous-traitant de ces données à caractère personnel du client conformément à la législation européenne sur la protection des données ou à la LGPD et/ou une entreprise en relation avec ces données à caractère personnel du client conformément à la CCPA, selon le cas ; et
- chaque partie respectera les obligations qui lui incombent en vertu des lois mondiales applicables en matière de protection des données en ce qui concerne le traitement de ces données personnelles des clients.
3.1.2 Autorisation par le responsable d’un tiers. Si la législation européenne sur la protection des données s’applique au traitement des données personnelles du client et que le client est un sous-traitant, le client garantit à masernet que les instructions et les actions du client concernant ces données personnelles du client, y compris sa désignation de masernet en tant que sous-traitant supplémentaire et son consentement à la transmission des données personnelles du client par masernet à ses sous-traitants, ont été autorisées par l’autorité responsable correspondante.3.2 La portée du traitement.3.2.1 Instructions du client. En concluant le présent Avenant, le Client donne instruction à masernet de traiter les données personnelles du Client uniquement en conformité avec la loi applicable : (a) afin de fournir les Services ; (b) comme autorisé par le Contrat, y compris le présent Avenant et ses annexes ; et (c) comme documenté plus en détail dans d’autres instructions écrites données par le Client et acceptées par écrit par masernet comme instructions aux fins du présent Avenant.3.2.2 masernet respecte les instructions. masernet ne traitera les données personnelles du client que conformément aux instructions du client (y compris en ce qui concerne les transferts de données) décrites à la section 3.2.1 (« instructions du client »), à moins que les lois mondiales applicables en matière de protection des données auxquelles masernet est soumise n’exigent un autre traitement des données personnelles du client par masernet, auquel cas masernet en informera le client (à moins que la loi n’interdise à masernet de le faire pour des raisons importantes d’intérêt public).
- Suppression des données
4.1 Effacement à la fin du contrat. Sauf disposition contraire dans le contrat, le client ordonne à masernet de supprimer toutes les données personnelles du client (y compris les copies existantes) des systèmes de masernet à l’expiration de la durée du contrat, dès que la loi en vigueur l’exige, à moins que la loi en vigueur n’empêche masernet de supprimer ces données. Dans la mesure où le client est lié par des lois ou des règlements qui obligeraient masernet à conserver les données personnelles du client après l’expiration de la durée de validité et que le client n’informe pas masernet de telles obligations de conservation, le client est seul responsable de la suppression de ces données par masernet conformément au présent paragraphe 4.1.
- Sécurité des données
5.1 Mesures de sécurité,contrôles et soutien de masernet.5.1.1 Les mesures de sécurité de masernet. masernet mettra en place et maintiendra des mesures techniques et organisationnelles pour protéger les données personnelles du Client contre la destruction accidentelle ou illicite, la perte, l’altération, la divulgation non autorisée ou l’accès aux données personnelles du Client, telles que décrites dans l’Annexe 2 (les » Mesures de sécurité « ). masernet peut mettre à jour ou modifier les Mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications ne réduisent pas sensiblement la sécurité globale des Services.5.1.2 Respect des règles de sécurité par les collaborateurs de masernet. masernet n’accorde l’accès aux données personnelles du client qu’aux collaborateurs, prestataires et sous-traitants qui ont besoin de cet accès pour l’étendue de leur prestation et qui sont soumis à des accords de confidentialité correspondants.5.1.3 Assistance de masernet en matière de sécurité. masernet fournira (en tenant compte de la nature du traitement des données personnelles du Client et des informations dont dispose masernet) l’assistance raisonnable dont le Client a besoin pour remplir ses obligations concernant les données personnelles du Client conformément à la législation mondiale sur la protection des données, y compris les articles 32 à 34 (inclus) du GDPR et les articles 6 et 46 de la LGPD :
- Mettre en œuvre et maintenir les mesures de sécurité décrites au point 5.1.1 (mesures de sécurité de masernet) ;
- le respect des dispositions de la section 5.2 (Incidents de sécurité de l’information) ; et
- fournir au Client le Dossier de Sécurité conformément à la Section 5.4.1 (Révision du Dossier de Sécurité) et à l’Accord, y compris le présent Avenant.
