Dernière mise à jour: Septembre 2021

Avenant relatif à la protection des données (“Avenant”)

En signant un Bon de Commande conformément au Contrat qui fait référence au présent addendum, le client accepte d'être lié par le présent addendum. 

  1. Définitions

Dans le présent Avenant, les termes suivants ont le sens qui leur est attribué ci-dessous:

1.1 « Contrat » désigne l’accord entre le Client et Samsara qui énonce les les conditions dans lesquelles le Client aura accès à certaines solutions Samsara et se procure certains services auprès de Samsara ;

1.2 « Données à Caractère Personnel » désigne les Données à Caractère Personnel soumises aux Lois sur la Protection des Données, contenues dans les Données Client que ce dernier fournit à, ou met à la disposition de, Samsara, et qui sont Traitées par Samsara pour le compte du Client conformément au Contrat ; 

1.3 « Lois sur la Protection des Données » désigne, selon les cas, le Règlement Général sur la Protection des Données de l’Union Européenne (UE 2016/679) (« RGPD UE »), son incorporation dans les lois d’Angleterre et du Pays de Galles, d’Écosse et d’Irlande du Nord en vertu de la Loi de 2018 sur le retrait de l’Union Européenne du Royaume-Uni (UK European Union (Withdrawal) Act 2018) (« RGPD UK ») et/ou de la Loi fédérale Suisse sur la Protection des Données (« LPD ») (ensemble « RGPD »), ainsi que toute législation nationale applicable qui complète le RGPD, et/ou les lois sur la confidentialité ou la protection des données aux États-Unis, au Canada et au Mexique ;

1.4. « Responsable du Traitement » désigne l’entité qui détermine les moyens et les finalités du Traitement des Données à Caractère Personnel ;

1.5 « Personne Concernée » désigne l’individu dont les Données à Caractère Personnel sont Traitées; 

1.6. « Données à Caractère Personnel » désigne les « données à caractère personnel », « informations personnelles » ou « informations permettant une identification personnelle » ou tout terme analogue en vertu des Lois sur la Protection des Données, tels que ces termes sont définis par les Lois sur la Protection des Données ;

1.7. « Violation de Données à Caractère Personnel » désigne toute violation de sécurité que Samsara devrait signaler au Client en application des Lois sur la Protection des Données, sous réserve des dispositions du présent Avenant ; 

1.8 « Traitement » désigne toute opération ou ensemble d’opérations effectuées sur des Données à Caractère Personnel ou sur des ensembles de Données à Caractère Personnel ;

1.9 « Sous-Traitant » désigne une entité qui Traite des Données à Caractère Personnel pour le compte d’un Responsable du Traitement ;

1.10 « Autorité de Contrôle » désigne une autorité gouvernementale ou réglementaire chargée d’administrer ou de faire respecter les Lois sur la Protection des Données ; 

1.11 Les termes commençant par une majuscule, n’ayant pas été autrement définis aux présentes, ont le sens qui leur est attribué dans le Contrat.

2. Traitement des Données à Caractère Personnel du Client

2.1 Eu égard à la relation entre les Parties, Samsara agit en qualité de Sous-Traitant dans le cadre du Traitement des Données à Caractère Personnel du Client assuré pour le compte de ce dernier. En sa qualité de Sous-Traitant, Samsara :

2.1.1 Assurera le Traitement des Données à Caractère Personnel du Client conformément au présent Avenant, à la Documentation et/ou aux instructions documentées du Client, telles qu’elles sont énoncées dans le Contrat, ou tel qu’autrement requis au titre de toute autre législation applicable à laquelle Samsara est soumise (les « Instructions du Client »). Si Samsara est tenue, en vertu du droit applicable, de Traiter les Données à Caractère Personnel du Client autrement que conformément aux Instructions du Client, Samsara informera ce dernier de cette exigence légale avant de procéder au Traitement dans la mesure où le droit applicable le permet, à moins que le droit en question ne l’interdise pour un motif d’intérêt public important.

