Addendum sur le traitement des données

Le présent addendum relatif au traitement des données ("DPA") est incorporé dans l'accord conclu entre les parties et est soumis aux conditions de cet accord. Digidly et la partie identifiée comme le client du service (ou " vous ") dans l'accord ("Client“).

Tous les termes en majuscules non définis dans le présent DPA ont la signification qui leur est donnée dans l'Accord. Pour éviter toute ambiguïté, toute référence à l'"Accord" inclut le présent APP (y compris les CCS, tels que définis dans le présent document). 

1. Définitions

Affilié" désigne une entité qui, directement ou indirectement, contrôle, est contrôlée par ou est sous contrôle commun avec une entité.

Accord" signifie que le Digidly Conditions générales de serviceou tout autre accord écrit ou électronique, qui régissent la fourniture du service au client, tels que ces termes ou accords peuvent être mis à jour de temps à autre.

Contrôle" signifie une participation, un droit de vote ou un intérêt similaire représentant cinquante pour cent (50%) ou plus du total des intérêts alors en circulation de l'entité en question. Le terme "Contrôlé" sont interprétés en conséquence.

Données clients" désigne toute donnée personnelle que Digidly traite pour le compte du Client en tant que sous-traitant dans le cadre de la fourniture du Service, tel que plus particulièrement décrit dans le présent DPA.

Lois sur la protection des données" désigne toutes les lois sur la protection des données et la vie privée applicables au traitement des données personnelles dans le cadre de l'Accord, y compris, le cas échéant, la loi européenne sur la protection des données.

Loi européenne sur la protection des données" désigne (i) le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) ("GDPR") ; (ii) la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ; et (iii) les mises en œuvre nationales applicables de (i) et (ii) (ou, en ce qui concerne le Royaume-Uni, toute législation nationale applicable qui remplace ou convertit en droit interne le GDPR ou toute autre loi relative aux données et à la vie privée à la suite de la sortie du Royaume-Uni de l'Union européenne) ; dans chaque cas, telles qu'elles peuvent être modifiées, remplacées ou annulées.

EEEAux fins du présent DPA, on entend par " Union européenne ", l'Espace économique européen et/ou ses États membres, la Suisse et/ou le Royaume-Uni.

Bouclier de protection de la vie privée" désigne le programme d'autocertification EU-U.S. Privacy Shield et Swiss-U.S. Privacy Shield Framework géré par le ministère du Commerce des États-Unis et approuvé par la Commission européenne conformément à la décision C(2016)4176 du 12 juillet 2016 et par le Conseil fédéral suisse le 11 janvier 2017 respectivement.

Principes du bouclier de protection de la vie privée" désigne les principes du bouclier de protection de la vie privée (tels que complétés par les principes supplémentaires) contenus dans l'annexe II de la décision C(2016)4176 de la Commission européenne du 12 juillet 2016 (telle qu'elle peut être modifiée, annulée ou remplacée).

CSCs" désigne les clauses contractuelles types pour les sous-traitants telles qu'approuvées par la Commission européenne ou l'autorité fédérale suisse de protection des données (selon le cas).

Incident de sécurité" signifie toute violation non autorisée ou illégale de la sécurité qui entraîne la destruction, la perte ou l'altération accidentelle ou illégale, ou la divulgation ou l'accès non autorisé aux données du client sur les systèmes gérés ou autrement contrôlés par Digidly.

Données sensibles" signifie (a) numéro de sécurité sociale, numéro de passeport, numéro de permis de conduire ou identifiant similaire (ou toute partie de celui-ci) ; (b) numéro de carte de crédit ou de débit (autre que les quatre derniers chiffres tronqués d'une carte de crédit ou de débit) ; (c) informations relatives à l'emploi, aux finances, à la génétique, à la biométrie ou à la santé ; (d) l'affiliation raciale, ethnique, politique ou religieuse, l'appartenance à un syndicat, ou des informations sur la vie sexuelle ou l'orientation sexuelle ; (e) les mots de passe des comptes ; ou (f) d'autres informations qui relèvent de la définition des " catégories spéciales de données " en vertu du GDPR ou de toute autre loi applicable sur la protection des données.