5.2 Incidents dans le domaine de la sécurité de l’information.5.2.1 Notification en cas d’incident de sécurité de l’information. Si masernet prend connaissance d’un incident de sécurité de l’information, masernet : (a) notifiera le client immédiatement après avoir pris connaissance de l’incident de sécurité de l’information ; et (b) prendra des mesures raisonnables pour identifier le cas d’un tel incident de sécurité de l’information, minimiser les dommages et empêcher qu’il ne se reproduise.5.2.2 Détails de l’incident de sécurité de l’information. Les notifications effectuées conformément à la présente section 5.2 (Incidents de sécurité de l’information) décrivent, dans la mesure où cela est raisonnablement possible, les détails de l’incident de sécurité de l’information, y compris (i) la nature de l’incident de sécurité de l’information, y compris, dans la mesure du possible, les catégories et le nombre approximatif de personnes concernées ainsi que les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés ; (ii) le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations complémentaires peuvent être obtenues ; (iii) les conséquences probables de l’incident de sécurité de l’information ; (iv) les mesures prises ou proposées pour atténuer les risques potentiels et les mesures que masernet recommande au client de prendre pour gérer l’incident de sécurité de l’information, y compris, le cas échéant, les mesures visant à atténuer ses éventuelles conséquences négatives.5.2.3 Déclaration. Le Client est seul responsable du respect de la législation qui lui est applicable en matière de notification des incidents et de l’exécution de toute obligation de notification à des tiers en rapport avec un ou plusieurs incidents de sécurité de l’information.5.2.4 Pas de reconnaissance d’une faute par masernet. Le fait d’informer masernet d’un incident dans le domaine de la sécurité de l’information ou de réagir à un tel incident conformément à la présente section 5.2 (Incidents dans le domaine de la sécurité de l’information) ne doit pas être considéré comme une reconnaissance de faute ou de responsabilité de masernet en rapport avec l’incident dans le domaine de la sécurité de l’information.5.3 Responsabilité et évaluation de la sécurité du client.5.3.1 Responsabilité du client en matière de sécurité. Le Client accepte que, sans préjudice des obligations de masernet conformément à la section 5.1 (Mesures, contrôles et soutien de masernet en matière de sécurité) et à la section 5.2 (Incidents de sécurité de l’information) :- Le client est seul responsable de l’utilisation qu’il fait des services, y compris
- utilisation appropriée des services afin de garantir un niveau de sécurité adapté au risque en ce qui concerne les données à caractère personnel du client ;
- la sécurisation des données d’authentification, des systèmes et des appareils utilisés par le client pour accéder aux services ; et
- la sécurisation des systèmes et des appareils du client utilisés par masernet pour la fourniture des services ; et
- la sécurisation des données personnelles de ses clients.
- masernet n’est pas tenu de protéger les données personnelles du client que le client enregistre ou transfère en dehors des systèmes de masernet et de ses sous-traitants (par ex. enregistrement hors ligne ou sur site).
5.3.2 Évaluation de la sécurité du client.- Le Client est seul responsable de l’examen de la documentation relative à la sécurité et de l’évaluation par lui-même de l’adéquation des Services, des mesures de sécurité et des obligations de masernet en vertu de la présente section 5 (Sécurité des données) aux besoins du Client, y compris en ce qui concerne les éventuelles obligations de sécurité du Client en vertu de la législation mondiale applicable en matière de protection des données.
- Le Client reconnaît et accepte que (compte tenu de l’état de l’art, des coûts de mise en œuvre et de la nature, de l’étendue, du contexte et des finalités du traitement des données personnelles du Client, ainsi que des risques pour les individus) les mesures de sécurité mises en œuvre et maintenues par masernet, telles qu’énoncées à la section 5.1.1 (Mesures de sécurité de masernet), offrent un niveau de sécurité adapté aux risques liés aux données personnelles du Client.
5.4 Vérifications et audits de conformité.5.4.1 Vérifications. Le Client peut vérifier le respect des obligations de masernet dans le cadre du présent avenant jusqu’à une fois par an. En outre, le Client ou l’autorité de contrôle du Client peut effectuer des audits (y compris des inspections) plus fréquents dans la mesure requise par la législation mondiale applicable en matière de protection des données. masernet contribuera à de tels audits en fournissant au Client ou à l’autorité de contrôle du Client les informations et l’assistance raisonnablement nécessaires à la réalisation de l’audit, y compris tous les enregistrements pertinents des activités de traitement applicables aux Services.5.4.2 Opposition à l’auditeur d’un tiers. Si un tiers doit effectuer l’audit, masernet peut refuser l’auditeur si, selon l’estimation raisonnable de masernet, celui-ci n’est pas suffisamment qualifié ou indépendant, s’il est un concurrent de masernet ou s’il est manifestement inapproprié pour une autre raison. Une telle objection de masernet oblige le client à nommer un autre auditeur ou à réaliser lui-même l’audit.5.4.3 Demande d’audit. Pour demander un audit, le client doit soumettre à masernet un plan d’audit détaillé au moins deux semaines avant la date d’audit proposée. Le plan d’audit proposé doit décrire l’étendue proposée, la durée et le début de l’audit. masernet examinera le plan d’audit proposé et communiquera au Client toute préoccupation ou question (par exemple, toute demande d’information susceptible de compromettre la sécurité, la protection des données, les conditions de travail ou toute autre politique pertinente de masernet). masernet travaillera avec le Client pour convenir d’un plan d’audit final. Rien dans cette section 5.4 (Vérifications et audits de conformité) n’oblige masernet à violer des obligations de confidentialité.5.4.4 Rapports d’audit. Si le champ d’application de l’audit demandé est traité dans un rapport d’audit SSAE 16/18/ISAE 3402 Type 2, AICPA SOC 2 (SOC for Service Organizations : Trust Services Criteria), ISO, NIST ou similaire, réalisé