2.1.2 Ne sera pas chargée d’obtenir quelque consentement, autorisation, approbation ou accord que ce soit, que les politiques ou lois applicables pourraient exiger, ou de fournir quelque avis que ce soit s’agissant des Données à Caractère Personnel du Client, afin de permettre à Samsara de recevoir et Traiter les Données à Caractère Personnel du Client conformément au Contrat. Le Client sera seul responsable de l’exactitude, la qualité et la légalité des Données à Caractère Personnel du Client, des moyens par lesquels il obtient et utilise les Données à Caractère Personnel du Client, et des Instructions du Client concernant le Traitement des Données à Caractère Personnel du Client. Le Client veillera à ce que ses actes ou omissions, y compris les Instructions du Client, ne positionnent pas Samsara en infraction aux lois ou règlements applicables. Si Samsara estime qu’une instruction est contraire à la législation en vigueur, Samsara en informera le Client dans les meilleurs délais. Samsara est en droit de suspendre l’exécution de ladite instruction jusqu’à ce que le Client la confirme ou la modifie. 

3. Personnel de Samsara

3.1 Samsara préservera la confidentialité des Données à Caractère Personnel du Client conformément aux dispositions en matière de confidentialité prévues par le Contrat, et veillera à ce que le personnel de Samsara ayant accès aux Données à Caractère Personnel du Client protège l’ensemble des Données à Caractère Personnel du Client en conséquence. Toute personne habilitée à Traiter les Données à Caractère Personnel du Client pour le compte de ce dernier s’est engagée à préserver leur confidentialité ou est soumise à une obligation légale de discrétion. Ces obligations de confidentialité restent applicables après la résiliation ou l’expiration dudit Traitement.

4. Sécurité

4.1 Samsara s’engage à mettre en œuvre les mesures techniques et organisationnelles appropriées conçues pour assurer une protection adéquate des Données à Caractère Personnel du Client, lesquelles mesures devront répondre aux exigences des Lois sur la Protection des Données. Samsara mettra au moins en œuvre les mesures contenues dans les Mesures Techniques et Organisationnelles jointes aux présentes en Annexe II aux Clauses Contractuelles Types. Samsara pourra modifier ces mesures, sous réserve que lesdites modifications n’entraînent pas une réduction substantielle du niveau de protection des Données à Caractère Personnel du Client.

5. Sous-traitance ultérieure

5.1 Le Client autorise les sociétés affiliées de Samsara ainsi que les autres tiers mentionnés dans la Documentation, à agir en qualité de sous-traitants ultérieurs (individuellement, un « Sous-Traitant Ultérieur »). Samsara pourra divulguer les Données à Caractère Personnel du Client à ses Sous-Traitants Ultérieurs afin d’assurer la fourniture des Produits, à condition que Samsara impose à ses Sous-Traitants Ultérieurs des obligations sensiblement similaires en matière de sécurité et de confidentialité des Données à Caractère Personnel du Client à celles énoncées dans le présent Avenant, en vue de respecter les exigences des Lois sur la Protection des Données. 

5.2 Dans la mesure requise par les Lois sur la Protection des Données, le Client sera en droit de s’opposer à toute modification de Sous-Traitants Ultérieurs, telle que notifiée par Samsara de temps à autres, dans un délai de trente (30) jours calendaires à compter de ladite notification, et uniquement pour des raisons importantes. Si le Client ne s’oppose pas à cette modification dans le délai imparti, celui-ci sera réputé avoir consenti à ladite modification. S’il existe une raison importante de s’opposer à cette modification et qu’elle est communiquée par écrit à Samsara, et à défaut d’un règlement amiable entre les parties (chaque partie agissant de manière raisonnable et de bonne foi), un Client soumis au RGPD UE et au RGPD UK peut résilier le(s) bon(s) de commande applicable(s) uniquement en ce qui concerne les caractéristiques ou les fonctionnalités des produits concernés.