Sous-processeurLe terme " sous-traitant " désigne tout sous-traitant engagé par Digidly ou ses sociétés affiliées pour l'aider à remplir ses obligations en matière de fourniture du service conformément au contrat ou au présent APD. Les sous-traitants secondaires peuvent inclure des tiers ou des sociétés affiliées de Digidly, mais excluent les employés ou consultants de Digidly.

Les termes "données personnelles“, “contrôleur“, “processeur" et "traitement"ont la signification qui leur est donnée dans le GDPR, et "processus“, “processus" et "traité"sont interprétés en conséquence.

2. Rôles et responsabilités

2.1 Rôle des parties. Entre Digidly et le client, le client est le contrôleur des données du client, et Digidly ne traitera les données du client qu'en tant que sous-traitant agissant pour le compte du client, comme décrit dans la section Digidly. Annexe A (Détails du traitement des données) du présent DPA.

2.2 Limitation de l'objet. Digidly traitera les données du client uniquement aux fins décrites dans le présent DPA et conformément aux instructions légales documentées du client, sauf si le droit applicable l'exige. Les parties conviennent que le contrat définit les instructions complètes et finales du client à l'égard de Digidly en ce qui concerne le traitement des données du client, et que le traitement en dehors de la portée de ces instructions (le cas échéant) nécessitera un accord écrit préalable entre les parties.

2.3 Données interdites. Le client ne fournira pas (ou ne fera pas fournir) de données sensibles à Digidly en vue de leur traitement dans le cadre du contrat, et Digidly n'aura aucune responsabilité quelle qu'elle soit pour les données sensibles, que ce soit dans le cadre d'un incident de sécurité ou autre. Pour éviter toute ambiguïté, le présent DPA ne s'appliquera pas aux données sensibles.

2.4 Conformité des clients. Le client déclare et garantit que (i) il s'est conformé, et continuera à se conformer, à toutes les lois applicables en matière de protection des données en ce qui concerne le traitement des données du client et toutes les instructions de traitement qu'il donne à Digidly ; et (ii) il a fourni, et continuera à fournir, tous les avis et a obtenu, et continuera à obtenir, tous les consentements et droits nécessaires en vertu des lois sur la protection des données pour que Digidly traite les données du client aux fins décrites dans le contrat. Le client est seul responsable de l'exactitude, de la qualité et de la légalité des données du client et des moyens par lesquels il a acquis les données du client. Sans préjudice de la généralité de ce qui précède, le client convient qu'il est responsable du respect de toutes les lois (y compris les lois sur la protection des données) applicables à tous les courriels ou autres contenus créés, envoyés ou gérés par le biais du service, y compris celles relatives à l'obtention de consentements (le cas échéant) pour envoyer des courriels, au contenu des courriels et à ses pratiques de déploiement des courriels.

2.5 Obligations de notification concernant les instructions du client. Digidly informera rapidement le client par écrit, à moins que les lois sur la protection des données ne l'interdisent, si elle apprend ou croit qu'une instruction de traitement des données du client viole les lois sur la protection des données.

3. Sous-traitement

3.1 Sous-traitants autorisés. Le client accepte que Digidly puisse engager des sous-traitants secondaires pour traiter les données du client au nom du client. 

3.2 Objection aux sous-traitants secondaires. Le client peut s'opposer par écrit à la nomination par Digidly d'un nouveau sous-traitant ultérieur dans un délai de cinq (5) jours civils à compter de la réception de la notification conformément à la section 3.1 ci-dessus, à condition que cette objection soit fondée sur des motifs raisonnables liés à la protection des données. Dans ce cas, les parties discuteront de ces préoccupations en toute bonne foi en vue de parvenir à une résolution commercialement raisonnable. Si aucune résolution ne peut être trouvée, Digidly, à sa seule discrétion, soit ne désignera pas ce sous-traitant, soit permettra au client de suspendre ou de résilier le service concerné conformément aux dispositions de résiliation du contrat, sans responsabilité pour l'une ou l'autre partie (mais sans préjudice des frais encourus par le client avant la suspension ou la résiliation).