par un auditeur tiers qualifié (« Rapports d’audit ») dans les douze (12) mois suivant la demande d’audit du Client, et que masernet confirme qu’il n’y a pas de changement significatif connu dans les contrôles audités, le Client accepte d’accepter ces résultats plutôt que de demander un audit des contrôles traités dans le Rapport.5.4.5 Réalisation de l’audit. L’audit doit être réalisé pendant les heures d’ouverture régulières de l’établissement concerné, sous réserve du plan d’audit final convenu et des politiques de masernet en matière de santé et de sécurité ou de toute autre politique pertinente, et ne doit pas perturber indûment les activités commerciales de masernet.5.4.6 Conditions de l’audit. Le Client informera immédiatement masernet de toute violation découverte au cours d’un audit et mettra à la disposition de masernet tous les rapports d’audit établis dans le cadre d’un audit conformément au présent article 5.4 (Examens et audits de conformité), sauf si cela est interdit par la législation mondiale applicable en matière de protection des données ou ordonné d’une autre manière par une autorité de contrôle. Le Client ne peut utiliser les rapports d’audit qu’aux fins de satisfaire à ses exigences réglementaires en matière d’audit et/ou de confirmer la conformité aux exigences du présent Addendum. Les rapports d’audit et toutes les informations Masernet échangées au cours du processus d’audit sont des informations confidentielles des parties conformément aux conditions de l’accord.5.4.7 Coût de l’audit. Tous les audits sont à la charge du client. Le Client remboursera à masernet le temps passé par masernet ou ses sous-traitants dans le cadre d’audits ou d’inspections conformément à la présente section 5.4 (Vérifications et audits de conformité) sur la base des tarifs en vigueur pour les services professionnels de masernet, qui seront mis à la disposition du Client sur demande. Le Client est responsable de tous les frais perçus par un auditeur engagé par le Client pour réaliser un tel audit.5.4.8 Clauses contractuelles types. Les parties conviennent que la présente section 5.4 (Vérifications et audits de conformité) répond aux obligations de masernet en vertu des exigences d’audit des clauses contractuelles types qui s’appliquent à l’importateur de données conformément à la section 5(f) et à tous les sous-traitants ultérieurs conformément à la section 11 et à la section 12(2).
- Évaluations d’impact et consultations
masernet fournira (en tenant compte de la nature du traitement et des informations dont dispose masernet) une assistance raisonnable au Client afin de respecter ses obligations en vertu de la législation mondiale applicable en matière de protection des données en ce qui concerne les évaluations d’impact sur la protection des données et les consultations préalables, y compris, le cas échéant, les obligations du Client en vertu des articles 35 et 36 du RGPD :6.1 Rapports d’audit et mesures de sécurité. Fournir, pour examen, des copies des rapports d’audit ou d’autres documents décrivant les aspects pertinents du programme de sécurité de l’information de masernet et des mesures de sécurité appliquées dans ce contexte ; et6.2 Informations complémentaires. Fournir les informations contenues dans l’accord, y compris le présent avenant.
- Droits de la personne concernée
7.1 Responsabilité du client pour les demandes. Si masernet reçoit une demande d’une personne concernée concernant les données personnelles du Client pendant la Durée, masernet, à sa discrétion, (i) informera le Client de la demande, (ii) conseillera à la personne concernée d’adresser sa demande au Client, et/ou (iii) informera la personne concernée que sa demande a été transmise au Client. Le client est responsable de la réponse à une telle demande.
7.2 masernet’s Data Subject Request Assistance. masernet fournira (en tenant compte de la nature du traitement des données personnelles du Client) au Client une fonctionnalité de libre-service via les Services ou toute autre assistance appropriée nécessaire au Client pour remplir son obligation, conformément à la législation mondiale applicable en matière de protection des données, de répondre aux demandes des personnes concernées, y compris, le cas échéant, l’obligation du Client de répondre aux demandes d’exercice des droits de la personne concernée conformément au chapitre III du GDPR, aux articles 18 et 19 de la LGPD ou à la section 1798.105 du CCPA. Le Client remboursera à masernet les coûts d’une telle assistance, au-delà de la fourniture des fonctions de libre-service faisant partie des Services, aux tarifs en vigueur pour les services professionnels de masernet, qui seront mis à la disposition du Client sur demande.
- Transfert de données
8.1 Installations de stockage et de traitement des données. masernet peut, sous réserve du paragraphe 8.2 (transferts de données depuis l’EEE), stocker et traiter les données personnelles du client partout où masernet ou ses sous-traitants disposent d’installations.8.2 Transfert de données en dehors de l’EEE.8.2.1 Obligations de transfert de masernet. Si le stockage et/ou le traitement des données personnelles du Client (comme indiqué à la section 8.1 (Installations de stockage et de traitement des données)) implique le transfert des données personnelles du Client en dehors de l’EEE ou de la Suisse et que la législation européenne sur la protection des données s’applique au transfert de ces données (« Données personnelles transférées »), masernet effectuera ce transfert conformément à une solution de transfert et fournira au Client, sur demande, des informations sur cette solution de transfert.8.2.2 Obligations du client lors de la transmission. En ce qui concerne les données personnelles transférées, le Client accepte que si masernet, conformément à la législation européenne sur la protection des données, exige raisonnablement que le Client utilise une autre solution de transfert proposée par masernet (à l’exception des clauses contractuelles standard jointes en annexe 3 et incorporées par référence, dans la mesure où le Client transmet des données personnelles du Client à masernet depuis l’EAA ou la Suisse), et masernet exige raisonnablement que le Client prenne toutes les mesures (ce qui peut inclure l’exécution de documents) nécessaires pour donner plein effet à une telle solution, le Client le fera.