5.3 Samsara demeurera responsable des actes ou omissions des Sous-Traitants Ultérieurs dans la même mesure requise par les Lois sur la Protection des Données, que si ces actes ou omissions  étaient exécutés par Samsara (« Responsabilité des Sous-Traitants Ultérieurs »), et sera autorisée à réexécuter ou faire réexécuter ses obligations. Le Client reconnaît et convient que cette réexécution diminuera toute réclamation que le Client pourrait avoir contre Samsara au titre de la Responsabilité des Sous-Traitants Ultérieurs.

6. Demandes des Personnes Concernées

6.1 Lorsque Samsara reçoit directement une demande d’une Personne Concernée, ou d’une personne agissant pour son compte, en vue d’exercer ses droits en vertu des Lois sur la Protection des Données (« Demande d’une Personne Concernée »), et sous réserve que Samsara puisse raisonnablement déterminer, à partir des informations fournies, que ladite demande concerne le Client et/ou les Données à Caractère Personnel du Client, à moins que le droit applicable ne l’interdise, Samsara (a) informera sans délai le Client d’une telle demande et (b) s’abstiendra de répondre à une telle demande, à moins que la législation applicable à laquelle Samsara est soumise ne l’exige, auquel cas Samsara, dans la mesure permise par la législation applicable, informera le Client de cette exigence légale avant de répondre à la demande.  Samsara pourra exiger du Client qu’il supporte les frais réels engagés à la suite de l’assistance fournie conformément au présent article, sur la base des tarifs des services de Samsara alors en vigueur. 

6.2 A toutes fins utiles, il est précisé qu’il incombe au Client, en tant que Responsable du Traitement, de répondre aux Demandes des Personnes Concernées.  Les Produits fournis par Samsara comprennent des mesures techniques et organisationnelles destinées, compte tenu de la nature du Traitement, à aider le Client, dans la mesure du possible, à s’acquitter de ses obligations de réponse aux demandes des Personnes Concernées. 

6.3 Si Samsara reçoit une demande relative aux Données du Client de la part d'un organisme chargé de faire appliquer la loi ou d'un organisme gouvernemental, Samsara en évaluera la légalité et ne s'y conformera que si et dans la mesure où Samsara estime qu'une telle demande est valide, légale et contraignante ("Réquisition"). Dans la mesure où Samsara est légalement autorisée à le faire, Samsara informera le Client et/ou, le cas échéant, l'autorité de surveillance compétente de cette Réquisition et, le cas échéant, de son intention de s'y conformer. Dans la mesure où Samsara est en mesure d'identifier la ou les personnes concernées dans le cadre d'une Réquisition et à condition que Samsara agisse conformément à ses obligations en vertu du Contrat et des lois applicables en matière de protection des données, le Client peut expressément notifier, ou autoriser Samsara par écrit à notifier, la ou les personnes concernées de la réception d'une telle Réquisition, afin de permettre à la ou aux personnes concernées de demander des informations supplémentaires et d'exercer tous les droits disponibles. Sauf s'il lui est légalement interdit de le faire, Samsara s'efforcera de documenter et de démontrer au Client, à la demande raisonnable de ce dernier, les mesures prises par Samsara en relation avec toute Réquisition.