3.3 Obligations du sous-traitant ultérieur. Digidly doit : (i) conclure un accord écrit avec chaque sous-traitant ultérieur contenant des obligations en matière de protection des données qui offrent au moins le même niveau de protection des données du client que celles prévues dans le présent DPA, dans la mesure applicable à la nature des services fournis par ledit sous-traitant ultérieur ; et (ii) rester responsable du respect par ledit sous-traitant ultérieur des obligations du présent DPA et de tout acte ou omission dudit sous-traitant ultérieur entraînant la violation par Digidly de l'une de ses obligations en vertu du présent DPA.

4. Sécurité

4.1 Mesures de sécurité. Digidly mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles appropriées pour protéger les données du client contre les incidents de sécurité.

4.2 Confidentialité du traitement. Digidly veillera à ce que toute personne autorisée par Digidly à traiter les données du client (y compris son personnel, ses agents et ses sous-traitants) soit soumise à une obligation de confidentialité appropriée (qu'il s'agisse d'une obligation contractuelle ou légale).

4.3 Mises à jour des mesures de sécurité. Le Client est responsable de l'examen des informations mises à disposition par Digidly concernant la sécurité des données et de la détermination indépendante de la conformité du Service aux exigences du Client et aux obligations légales en vertu des lois sur la protection des données. Le client reconnaît que les mesures de sécurité sont soumises au progrès et au développement techniques et que Digidly peut mettre à jour ou modifier les mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications n'entraînent pas la dégradation de la sécurité globale du service fourni au client.

4.4 Réponse aux incidents de sécurité. Dès qu'elle aura connaissance d'un incident de sécurité, Digidly devra : (i) notifier le Client sans retard excessif et, dans la mesure du possible, en tout état de cause au plus tard 48 heures après avoir pris connaissance de l'Incident de sécurité ; (ii) fournir en temps utile des informations relatives à l'Incident de sécurité au fur et à mesure qu'il est connu ou qu'il est raisonnablement demandé par le Client ; et (iii) prendre rapidement des mesures raisonnables pour contenir et examiner tout Incident de sécurité. La notification ou la réponse de Digidly à un incident de sécurité en vertu de la présente section 4.4 ne doit pas être interprétée comme une reconnaissance par Digidly de toute faute ou responsabilité à l'égard de l'incident de sécurité.

4.5 Responsabilités des clients. Nonobstant ce qui précède, le Client convient que, sauf dans les cas prévus par le présent DPA, il est responsable de son utilisation sécurisée du Service, y compris de la sécurisation des informations d'authentification de son compte, de la protection de la sécurité des Données du Client lorsqu'elles sont en transit vers et depuis le Service, et de la prise de toutes les mesures appropriées pour crypter ou sauvegarder de manière sécurisée toute Donnée du Client téléchargée vers le Service.

5. Rapports et audits de sécurité

5.1 Droits d'audit. Digidly mettra à la disposition du client toutes les informations raisonnablement nécessaires pour démontrer le respect du présent DPA et permettra et contribuera à des audits, y compris des inspections par le client afin d'évaluer le respect du présent DPA. Le client reconnaît et convient qu'il exercera ses droits d'audit en vertu du présent DPA (y compris la présente section 5.1 et, le cas échéant, les CCS) en demandant à Digidly de se conformer aux mesures d'audit décrites aux sections 5.2 et 5.3 ci-dessous.

5.2 Rapports de sécurité. Le client reconnaît que Digidly est régulièrement auditée par rapport aux normes SSAE 16 et PCI par des auditeurs tiers indépendants et des auditeurs internes respectivement. Sur demande écrite, Digidly fournira (sur une base confidentielle) une copie résumée de son (ses) rapport(s) d'audit le(s) plus récent(s) ("Rapport") au client, afin que celui-ci puisse vérifier la conformité de Digidly aux normes d'audit par rapport auxquelles elle a été évaluée et au présent DPA.