8.3 Révélation d’informations confidentielles contenant des données personnelles. Si le Client a conclu des Clauses contractuelles standard telles que décrites à la section 8.2 (Transferts de données hors de l’EEE), masernet procédera, nonobstant toute disposition contraire dans le Contrat, à toute divulgation d’informations confidentielles du Client contenant des données personnelles et à toute notification relative à de telles divulgations conformément à ces Clauses contractuelles standard. Aux fins des Clauses contractuelles standard, le Client et masernet conviennent que (i) le Client agit en tant qu’exportateur de données en son propre nom et au nom des sociétés du Client et (ii) masernet ou sa société affiliée respective agit en son propre nom et/ou au nom des sociétés affiliées de masernet en tant qu’importateur de données.
- Sous-processeurs
9.1Approbation du recours à des sous-traitants. Le Client autorise généralement le recours à des tiers en tant que sous-traitants secondaires et autorise le transfert des données à caractère personnel du Client aux sous-traitants secondaires engagés par masernet. Si le client a conclu des clauses contractuelles standard, comme décrit dans la section 8.2 (transferts de données hors de l’EEE), les autorisations susmentionnées constituent le consentement écrit préalable du client à la sous-traitance du traitement des données personnelles du client par masernet, si un tel consentement est requis en vertu des clauses contractuelles standard.9.2 Informations sur les sous-traitants. Les informations sur les sous-traitants, y compris leurs fonctions et leurs emplacements, sont disponibles à l’adresse https://masernet.com/dpa/subprocessors et peuvent être mises à jour de temps à autre par masernet conformément au présent addendum.9.3 Exigences pour le recours à des sous-traitants. En cas d’engagement d’un sous-traitant, masernet conclura avec ce sous-traitant un contrat écrit contenant des obligations de protection des données qui ne sont pas moins protectrices que celles prévues dans le contrat (y compris le présent avenant) en ce qui concerne la protection des données personnelles du client, dans la mesure où cela s’applique au type de services fournis par ce sous-traitant. masernet est responsable de toutes les obligations transférées au sous-traitant ainsi que de tous les actes et omissions du sous-traitant.
9.4 Possibilité de s’opposer aux changements de sous-traitant. Si un nouveau sous-traitant secondaire est engagé pendant la durée du contrat, masernet informera le client de l’engagement au moins 30 jours avant que le nouveau sous-traitant secondaire ne traite les données personnelles du client (y compris le nom et le lieu du sous-traitant secondaire concerné et les activités qu’il effectuera). Le Client peut s’opposer à tout nouveau sous-traitant ultérieur en envoyant une notification écrite à masernet dans les dix (10) jours ouvrables suivant la date à laquelle il a été informé de l’engagement du sous-traitant ultérieur comme indiqué ci-dessus. Si le Client s’oppose à un nouveau sous-traitant, le Client et masernet collaboreront de bonne foi pour trouver une solution mutuellement acceptable afin de lever cette opposition. Si les parties ne sont pas en mesure de trouver une solution mutuellement acceptable dans un délai raisonnable, le client peut, comme seul et unique recours, résilier le contrat par notification écrite à masernet.
- Traitement des enregistrements
10.1Enregistrements relatifs au traitement effectué par masernet. Le Client prend acte du fait que masernet est tenue, conformément au RGPD, de : (a) collecter et conserver des enregistrements de certaines informations, y compris le nom et les coordonnées de chaque sous-traitant et/ou responsable pour lequel masernet agit et, le cas échéant, du représentant local et du délégué à la protection des données d’un tel sous-traitant ou responsable ; et (b) mettre ces informations à la disposition des autorités de contrôle. Si le RGPD s’applique au traitement des données personnelles du client, le client fournira ces informations à masernet sur demande et veillera à ce que toutes les informations fournies soient exactes et à jour.
- Responsabilité
11.1 Plafond de responsabilité. La responsabilité globale combinée d’une partie et de ses sociétés affiliées vis-à-vis de l’autre partie et de ses sociétés affiliées, que ce soit sur la base d’un contrat, d’un délit civil ou de toute autre théorie de responsabilité, dans le cadre ou en relation avec le Contrat, le présent Addendum et les Clauses contractuelles types, lorsqu’ils sont conclus comme décrit à la Section 8.2 (Transferts de données depuis l’EEE), est limitée aux limites de responsabilité ou à toute autre limite de responsabilité convenue par les parties dans le Contrat, sous réserve de la Section 11.2 (Exclusions de limites de responsabilité).11.2 L’exclusion du plafond de responsabilité. La section 11.1 (Plafond de responsabilité) n’affecte pas la responsabilité d’une partie envers les personnes concernées conformément aux dispositions des clauses contractuelles types pour les tiers bénéficiaires, dans la mesure où la limitation de ces droits est interdite par la législation européenne sur la protection des données.