7. Violation de Données à Caractère Personnel

7.1 Samsara avisera le Client sans délai en cas de Violation de Données à Caractère Personnel affectant les Données à Caractère Personnel du Client. A toutes fins utiles, il est précisé que ne seront pas considérés comme une Violation de Données à Caractère Personnel : (i) les actes ou omissions qui ne menacent pas la sécurité de Samsara ou celle d’un Sous-Traitant Ultérieur ; ou (ii) tout accès ou Traitement des Données à Caractère Personnel du Client conformément aux Instructions du Client. À la demande du Client, Samsara fournira à ce dernier une assistance et une coopération raisonnables afin de l’aider à s’acquitter de toute obligation de notification applicable en vertu des Lois sur la Protection des Données s’agissant de la Violation de Données à Caractère Personnel. La notification par Samsara d’une Violation de Données à Caractère Personnel ou la réaction de Samsara à une Violation de Données à Caractère Personnel ne saurait être interprétée comme une reconnaissance par Samsara ou, le cas échéant, ses Sous-Traitants Ultérieurs d’une faute ou responsabilité en ce qui concerne la performance des Produits.  Samsara pourra exiger du Client qu’il supporte les frais réels engagés à la suite de l’assistance fournie conformément au présent article, sur la base des tarifs des services de Samsara alors en vigueur. 

8. Analyse d’impact relative à la protection des données et consultation préalable

8.1 À la demande du Client, Samsara fournira au Client une assistance raisonnable quant aux analyses d’impact relatives à la protection des données et aux consultations préalables avec les Autorités de Contrôle requises par les Lois sur la Protection des Données, dans chaque cas uniquement en ce qui concerne le Traitement des Données à Caractère Personnel du Client visé par le Contrat, en tenant compte de la nature du Traitement et des informations dont Samsara dispose. Samsara se réserve le droit de facturer un montant raisonnable pour l’assistance ainsi requise, dans les limites autorisées par la législation applicable.

9. Droits d’audit

9.1 Samsara pourra faire appel aux services d’auditeurs tiers indépendants pour l’élaboration d’un rapport de Contrôle de l’Organisation des Services 2 (Type I ou II) ou d’un autre rapport ultérieur sur les normes du secteur (le « Rapport »).  Sur demande écrite du Client, Samsara remettra gratuitement à ce dernier une copie du Rapport le plus récent, dans la limite d’une fois par an. Ledit Rapport constitue des Informations Confidentielles de Samsara et sera soumis aux dispositions en matière de confidentialité prévues par le Contrat.  Le Client accepte que le Rapport sera utilisé pour satisfaire toute demande d’audit ou d’inspection formulée par ses soins ou pour son compte au titre des Lois sur la Protection des Données, du présent Avenant et/ou du Contrat. 

9.2. Si aucun Rapport n’est disponible, le Client pourra demander, moyennant un préavis écrit d’au moins trente (30) jours et dans la limite d’une fois par an, à effectuer à ses frais un examen des politiques et procédures de Samsara régissant le Traitement par Samsara des Données à Caractère Personnel du Client dans le cadre des Produits, afin de vérifier la conformité de Samsara aux exigences du présent Avenant (en ce compris, les dispositions de l’article 6.3). La portée, les dates, la durée, l’auditeur et les contrôles de sécurité et/ou de confidentialité dudit examen devront être définis d’un commun accord. Cet examen sera entrepris sans compromettre les obligations de confidentialité de Samsara envers ses autres clients. Les Parties conviennent que ces politiques et procédures constituent des Informations Confidentielles de Samsara soumises aux dispositions en matière de confidentialité prévues par le Contrat.

10. Transferts de données

10.1 Samsara pourra transférer les Données à Caractère Personnel du Client vers tout pays ou territoire, lorsque cela sera raisonnablement nécessaire à la fourniture des Produits, conformément au présent Avenant. Si la fourniture des Produits visés par le Contrat implique que le Client transfère à Samsara des Données à Caractère Personnel depuis l’Union Européenne, la Suisse ou le Royaume-Uni vers un pays à l’égard duquel la Commission Européenne n’a pas constaté un niveau de protection adéquat conformément au RGPD, Samsara et le Client acceptent de respecter et de traiter les Données à Caractère Personnel du Client conformément aux clauses contractuelles types (pour le transfert de données à caractère personnel vers des pays tiers)  promulguées par la décision 2021/914/UE de la Commission Européenne (« Clauses Contractuelles Types ») jointes au présent Avenant (y compris les annexes qui y sont rattachées). Si, dans le cadre de l'exécution du présent Avenant, Samsara transfère des Données Personnelles à un Sous-Traitant qui traite des Données Personnelles en dehors de l'Union Européenne, de la Suisse ou du Royaume-Uni, Samsara s'assurera, avant tout transfert, qu'un mécanisme permettant d'atteindre le caractère adéquat de ce Traitement est en place, tel que : (a) l'obligation pour Samsara d'exécuter ou de faire exécuter par le tiers des Clauses Contractuelles Types ; ou (b) toute autre garantie spécifiquement approuvée pour les transferts de données (telle que reconnue par les Lois sur la Protection des Données) et/ou une décision d'adéquation de la Commission Européenne. Veuillez noter que Samsara reste certifiée au titre des Boucliers de Protection des Données UE-USA et Suisse-USA (“Privacy Shield”).

