Le présent Accord de traitement des données dans le cadre du règlement général sur la protection des données (le présent « ATD ») est conclu par et entre Celartem, Inc. d.b.a. Extensis ou LizardTech (« Extensis ») et le partenaire, et régit le traitement des données personnelles par Extensis dans la mesure où ces données personnelles concernent des personnes physiques dans l’Espace économique européen (« EEE »), au Royaume-Uni (« R-U ») ou en Suisse dans le cadre des obligations d’Extensis en vertu de l’Accord.
Les parties conviennent qu’aux fins du présent APD, le Partenaire est un contrôleur de données et Extensis est un responsable du traitement des données.
- Loi applicable. Extensis déclare et garantit se conformer à toutes les lois applicables en matière de protection des données.
- Instructions du Partenaire. Extensis traitera les données personnelles uniquement sur instructions documentées du Partenaire, y compris en ce qui concerne les transferts de données personnelles à un pays tiers ou à une organisation internationale, à moins que le droit de l’Union européenne ou de l’État membre auquel Extensis est soumis ne l’exige. Extensis informera rapidement le Partenaire si le fait de suivre les instructions du Partenaire entraînerait une violation de la loi applicable en matière de protection des données ou si Extensis doit divulguer des données personnelles en réponse à une obligation légale (à moins que l’obligation légale n’interdise à Extensis de faire une telle divulgation). Pour éviter tout doute, les instructions documentées du Partenaire comprennent cet APD.
- Confidentialité. Extensis limitera l’accès aux données personnelles aux personnes autorisées qui en ont besoin pour fournir les Services. Extensis s’assurera que ces personnes autorisées sont tenues de maintenir la confidentialité de toute donnée personnelle.
- Sécurité. Extensis mettra en place les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité approprié aux données personnelles fournies par le Partenaire et traitées par Extensis.
- Sous-traitants. Le Partenaire convient qu’Extensis peut engager d’autres fournisseurs de traitement de données (les « sous-traitants ») pour l’aider à fournir les Services en respectant le présent APD. Extensis mettra à disposition une liste de ces sous-traitants par le biais d’un lien sur le site Web. Le Partenaire disposera de 30 jours calendaires à compter de la date de mise à jour de la liste pour s’opposer à l’utilisation par Extensis de nouveaux sous-traitants, après quoi le Partenaire sera réputé avoir accepté la liste des sous-traitants d’Extensis. L’objection du Partenaire sera effective seulement si elle énonce des raisons objectives et justifiables pour lesquelles il estime que les nouveaux sous-traitants ne sont pas en mesure de protéger adéquatement les données personnelles conformément au présent APD ou à la loi applicable en matière de protection des données.
- Obligations du sous-traitant. Lorsqu’Extensis engage un sous-traitant pour effectuer des activités de traitement spécifiques pour le compte du Partenaire, les mêmes obligations de protection des données que celles énoncées dans le présent APD seront imposées à ce sous-traitant par un contrat ou un autre acte juridique en vertu du droit de l’UE ou de l’État membre, notamment en fournissant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences de la législation de l’UE en matière de protection des données. Si ce sous-traitant ne remplit pas ses obligations en matière de protection des données, Extensis demeurera entièrement responsable envers le Partenaire de l’exécution des obligations de ce sous-traitant.
- Demandes d’accès. Extensis a mis en œuvre et maintiendra les mesures techniques et organisationnelles appropriées nécessaires pour permettre au Partenaire de répondre aux demandes des personnes concernées pour accéder, corriger, transmettre, limiter, limiter le traitement ou supprimer toute donnée personnelle pertinente détenue par Extensis.
- Tenue de dossiers. Sur demande d’une autorité de contrôle, Extensis coopérera pour fournir à l’autorité de contrôle les documents relatifs aux activités de traitement effectuées pour le compte du Partenaire, comprenant les informations sur les catégories de données personnelles traitées et les objectifs du traitement, le recours à des prestataires de services en ce qui concerne ce traitement, toute divulgation ou transfert de données à des tiers et une description générale des mesures techniques et organisationnelles pour protéger la sécurité de ces données.
- Coopération. Extensis coopérera dans la mesure raisonnablement nécessaire en relation avec les demandes du Partenaire relatives aux évaluations d’impact de la protection des données et à la consultation des autorités de contrôle et pour l’accomplissement de l’obligation du Partenaire de répondre aux demandes d’exercice des droits d’une personne concernée au Chapitre III du RGPD. Extensis se réserve le droit de facturer au Partenaire ses frais raisonnables pour le recueil et la préparation des données personnelles pour le transfert et pour tout arrangement spécial pour effectuer le transfert.