- Analytique
Le client reconnaît et accepte que masernet puisse créer et déduire des données anonymes et/ou agrégées n’identifiant ni le client ni une personne physique à partir du traitement lié aux services, et que masernet puisse utiliser, publier ou partager ces données avec des tiers pour améliorer les produits et services de masernet et à d’autres fins commerciales légitimes. - Notes
Nonobstant toute disposition contraire dans le Contrat, toutes les notifications qui doivent ou peuvent être faites par masernet au Client peuvent être faites (a) conformément à la clause de résiliation du Contrat, (b) aux points de contact primaires de masernet avec le Client et/ou (c) à un e-mail fourni par le Client dans le but de fournir des notifications ou des avertissements liés au Service. Le Client est seul responsable de s’assurer que ces adresses e-mail sont valides. - Effet des présentes conditions
Nonobstant toute disposition contraire dans le contrat, en cas de conflit ou de contradiction entre le présent avenant et les autres dispositions du contrat, le présent avenant prévaut.
Annexe 1
Objet et modalités du traitement des données
La présente annexe 1 est incluse dans l’avenant et fait également partie des clauses contractuelles types (dans la mesure où ces clauses contractuelles types s’appliquent au client).
Importateur de données | L’importateur de données (ou fournisseur de services/processeur) est masernet, un fournisseur de solutions de productivité. |
Exportateur de données | L’exportateur de données (ou l’entreprise/le contrôleur) est le client, qui est une partie à l’avenant. |
Objet | la fourniture des services par masernet au client, comme indiqué dans le contrat et l’avenant. |
Durée du traitement | Durée à laquelle s’ajoute la période comprise entre l’expiration de la Durée et la suppression par masernet de toutes les données à caractère personnel du Client conformément à l’avenant. |
Nature et finalité du traitement | masernet reçoit, traite et stocke les données personnelles du client aux fins de fournir les services au client conformément au contrat et à l’avenant, de communiquer avec le client et ses utilisateurs finaux, de fournir un service à la clientèle, de surveiller, d’entretenir et d’améliorer les services et de remplir autrement ses obligations en vertu du contrat. |
Catégories de données possibles |
|
Données Sujets |
|
Sous-processeurs |
|
Annexe 2
Mesures de sécurité
La présente annexe 2 est incluse dans l’avenant et fait également partie des clauses contractuelles types (si de telles clauses contractuelles types sont applicables au client).
A compter de la date d’entrée en vigueur de l’avenant, masernet mettra en place et maintiendra des mesures de sécurité techniques et organisationnelles. masernet peut mettre à jour ou modifier ces mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications ne réduisent pas sensiblement la sécurité globale des services.
Annexe 3
Clauses contractuelles types
Aux fins de l’article 26, paragraphe 2, de la directive 95/46/CE pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n’assurent pas un niveau adéquat de protection des données, le client qui accepte les clauses conformément à l’addendum (l' »exportateur de données ») accepte
Et
Masernet GmbH Allemagne (l' »importateur de données »)
SONT CONVENUS des clauses contractuelles suivantes (les « clauses ») afin de fournir des garanties appropriées en matière de protection de la vie privée et des libertés et droits fondamentaux des personnes physiques pour le transfert des données à caractère personnel figurant à l’appendice 1 par l’exportateur de données à l’importateur de données.
Contexte
L’exportateur de données a conclu un addendum au traitement des données (« DPA ») avec l’importateur de données. Selon les termes de l’Addendum, il est prévu que les services fournis par l’importateur de données impliquent le transfert de données à caractère personnel à l’importateur de données. L’importateur de données est établi dans un pays qui ne garantit pas un niveau adéquat de protection des données. Afin de garantir le respect de la directive 95/46/CE et de la législation applicable en matière de protection des données, le responsable du traitement accepte de fournir de tels services, y compris le traitement des données à caractère personnel qui en découle, pour autant que l’importateur de données remplisse et respecte les conditions des présentes clauses
Clause 1: Définitions
Aux fins des clauses :
- Les termes « données à caractère personnel », « catégories particulières de données », « traitement », « responsable du traitement », « sous-traitant », « personne concernée » et « autorité de contrôle » ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
- l' »exportateur de données » est le responsable du traitement qui transfère les données à caractère personnel ;
- importateur de données » : le sous-traitant qui accepte de recevoir de l’exportateur de données des données à caractère personnel destinées à être traitées en son nom après le transfert conformément à ses instructions et aux dispositions des clauses, et qui n’est pas soumis à un système d’un pays tiers assurant un niveau de protection adéquat au sens de l’article 25, paragraphe 1, de la directive 95/46/CE ;
- sous-traitant ultérieur » : tout sous-traitant engagé par l’importateur de données ou par un autre sous-traitant ultérieur de l’importateur de données qui accepte de recevoir de l’importateur de données ou d’un autre sous-traitant ultérieur de l’importateur de données des données à caractère personnel destinées exclusivement à des activités de traitement effectuées pour le compte de l’exportateur de données après le transfert, conformément à ses instructions, aux dispositions des clauses et aux dispositions du contrat écrit de sous-traitance ;
- législation applicable en matière de protection des données » : la législation protégeant les libertés et droits fondamentaux des personnes physiques, et notamment leur droit au respect de la vie privée à l’égard du traitement des données à caractère personnel, qui s’applique à un responsable du traitement dans l’État membre dans lequel l’exportateur de données est établi ;
- mesures de sécurité techniques et organisationnelles » : les mesures visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte la transmission de données par un réseau, ainsi que contre toute autre forme illicite de traitement.