10.2. Dans la mesure où le mécanisme de transfert utilisé pour les transferts extra-territoriaux de Données Personnelles d'un Client de l'Union Européenne, de la Suisse ou du Royaume-Uni, selon le cas, en vertu des présentes, vers un endroit qui n'est plus considéré comme offrant un niveau de protection adéquat en vertu des Lois sur la Protection des Données applicables, les Parties se rencontreront rapidement, dans les 60 jours suivant la date à laquelle Samsara aura été informée de cette inadéquation, afin de discuter et de convenir d'un mécanisme de transfert alternatif ou de mesures supplémentaires alternatives conformes aux directives pertinentes fournies à l'égard des Lois sur la Protection des Données, dès que raisonnablement possible. Samsara s'efforcera de manière raisonnable de vérifier l'efficacité de ses mesures supplémentaires et pourra apporter les modifications ou ajustements appropriés qu'elle jugera nécessaires (en agissant raisonnablement et de bonne foi).

10.3. Les termes suivants s'appliqueront aux Clauses Contractuelles Types :

10.3.1. Les Clauses Contractuelles Types  s'appliquent à tout Client qui est soumis au RGPD. Aux fins des Clauses Contractuelles Types , cette entité constitue “l’exportateur de données". 

10.3.2. Aux fins de la clause 8.1(a) des Clauses Contractuelles Types , ce qui suit est réputé être une instruction du Client à Samsara et ses Sous-traitants de traiter les Données Personnelles : (a) Traitement conformément au Contrat ; (b) Traitement initié par le Client dans le cadre de son utilisation des Produits ; et (c) Traitement pour se conformer à d'autres instructions raisonnables fournies par le Client de temps à autre (par exemple, par e-mail) lorsque ces instructions sont compatibles avec les termes du Contrat.

10.3.3. Le droit d'audit du client en vertu de la clause 8.9 des Clauses Contractuelles Types  est exercé comme indiqué dans l’article 9 du présent addendum.

10.3.4. Conformément à la clause 9(a) des Clauses Contractuelles Types , les Sociétés Affiliées de Samsara peuvent être retenues comme Sous-Traitants ultérieurs, et Samsara et ses Sociétés Affiliées peuvent respectivement engager des Sous-Traitants ultérieurs tiers dans le cadre de la livraison des Produits. Samsara mettra à la disposition du Client sa liste de Sous-Traitants ultérieurs alors en vigueur, conformément à l’article 5 du présent Avenant. Conformément à la clause 9(a) des Clauses Contractuelles Types , Samsara peut engager de nouveaux Sous-Traitants comme décrit à l’article 5.2 du présent Avenant. Les Parties conviennent que toute information commerciale et tout langage non lié aux Clauses Contractuelles Types  ou leur équivalent peut être préalablement retiré des contrats de sous-traitance que Samsara doit, le cas échéant, fournir au Client en vertu de la clause 9(c) des Clauses Contractuelles Types , et que toute copie ne sera fournie par Samsara que sur demande expresse du Client et d'une manière qui sera déterminée à la discrétion de Samsara. Tout contrat qui serait fourni au Client conformément à l'article 10.3.4 du présent Avenant sera considéré comme Information Confidentielle de Samsara. 