5.3 Diligence raisonnable en matière de sécurité. Outre le rapport, Digidly répondra à toutes les demandes raisonnables d'informations formulées par le client afin de confirmer la conformité de Digidly au présent DPA, y compris les réponses aux questionnaires sur la sécurité des informations, la diligence raisonnable et les audits, en mettant à disposition des informations supplémentaires concernant son programme de sécurité des informations sur demande écrite du client à l'adresse [email protected], étant entendu que le client n'exercera pas ce droit plus d'une fois par année civile.

6. Transferts internationaux

6.1 Emplacement des centres de données. Digidly peut transférer et traiter les données du client vers et en Europe et partout ailleurs dans le monde où Digidly, ses sociétés affiliées ou ses sous-traitants effectuent des opérations de traitement des données. Digidly s'assurera à tout moment que ces transferts sont effectués conformément aux exigences des lois sur la protection des données.

6.2 Transferts de données EEE. Dans la mesure où Digidly est un destinataire de données du client protégées par les lois sur la protection des données applicables à l'EEE ("Digidly"), les données du client ne sont pas protégées.Données EEE"), les parties conviennent que Digidly met à disposition les mécanismes énumérés ci-dessous, pour tout transfert de données EEE dans ou vers un pays qui ne fournit pas un niveau de protection adéquat des données personnelles (tel que décrit dans les lois applicables sur la protection des données) :

  • (a) Bouclier de protection de la vie privée: Si Digidly est auto-certifiée au Privacy Shield : (i) les parties reconnaissent et conviennent que Digidly sera réputée fournir une protection adéquate (au sens des lois applicables en matière de protection des données) pour les données EEE du fait d'avoir auto-certifié sa conformité au Privacy Shield ; (ii) Digidly accepte de traiter les données EEE conformément aux principes du Privacy Shield ; et (iii) si Digidly n'est pas en mesure de se conformer à cette exigence, Digidly en informera le client.
  • (b) CSCs: Dans la mesure où le mécanisme de transfert identifié à la section 6.2(a) ci-dessus ne s'applique pas au transfert et/ou est invalidé, Digidly accepte de respecter et de traiter les données de l'EEE conformément aux CSC qui sont incorporées intégralement par référence et font partie intégrante du présent DPA. Aux fins des CCAP : (i) Digidly convient qu'elle est l'"importateur de données" et que le client est l'"exportateur de données" aux termes des CCAP (nonobstant le fait que le client peut lui-même être une entité située en dehors de l'EEE) ; (ii) les annexes A et B du présent DPA remplacent respectivement les annexes 1 et 2 des CCAP ; et (iii) l'annexe C constitue l'annexe 3 des CCAP.

7. Restitution ou suppression des données

7.1 Suppression en cas de résiliation. À la résiliation ou à l'expiration du Contrat, Digidly devra (au choix du Client) supprimer ou retourner au Client toutes les Données du Client (y compris les copies) en sa possession ou sous son contrôle, sauf que cette exigence ne s'appliquera pas dans la mesure où Digidly est tenue par la loi applicable de conserver tout ou partie des Données du Client, ou aux Données du Client qu'elle a archivées sur des systèmes de sauvegarde, lesquelles Données du Client Digidly devra isoler de manière sécurisée, protéger de tout traitement ultérieur et finalement supprimer conformément aux politiques de suppression de Digidly, sauf dans la mesure requise par la loi applicable.