Clause 2: modalités de transfert
Les modalités de transfert, notamment les catégories particulières de données à caractère personnel, sont précisées à l’annexe 1, qui fait partie intégrante des clauses.
Clause 3: Clause de tierce partie
- La personne concernée peut invoquer la présente clause, la clause 4, points b) à i), la clause 5, points a) à e) et g) à j), la clause 6, paragraphes 1 et 2, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 en tant que tiers bénéficiaire à l’encontre de l’exportateur de données.
- La personne concernée peut invoquer la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 à l’encontre de l’importateur de données si l’exportateur de données a cessé d’exister en fait ou en droit, à moins qu’une société lui succédant n’ait repris, par contrat ou de plein droit, l’ensemble des obligations juridiques de l’exportateur de données, se substituant ainsi aux droits et obligations de ce dernier, auquel cas la personne concernée peut les invoquer à l’encontre de cette société.
- La personne concernée peut faire valoir la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 à l’encontre du sous-traitant ultérieur si l’exportateur de données et l’importateur de données ont tous deux cessé d’exister en fait ou en droit ou sont devenus insolvables, à moins qu’une entité succédant à l’exportateur de données ne se soit substituée à lui, par contrat ou par effet de la loi, dans toutes ses obligations légales, reprenant ainsi les droits et obligations de l’exportateur de données ; dans ce cas, la personne concernée peut les faire valoir auprès de cette entité. La responsabilité du sous-traitant ultérieur à l’égard des tiers est limitée à ses propres opérations de traitement conformément aux clauses.
- Les parties ne s’opposent pas à ce qu’une personne concernée soit représentée par une association ou un autre organisme si la personne concernée en fait expressément la demande et si le droit national l’autorise.
Clause 4: Obligations de l’exportateur de données
L’exportateur de données accepte et garantit cela :
- que le traitement des données à caractère personnel, y compris le transfert lui-même, a été et continuera d’être effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l’État membre dans lequel l’exportateur de données est établi) et n’enfreint pas les dispositions pertinentes de cet État ;
- qu’il a donné instruction à l’importateur de données, et qu’il lui donnera instruction pendant toute la durée des services de traitement des données à caractère personnel, de ne traiter les données à caractère personnel transférées qu’au nom de l’exportateur de données et conformément à la législation et aux clauses applicables en matière de protection des données ;
- que l’importateur de données offre des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles visées à l’appendice 2 du présent contrat ;
- qu’après examen des exigences de la législation applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte la transmission de données par un réseau, ainsi que contre toute autre forme illicite de traitement, et que ces mesures assurent un niveau de protection adapté aux risques présentés par le traitement et à la nature des données à protéger, compte tenu de l’état de l’art et du coût de leur mise en œuvre ;
- qu’elle veillera au respect des mesures de sécurité ;
- que, si le transfert concerne des catégories particulières de données, la personne concernée a été ou sera informée, avant le transfert ou dans les meilleurs délais après celui-ci, que ses données pourraient être transférées vers un pays tiers n’assurant pas un niveau de protection adéquat au sens de la directive 95/46/CE ;
- transmettre à l’autorité de contrôle de la protection des données toute notification de l’importateur de données ou d’un sous-traitant ultérieur en vertu de la clause 5, point b), et de la clause 8, paragraphe 3, si l’exportateur de données décide de poursuivre le transfert ou de lever la suspension ;
- fournir aux personnes concernées, à leur demande, un exemplaire des clauses, à l’exception de l’annexe 2, et une description sommaire des mesures de sécurité, ainsi qu’un exemplaire de tout contrat de sous-traitance qui doit être conclu en vertu des clauses, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas elle peut supprimer ces informations commerciales ;
- qu’en cas de sous-traitement, l’activité de traitement visée à la clause 11 est effectuée par un sous-traitant ultérieur qui offre au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l’importateur de données conformément aux clauses ; et
- qu’elle veillera au respect de la clause 4, points a) à i).