10.3.5. Aux fins des clauses 8.5 et 16(d) des Clauses Contractuelles Types , Samsara se conformera à ses obligations de restitution ou de destruction de Données Personnelles comme spécifié à l’article 11 du présent Avenant.

11. Récupération et effacement des Données à Caractère Personnel du Client

Le Client reconnaît et accepte par la présente la fonctionnalité des Produits ainsi que les politiques de conservation et d’effacement des données, telles que fournies au Client par Samsara, qui peuvent avoir un impact sur les Données à Caractère Personnel du Client. Samsara permettra au Client d’effacer les Données à Caractère Personnel du Client pendant la durée du Contrat, conformément à la fonctionnalité des Produits. Suivant l’expiration ou la résiliation du Contrat, le Client pourra récupérer ses Données à Caractère Personnel conformément au Contrat et Samsara supprimera sans délai les Données à Caractère Personnel du Client de ses systèmes une fois cette récupération effectuée, à moins que la législation applicable n’exige la conservation des Données à Caractère Personnel du Client.

12. Responsabilité 

Toute réclamation faite en vertu du présent Avenant (y compris des Clauses Contractuelles Types) est soumise aux modalités, y compris, mais sans s’y limiter, aux exclusions et limitations de responsabilité énoncées dans le Contrat.

13. Dispositions spécifiques à la Californie 

13.1. Dans la mesure où les Données Personnelles du Client concernent des résidents de Californie, Samsara ne conservera pas, n'utilisera pas, ne vendra pas ou ne divulguera pas autrement les Données Personnelles du Client, sauf si la loi l'exige ou si cela est nécessaire pour fournir et soutenir les Produits, comme indiqué dans le Contrat. Aux fins de la présente section, le terme "vendre" a la signification qui lui est donnée dans le California Consumer Privacy Act of 2018, dans sa version modifiée.

Clauses Contractuelles Types  

Module 2 - Transfert de Responsable du Traitement à Sous-Traitant

SECTION I

Clause 1

Finalités et champ d’application

(a) Les présentes clauses contractuelles types visent à garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)(1) en cas de transfert de données à caractère personnel vers un pays tiers.

(b) Les Parties: (i) la ou les personnes physiques ou morales, la ou les autorités publiques, la ou les agences ou autre(s) organisme(s) (ci-après la ou les «entités») qui transfèrent les données à caractère personnel, mentionnés à l’annexe I.A. (ci- après l’«exportateur de données»), et (ii) la ou les entités d’un pays tiers qui reçoivent les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses, mentionnées à l’annexe I.A. (ci-après l’«importateur de données») sont convenues des présentes clauses contractuelles types (ci-après les «clauses»).

(c) Les présentes clauses s’appliquent au transfert de données à caractère personnel précisé à l’annexe I.B.

(d) L’appendice aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des présentes clauses.

Clause 2

Effet et invariabilité des clauses

(a) Les présentes clauses établissent des garanties appropriées, notamment des droits opposables pour la personne concernée et des voies de droit effectives, en vertu de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types en vertu de l’article 28,   paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l’appendice. Cela n’empêche pas les Parties d’inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les présentes clauses et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.

(b) Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679. 

Clause 3

Tiers bénéficiaires

(a) Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes:

(i) clause 1, clause 2, clause 3, clause 6, clause 7; (ii) clause 8.1, paragraphe b), clause 8.9, paragraphes a), c), d) et e);  (iii) clause 9, paragraphes a), c), d) et e);  (iv) clause 12, paragraphes a), d) et f); (v) clause 13; (vi) clause 15.1, paragraphes c), d) et e); (vii) clause 16, paragraphe e); (viii) clause 18, paragraphes a) et b).