8. Droits des personnes concernées et coopération

8.1 Demandes des personnes concernées. Le Service fournit au Client un certain nombre de contrôles que le Client peut utiliser pour récupérer, corriger, supprimer ou restreindre les Données Client, que le Client peut utiliser pour l'aider dans le cadre de ses obligations en vertu du GDPR, y compris ses obligations relatives à la réponse aux demandes des personnes concernées ou des autorités de protection des données applicables. Dans la mesure où le Client n'est pas en mesure d'accéder de manière indépendante aux Données du Client pertinentes au sein du Service, Digidly fournira (aux frais du Client) une coopération raisonnable pour aider le Client à répondre à toute demande de personnes ou d'autorités de protection des données applicables concernant le traitement des Données du Client dans le cadre du Contrat. Dans le cas où une telle demande est adressée directement à Digidly, cette dernière ne répondra pas directement à cette communication, sauf si cela est approprié (par exemple, pour indiquer à la personne concernée de contacter le client) ou légalement requis, sans l'autorisation préalable du client. Si Digidly est tenue de répondre à une telle demande, Digidly en informera rapidement le client et lui fournira une copie de la demande, à moins que Digidly ne soit légalement interdite de le faire. Pour éviter toute ambiguïté, rien dans le contrat (y compris le présent DPA) ne doit restreindre ou empêcher Digidly de répondre à toute demande de la personne concernée ou de l'autorité de protection des données en rapport avec les données personnelles pour lesquelles Digidly est un contrôleur.

8.2 Assignations à comparaître et ordonnances du tribunal. Si un organisme chargé de l'application de la loi envoie à Digidly une demande de données du client (par exemple, par le biais d'une assignation à comparaître ou d'une ordonnance du tribunal), Digidly tentera de rediriger l'organisme chargé de l'application de la loi afin qu'il demande ces données directement au client. Dans le cadre de cet effort, Digidly peut fournir les coordonnées de base du client à l'organisme d'application de la loi. Si elle est contrainte de divulguer les données du client à un organisme chargé de l'application de la loi, Digidly donnera au client un préavis raisonnable de la demande afin de permettre au client de demander une ordonnance de protection ou tout autre recours approprié, à moins que Digidly ne soit légalement interdite de le faire.

8.3 Analyse d'impact sur la protection des données. Dans la mesure où les lois applicables en matière de protection des données l'exigent, Digidly fournira (aux frais du client) toutes les informations raisonnablement demandées concernant le service pour permettre au client de réaliser des évaluations d'impact sur la protection des données ou des consultations préalables avec les autorités de protection des données, comme l'exige la loi.

9. Limitation de la responsabilité

9.1 La responsabilité de chaque partie et de toutes ses sociétés affiliées, prises dans leur ensemble, découlant du présent DPA (y compris les CCS) ou s'y rapportant, est soumise aux exclusions et limitations de responsabilité énoncées dans l'accord.

9.2 Toute réclamation à l'encontre de Digidly ou de ses sociétés affiliées en vertu ou en relation avec le présent DPA (y compris, le cas échéant, les CCS) sera portée uniquement contre l'entité qui est partie au contrat.

9.3 En aucun cas, une partie ne peut limiter sa responsabilité en ce qui concerne les droits de protection des données d'une personne en vertu du présent APD ou d'une autre manière.

10. Relation avec l'accord

10.1 Le présent DPA restera en vigueur aussi longtemps que Digidly effectuera des opérations de traitement des données du client pour le compte du client ou jusqu'à la résiliation du contrat (et que toutes les données du client auront été retournées ou supprimées conformément à la section 7.1 ci-dessus).

10.2 Les parties conviennent que le présent APD remplace tout accord de traitement des données existant ou tout document similaire que les parties auraient pu conclure précédemment en rapport avec le service.

10.3 En cas de conflit ou d'incohérence entre le présent DPA et les conditions d'utilisation standard de Digidly, les dispositions des documents suivants (par ordre de préséance) prévaudront : (a) les CSC ; puis (b) le présent DPA ; puis (c) les conditions d'utilisation standard de Digidly.

10.4 À l'exception des modifications apportées par le présent DPA, l'accord reste inchangé et en vigueur.