- Demandes de tiers. Si Extensis reçoit une demande d’un tiers dans le cadre d’une enquête gouvernementale ou d’une procédure judiciaire qui, selon Extensis, l’obligerait à produire des données personnelles, Extensis informera le Partenaire par écrit de cette demande et coopérera avec le Partenaire si le Partenaire souhaite limiter, contester ou protéger contre une telle divulgation, dans la mesure permise par la loi applicable.
- Transfert de données personnelles ; désignation. Le Partenaire autorise Extensis à transférer, stocker ou traiter des données personnelles aux États-Unis ou dans tout autre pays dans lequel Extensis ou ses sous-traitants maintiennent des installations. Le Partenaire désigne Extensis pour effectuer un tel transfert de données personnelles vers un tel pays et pour stocker et traiter les données personnelles afin de fournir les Services. Extensis effectuera toutes ces activités conformément au présent APD, aux lois applicables et aux instructions du Partenaire.
- Transferts de données en dehors de l’UE. Dans la mesure où les services impliquent un transfert des données à caractère personnel provenant des systèmes de l’une ou l’autre des parties dans l’EEE, au Royaume-Uni ou en Suisse vers les systèmes d’Extensis situés dans des pays en dehors de l’EEE, du R-U ou de la Suisse qui n’ont pas reçu de décision d’adéquation contraignante de la part de l’autorité compétente, les parties exécuteront les clauses contractuelles types applicables annexées à la décision d’exécution (UE) 2021/914 de la Commission européenne, et, dans le cas du R-U, l’accord international de transfert de données émis par le Bureau du commissaire à l’information.
- Rétention. Les données personnelles reçues du Partenaire ne seront conservées que pour la durée raisonnablement nécessaire à l’exécution du présent APD par Extensis ou pour toute autre raison exigée par la loi applicable.
- Suppression ou retour. Au choix du Partenaire, Extensis supprimera ou renverra toutes les données personnelles traitées en relation avec les Services au Partenaire après la fin de la fourniture de ces Services, et supprimera les copies existantes à moins que la loi applicable n’exige le stockage des données personnelles. Extensis relaiera les instructions du Partenaire à tous les sous-traitants.
- Notification d’infraction. Après avoir pris connaissance d’une violation des données personnelles, Extensis informera le Partenaire dans les plus brefs délais de : a) la nature de la violation de données ; b) le nombre et les catégories de personnes concernées et les enregistrements de données concernés ; et c) le nom et les coordonnées de la personne à contacter chez Extensis.
- Audits. Sur demande, Extensis mettra à la disposition du Partenaire toutes les informations nécessaires, et permettra et contribuera aux audits, y compris les inspections, menées par le Partenaire ou un autre auditeur mandaté par le Partenaire, pour démontrer la conformité à l’article 28 du RGPD. Pour clarifier, ces audits ou inspections sont limités au traitement des données personnelles par Extensis, et non à tout autre aspect des affaires ou des systèmes d’information d’Extensis. Si le Partenaire demande à Extensis de contribuer aux audits ou inspections qui sont nécessaires pour démontrer la conformité, le Partenaire fournira à Extensis un avis écrit au moins 60 jours avant l’audit ou l’inspection. Cet avis écrit précisera les choses, les personnes, les lieux ou les documents à mettre à disposition. Un tel avis écrit, et tout ce qui est produit en réponse à cet avis (y compris tout élément dérivé comme les notes d’entrevue), sera considéré comme de l’information confidentielle et demeurera de l’information confidentielle à perpétuité ou pendant la période la plus longue permise par la loi applicable après la résiliation du présent APD. Ces matériaux et produits dérivés produits en réponse à la demande du Partenaire ne seront pas divulgués à quiconque sans l’autorisation écrite préalable d’Extensis, sauf si une telle divulgation est requise par la loi applicable. Si la divulgation est requise par la loi applicable, le Partenaire donnera à Extensis un avis écrit rapide de cette exigence et la possibilité d’obtenir une ordonnance de protection pour interdire ou restreindre une telle divulgation sauf dans la mesure où un tel avis est interdit par la loi applicable ou l’ordonnance d’un tribunal ou d’un organisme gouvernemental. Le partenaire fera tout son possible pour coopérer avec Extensis afin de programmer des audits ou des inspections à des moments qui conviennent à Extensis. Si, après avoir examiné la réponse d’Extensis à la demande d’audit ou d’inspection du Partenaire, le Partenaire exige des audits ou inspections supplémentaires, le Partenaire reconnaît et accepte d’être seul responsable de tous les coûts encourus en relation avec ces audits ou inspections supplémentaires.