(b) Le paragraphe a) est sans préjudice des droits des personnes concernées au titre du règlement (UE) 2016/679.

Clause 4

Interprétation

(a) Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ceux-ci ont la même signification que dans ledit règlement.

(b) Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.

(c) Les présentes clauses ne sont pas interprétées dans un sens contraire aux droits et obligations prévus dans le règlement (UE) 2016/679.

Clause 5

Hiérarchie

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties existant au moment où les présentes clauses sont convenues, ou souscrites par la suite, les présentes clauses prévalent.

Clause 6

Description du ou des transferts

Les détails du ou des transferts, en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles le sont, sont précisés à l’annexe I.B.

 

Clause 7 - Omise intentionnellement 

SECTION II – OBLIGATIONS DES PARTIES

Clause 8

Garanties en matière de protection des données

L’exportateur de données garantit qu’il a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses.

8.1 Instructions

(a) L’importateur de données ne traite les données à caractère personnel que sur instructions documentées de l’exportateur de données. L’exportateur de données peut donner ces instructions pendant toute la durée du contrat.

(b) S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement l’exportateur de données.

8.2 Limitation des finalités

L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du transfert, telles que précisées à l’annexe I.B, sauf en cas d’instructions supplémentaires de l’exportateur de données.

8.3 Transparence

Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, notamment de l’appendice tel que rempli par les parties. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les mesures décrites à l’annexe II et les données à caractère personnel, l’exportateur de données peut occulter une partie du texte de l’appendice aux présentes clauses avant d’en communiquer une copie, mais fournit un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en comprendre le contenu ou d’exercer ses droits. Les parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des occultations, dans la mesure du possible sans révéler les informations occultées. Cette clause est sans préjudice des obligations qui incombent à l’exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.

8.4 Exactitude

Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes, ou sont obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour effacer ou rectifier les données.

8.5 Durée du traitement et effacement ou restitution des données

Le traitement par l’importateur de données n’a lieu que pendant la durée précisée à l’annexe I.B. Au terme de la prestation des services de traitement, l’importateur de données, à la convenance de l’exportateur de données, efface toutes les données à caractère personnel traitées pour le compte de ce dernier et lui en apporte la preuve, ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données à caractère personnel que dans la mesure où et aussi longtemps que cette législation locale l’exige. Ceci est sans préjudice de la clause 14, en particulier de l’obligation imposée à l’importateur de données par la clause 14, paragraphe e), d’informer l’exportateur de données, pendant toute la durée du contrat, s’il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences de la clause 14, paragraphe a).

8.6 Sécurité du traitement

(a) L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à ces données (ci-après la «violation de données à caractère personnel»). Lors de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour les personnes concernées. Les parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée précise restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données. Pour s'acquitter des obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe II. Il procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié.

(b) L’importateur de données ne donne l’accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

(c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données informe également l’exportateur de données de cette violation dans les meilleurs délais après en avoir eu connaissance. Cette notification contient les coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations, ainsi qu’une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), de ses conséquences probables et des mesures prises ou proposées pour y remédier, y compris, le cas échéant, des mesures visant à en atténuer les effets négatifs potentiels. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et les autres informations sont fournies par la suite, dans les meilleurs délais, à mesure qu’elles deviennent disponibles.

(d) L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter les obligations qui lui   incombent   en   vertu   du règlement (UE) 2016/679, notamment celle d’informer l’autorité de contrôle compétente et les personnes concernées, compte tenu de la nature du traitement et des informations à la disposition de l’importateur de données.

8.7 Données sensibles

Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après les «données sensibles»), l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires décrites à l’annexe I.B.

8.8 Transferts ultérieurs

L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées de l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne(2) (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après «transfert ultérieur»), que si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié, ou si:

(i) le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur; (ii) le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question; (iii) le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques; ou (iv) le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.

Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au titre des présentes clauses, en particulier de la limitation des finalités. 