Clause 5: Obligations de l’importateur de données
L’importateur de données accepte et garantit cela :
-
- traiter les données à caractère personnel uniquement pour le compte de l’exportateur de données et conformément aux instructions et aux clauses de ce dernier ; si, pour quelque raison que ce soit, il ne peut pas le faire, il s’engage à informer immédiatement l’exportateur de données qu’il n’est pas en mesure de le faire ; dans ce cas, l’exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;
- qu’il n’a aucune raison de croire que la législation qui lui est applicable l’empêche de respecter les instructions reçues de l’exportateur de données et les obligations qui lui incombent en vertu du contrat et que, en cas de modification de cette législation susceptible d’avoir un effet défavorable significatif sur les garanties et obligations prévues par les clauses, il notifiera cette modification à l’exportateur de données dès qu’il en aura connaissance, auquel cas l’exportateur de données sera en droit de suspendre le transfert de données et/ou de résilier le contrat ;
- qu’elle a pris, avant le traitement des données à caractère personnel transmises, les mesures de sécurité techniques et organisationnelles visées à l’annexe 2 ;
- qu’elle communiquera immédiatement à l’exportateur de données :
i.toute demande juridiquement contraignante d’un service répressif de divulguer les données à caractère personnel, sauf si cela est interdit par ailleurs, par exemple par une interdiction pénale visant à préserver la confidentialité d’une enquête pénale,
ii.tout accès accidentel ou non autorisé, et
iii.toute demande reçue directement des personnes concernées, sans répondre à cette demande, à moins d’y avoir été autrement autorisé ; - répondre rapidement et correctement à toutes les demandes de l’exportateur de données concernant le traitement des données à caractère personnel faisant l’objet du transfert et suivre les conseils de l’autorité de contrôle concernant le traitement des données transférées ;
- à la demande de l’exportateur de données, soumettre ses installations de traitement de données à un audit des activités de traitement couvertes par les clauses, effectué par l’exportateur de données ou par une autorité de contrôle composée de membres indépendants possédant les qualifications professionnelles requises et tenus au secret professionnel ; cette autorité est choisie par l’exportateur de données, le cas échéant en accord avec l’autorité de contrôle ;
- fournir à la personne concernée, sur demande, une copie des clauses ou d’un contrat de sous-traitement existant, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales, à l’exception de l’annexe 2, qui est remplacée par une description sommaire des mesures de sécurité dans les cas où la personne concernée ne peut pas obtenir de copie de l’exportateur de données ;
- qu’en cas de sous-traitement, elle a informé au préalable l’exportateur de données et obtenu son consentement écrit ;
- que le traitement par le sous-traitant ultérieur est effectué conformément au point 11 ;
- fournir sans délai à l’exportateur de données une copie des contrats de sous-traitance qu’il a conclus dans le cadre des clauses.
Clause 6: Responsabilité
- Les parties conviennent que toute personne concernée ayant subi un dommage à la suite d’une violation par une partie ou un sous-traitant ultérieur des obligations visées à la clause 3 ou à la clause 11 a le droit d’obtenir de l’exportateur de données réparation du préjudice subi.
- Lorsqu’une personne concernée n’est pas en mesure de faire valoir une demande d’indemnisation à l’encontre de l’exportateur de données conformément au paragraphe 1 en raison d’un manquement de l’importateur de données ou de son sous-traitant ultérieur à l’une des obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données a cessé d’exister en fait ou en droit ou est devenu insolvable, l’importateur de données accepte que la personne concernée puisse se retourner contre l’importateur de données comme s’il était l’exportateur de données, à moins qu’une société lui succédant n’ait repris, contractuellement ou de plein droit, l’ensemble des obligations légales de l’exportateur de données ; dans ce cas, la personne concernée peut faire valoir ses droits auprès de cette entreprise.L’importateur de données ne peut pas invoquer le fait qu’un sous-traitant ultérieur a manqué à ses obligations pour échapper à sa propre responsabilité.
- Lorsqu’une personne concernée n’est pas en mesure d’engager une action contre l’exportateur de données ou l’importateur de données conformément aux paragraphes 1 et 2 en raison d’une violation par le sous-traitant ultérieur de l’une de ses obligations au titre de la clause 3 ou de la clause 11, parce que l’exportateur de données et l’importateur de données ont tous deux cessé d’exister en fait ou en droit ou sont devenus insolvables, le sous-traitant ultérieur accepte que la personne concernée puisse engager une action contre le sous-traitant ultérieur en ce qui concerne ses propres opérations de traitement conformément aux clauses, comme s’il était l’exportateur ou l’importateur de données, le sous-traitant ultérieur accepte que la personne concernée puisse faire appel au sous-traitant ultérieur pour ses propres opérations de traitement conformément aux clauses comme s’il était l’exportateur ou l’importateur de données, à moins qu’un successeur n’ait repris, par contrat ou de plein droit, l’ensemble des obligations légales de l’exportateur ou de l’importateur de données ; dans ce cas, la personne concernée peut faire valoir ses droits auprès de cette entreprise. La responsabilité du sous-traitant ultérieur est limitée à ses propres opérations de traitement conformément aux clauses
Clause 7: Arbitrage et juridiction
- L’importateur de données accepte que l’importateur de données accepte la décision de la personne concernée si celle-ci fait valoir des droits de tiers bénéficiaire à son encontre et/ou demande des dommages et intérêts conformément aux clauses :
- de soumettre le litige à l’arbitrage d’une personne indépendante ou, le cas échéant, de l’autorité de contrôle ;
- de porter le litige devant les juridictions de l’État membre dans lequel l’exportateur de données est établi.
- Les parties conviennent que le choix effectué par la personne concernée ne porte pas atteinte à ses droits substantiels et procéduraux d’exercer un recours en vertu d’autres dispositions du droit national ou international.