10.5 Nonobstant toute disposition contraire du contrat (y compris de la présente DPA), Digidly a le droit de collecter, d'utiliser et de divulguer des données relatives à l'utilisation, à l'assistance et/ou au fonctionnement du service (ci-après dénommées "les données").Données de service") pour ses objectifs commerciaux légitimes, tels que la facturation, la gestion des comptes, l'assistance technique et le développement de produits. Dans la mesure où ces données de service sont considérées comme des données à caractère personnel en vertu des lois sur la protection des données, Digidly sera responsable de ces données et les traitera conformément à sa politique de confidentialité. Politique de confidentialité et les lois sur la protection des données. Pour éviter toute ambiguïté, le présent APD ne s'applique pas aux données de service.

10.6 Personne d'autre qu'une partie au présent DPA, ses successeurs et ses ayants droit autorisés n'aura le droit de faire appliquer l'une quelconque de ses dispositions.

10.7 Le présent DPA est régi et interprété conformément aux dispositions relatives à la loi applicable et à la compétence figurant dans l'accord, à moins que les lois applicables en matière de protection des données n'en disposent autrement.

Annexe A - Détails du traitement des données

(a) Sujet: L'objet du traitement des données en vertu du présent RGPD est constitué par les données des clients.

(b) Durée: Entre Digidly et le Client, la durée du traitement des données dans le cadre du présent DPA s'étend jusqu'à l'expiration ou la résiliation du Contrat conformément à ses termes.

(c) Objectif: Digidly ne traitera les données du client qu'aux fins suivantes : (i) traitement pour exécuter le service conformément au contrat ; (ii) traitement initié par le client dans le cadre de son utilisation du service ; et (ii) traitement pour se conformer à toute autre instruction raisonnable fournie par le client (par exemple, par courriel ou tickets d'assistance) qui est compatible avec les conditions du contrat (individuellement et collectivement, les "Objectif“).

(d) Nature du traitement: Digidly fournit un service de courrier électronique, une plateforme d'automatisation et de marketing et d'autres services connexes, tels que plus particulièrement décrits dans le Contrat.

(e) Catégories de personnes concernées(i) les membres ; et (ii) les contacts, chacun d'entre eux étant défini dans l'Accord de partenariat euro-méditerranéen. Politique de confidentialité.

(f) Types de données clients: Le Client peut télécharger, soumettre ou fournir de toute autre manière certaines données personnelles au Service, dont l'étendue est généralement déterminée et contrôlée par le Client à sa seule discrétion, et peut inclure les types de données personnelles suivants :

  • Membres: Données d'identification et de contact (nom, adresse, titre, coordonnées, nom d'utilisateur) ; informations financières (détails de la carte de crédit, détails du compte, informations de paiement) ; détails de l'emploi (employeur, titre du poste, localisation géographique, domaine de responsabilité) ;
  • Contacts: Données d'identification et de contact (nom, adresse, titre, coordonnées, y compris l'adresse électronique), intérêts ou préférences personnels (y compris l'historique des achats, les préférences marketing et les informations de profil de médias sociaux accessibles au public) ; informations informatiques (adresses IP, données d'utilisation, données de cookies, données de navigation en ligne, données de localisation, données de navigateur) ; informations financières (détails de la carte de crédit, détails du compte, informations de paiement).

(g) Données sensibles: Digidly ne souhaite pas, et ne le fait pas intentionnellement, collecter ou traiter des Données sensibles dans le cadre de la fourniture du Service.

(h) Opérations de traitement: Les données du client seront traitées conformément à l'accord (y compris le présent DPA) et peuvent faire l'objet des activités de traitement suivantes :

  • Stockage et autres traitements nécessaires pour fournir, maintenir et améliorer le Service fourni au Client en vertu du Contrat ; et/ou
  • Les divulgations conformément à l'accord et/ou à la législation applicable.

Annexe B

Tous les termes définis utilisés dans la présente annexe B ont la signification qui leur est donnée dans les CCAP, sauf définition contraire dans la présente annexe.

Annexe 3 aux clauses contractuelles types

Cette annexe fait partie des Clauses et doit être complétée par les parties.

La présente annexe expose l'interprétation par les parties de leurs obligations respectives en vertu des clauses spécifiques identifiées ci-dessous. Lorsqu'une partie se conforme aux interprétations énoncées dans la présente annexe, cette partie est considérée par l'autre partie comme ayant respecté ses engagements en vertu des Clauses.