Clause 8: Coopération avec les autorités de contrôle
- L’exportateur de données accepte de déposer une copie du présent contrat auprès de l’autorité de contrôle si celle-ci en fait la demande ou si un tel dépôt est requis par la législation applicable en matière de protection des données.
- Les parties conviennent que l’autorité de contrôle a le droit de soumettre l’importateur de données et tout sous-traitant ultérieur à un audit ayant la même portée et soumis aux mêmes conditions qu’un audit de l’exportateur de données en vertu de la législation applicable en matière de protection des données.
- L’importateur de données informe immédiatement l’exportateur de données de l’existence d’une législation applicable à lui-même ou à un sous-traitant ultérieur qui empêche la réalisation d’un audit auprès de l’importateur de données ou d’un sous-traitant ultérieur conformément au paragraphe 2. Dans un tel cas, l’exportateur de données est autorisé à prendre les mesures prévues au paragraphe 5, point b).
Clause 9: Droit applicable
Les clauses sont régies par le droit de l’État membre dans lequel l’exportateur de données est établi.
Clause 10: Modification du contrat
Les parties s’engagent à ne pas changer ou modifier les clauses. Cela n’empêche pas les parties d’ajouter, si nécessaire, des clauses sur des questions liées aux affaires, tant qu’elles ne sont pas en contradiction avec les clauses.
Clause 11: Sous-traitance
- L’importateur de données ne peut sous-traiter aucun des traitements qu’il effectue pour le compte de l’exportateur de données conformément aux clauses sans le consentement écrit préalable de ce dernier. Si l’importateur de données sous-traite ses obligations au titre des clauses avec le consentement de l’exportateur de données, il ne peut le faire que par le biais d’un accord écrit avec le sous-traitant ultérieur, qui impose au sous-traitant ultérieur les mêmes obligations que celles imposées à l’importateur de données au titre des clauses. Si le sous-traitant ultérieur ne respecte pas les obligations en matière de protection des données qui lui incombent en vertu d’un tel accord écrit, l’importateur de données reste entièrement responsable envers l’exportateur de données de l’exécution par le sous-traitant ultérieur des obligations qui lui incombent en vertu de cet accord.
- Le contrat écrit préalable entre l’importateur de données et le sous-traitant ultérieur prévoit également une clause de bénéfice pour autrui, conformément à la clause 3, dans le cas où la personne concernée n’est pas en mesure d’exercer le droit à réparation visé à la clause 6, paragraphe 1, à l’encontre de l’exportateur de données ou de l’importateur de données parce que ceux-ci ont cessé d’exister en fait ou en droit ou sont devenus insolvables et qu’aucune entité succédant à l’exportateur de données ou à l’importateur de données n’a repris, par contrat ou par effet de la loi, l’ensemble de ses obligations légales. La responsabilité du sous-traitant vis-à-vis des tiers est limitée à ses propres opérations de traitement conformément aux clauses.
- Les dispositions relatives aux aspects de la protection des données liés au sous-traitement du contrat visé au paragraphe 1 sont régies par le droit de l’État membre dans lequel l’exportateur de données est établi.
- L’exportateur de données tient une liste des contrats de sous-traitance conclus en vertu des clauses et notifiés par l’importateur de données conformément à la clause 5, point j), qui doit être mise à jour au moins une fois par an. Cette liste est mise à la disposition de l’autorité de contrôle de la protection des données de l’exportateur de données.
Clause 12: Obligations après la fin du traitement des données à caractère personnel
- Les parties conviennent qu’à la fin de la fourniture des services de traitement des données, l’importateur de données et le sous-traitant ultérieur, au choix de l’exportateur de données, restitueront à l’exportateur de données toutes les données à caractère personnel transférées et les copies de celles-ci ou détruiront toutes les données à caractère personnel et certifieront ce fait à l’exportateur de données, à moins que la législation n’empêche l’importateur de données de restituer ou de détruire tout ou partie des données à caractère personnel transférées. Dans ce cas, l’importateur de données garantit qu’il assurera la confidentialité des données à caractère personnel transférées et qu’il ne traitera plus activement les données à caractère personnel transférées.
- L’importateur de données et le sous-traitant ultérieur veillent à ce que, à la demande de l’exportateur de données et/ou de l’autorité de contrôle, ils soumettent leurs installations de traitement de données à un audit des mesures visées au paragraphe 1.
Sous-processeur | Activités | Données personnelles | Site(s) |
---|---|---|---|
Amazon Web Services | Infrastructure (fournisseur de services cloud) | N.A. | États-Unis, Brésil, Irlande, Allemagne, Inde, Australie, Corée du Sud |
Solutions DeftBox | Développement | Organisation, ID de compte, métadonnées de la demande, IP, ID de compte | Inde |
Google Analytics | Analytique, marketing | N.A. | ÉTATS-UNIS |
Hetzner | Infrastructure (fournisseur de services cloud) | Allemagne | |
Marketing | N.A. | ÉTATS-UNIS | |
OVH Cloud | Infrastructure (fournisseur de services cloud) | N.A. | Allemagne |
Namecheap | Infrastructure | Courrier électronique, contenu du courrier électronique et activités d’infrastructure connexes | ÉTATS-UNIS |