Aux fins de la présente annexe, le " DPA " désigne l'addendum relatif au traitement des données en vigueur entre l'importateur de données et l'exportateur de données et auquel les présentes clauses sont intégrées, et le " contrat " a la signification qui lui est donnée dans le DPA.

Clause 5(a) : Suspension des transferts de données et résiliation

  1. Les parties reconnaissent que l'importateur de données ne peut traiter les données personnelles que pour le compte de l'exportateur de données et conformément à ses instructions telles que fournies par l'exportateur de données et les Clauses.
  2. Les parties reconnaissent que si l'importateur de données ne peut assurer cette conformité pour quelque raison que ce soit, il accepte d'informer rapidement l'exportateur de données de son incapacité à se conformer, auquel cas l'exportateur de données a le droit de suspendre le transfert de données et/ou de résilier les Clauses.
  3. Si l'exportateur de données a l'intention de suspendre le transfert de données à caractère personnel et/ou de résilier les présentes clauses, il s'efforcera d'en aviser l'importateur de données et de lui accorder un délai raisonnable pour remédier à la non-conformité ("Période de guérison").
  4. Si, après la période de correction, l'importateur de données n'a pas ou ne peut pas corriger la non-conformité, l'exportateur de données peut suspendre ou mettre fin immédiatement au transfert de données à caractère personnel. L'exportateur de données n'est pas tenu de fournir un tel avis dans les cas où il estime qu'il existe un risque important de préjudice pour les personnes concernées ou leurs données personnelles.

Clause 5(f) : Audit

  1. L'exportateur de données reconnaît et accepte qu'il exerce son droit d'audit en vertu de la clause 5(f) en demandant à l'importateur de données de se conformer aux mesures d'audit décrites dans la section 5 (Rapports et audits de sécurité) du RGPD.

Clause 5(j) : Divulgation des accords de sous-traitance

  1. Les parties reconnaissent l'obligation de l'importateur de données d'envoyer rapidement à l'exportateur de données une copie de tout accord de sous-traitance ultérieure qu'il conclut en vertu des Clauses.
  2. Les parties reconnaissent en outre que, conformément aux restrictions de confidentialité des sous-traitants, l'importateur de données peut être empêché de divulguer les accords de sous-traitance ultérieurs à l'exportateur de données. Nonobstant cela, l'importateur de données fera des efforts raisonnables pour demander à tout sous-traitant ultérieur qu'il désigne de lui permettre de divulguer l'accord de sous-traitant ultérieur à l'exportateur de données.
  3. Même lorsque l'importateur de données ne peut pas divulguer un accord de sous-traitance secondaire à l'exportateur de données, les parties conviennent que, à la demande de l'exportateur de données, l'importateur de données doit (sur une base confidentielle) fournir à l'exportateur de données toutes les informations qu'il peut raisonnablement fournir en rapport avec cet accord de sous-traitance secondaire.

Clause 6 : Responsabilité

  1. Toute réclamation introduite en vertu des Clauses sera soumise aux conditions, y compris, mais sans s'y limiter, aux exclusions et limitations énoncées dans l'Accord. En aucun cas, une partie ne peut limiter sa responsabilité en ce qui concerne les droits des personnes concernées en vertu des présentes clauses.

Clause 11 : Sous-traitement ultérieur

  1. Les parties reconnaissent que, conformément à la FAQ II.1 du document WP 176 du groupe de travail de l'article 29 intitulé "FAQ visant à répondre à certaines questions soulevées par l'entrée en vigueur de la décision 2010/87/UE de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/CE", l'exportateur de données peut donner un consentement général au traitement ultérieur par l'importateur de données.
  2. En conséquence, l'exportateur de données fournit un consentement général à l'importateur de données, conformément à la clause 11 des présentes clauses, pour engager des sous-traitants ultérieurs. Ce consentement est subordonné au respect par l'importateur de données des exigences énoncées à la section 3 (Traitement ultérieur) de la LPD.