8.9 Documentation et conformité

(a) L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de l’exportateur de données concernant le traitement au titre des présentes clauses.

(b) Les parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de traitement menées pour le compte de l’exportateur de données.

(c) L’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations prévues par les présentes clauses et, à la demande de l’exportateur de données, pour permettre la réalisation d’audits des activités de traitement couvertes par les présentes clauses, et contribuer à ces audits, à intervalles raisonnables ou s’il existe des indications de non-respect. Lorsqu’il décide d’un examen ou d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues par l’importateur de données.

(d) L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.

(e) Les parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les informations mentionnées aux paragraphes b) et c), y compris les résultats de tout audit.

Clause 9

Recours à des sous-traitants ultérieurs

(a) L’importateur de données a l’autorisation générale de l’exportateur de données de recruter un ou plusieurs sous- traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe expressément par écrit l’exportateur de données de tout changement concernant l’ajout ou le remplacement de sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste au moins 10 jours calendaires à l’avance, donnant ainsi à l’exportateur de données suffisamment de temps pour émettre des objections à l’encontre de ces changements avant le recrutement du ou des sous-traitants ultérieurs L’importateur de données fournit à l’exportateur de données les informations nécessaires pour permettre à ce dernier d’exercer son droit d’émettre des objections.

(b) Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte de l’exportateur de données), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données au titre des présentes clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les personnes concernées. Les parties conviennent qu’en respectant la présente clause, l’importateur de données satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses.

(c) L’importateur de données fournit à l’exportateur de données, à la demande de celui- ci, une copie du contrat avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en communiquer une copie.

(d) L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu dudit contrat.

(e) L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner instruction à ce dernier d’effacer ou de restituer les données à caractère personnel.

Clause 10

Droits des personnes concernées

(a) L’importateur de données informe rapidement l’exportateur de données de toute demande reçue d’une personne concernée. Il ne répond pas lui-même à cette demande, à moins d’y avoir été autorisé par l’exportateur de données.

(b) L’importateur de données aide l’exportateur de données à s’acquitter de son obligation de répondre aux demandes de personnes concernées désireuses d’exercer leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide requise.

(c) Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de données se conforme aux instructions de l’exportateur de données.

 

Clause 11

Voies de recours

(a) L’importateur de données informe les personnes concernées, sous une forme transparente et aisément accessible, au moyen d’une notification individuelle ou sur son site web, d’un point de contact autorisé à traiter les réclamations. Il traite sans délai toute réclamation reçue d’une personne concernée.

(b) En cas de litige entre une personne concernée et l’une des parties portant sur le respect des présentes clauses, cette partie met tout en œuvre pour parvenir à un règlement à l’amiable dans les meilleurs délais. Les parties se tiennent mutuellement informées de ces litiges et, s’il y a lieu, coopèrent pour les résoudre.

(c) Lorsque la personne concernée invoque un droit du tiers bénéficiaire en vertu de la clause 3, l’importateur de données accepte la décision de la personne concernée:

(i) d’introduire une réclamation auprès de l’autorité de contrôle de l’État membre dans lequel se trouve sa résidence habituelle ou son lieu de travail, ou auprès de l’autorité de contrôle compétente au sens de la clause 13; (ii) de renvoyer le litige devant les juridictions compétentes au sens de la clause 18.

(d) Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l’article 80, paragraphe 1, du règlement (UE) 2016/679.

(e) L’importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de l’Union ou d’un État membre.

(f) L’importateur de données convient que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural et matériel de cette dernière d’obtenir réparation conformément à la législation applicable.

Clause 12

Responsabilité

(a) Chaque partie est responsable envers la ou les autres parties des dommages qu’elle cause à l’autre ou aux autres parties du fait d’un manquement aux présentes clauses.

(b) L’importateur de données est responsable à l’égard de la personne concernée, et la personne concernée a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’importateur de données ou son sous-traitant ultérieur du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses.

(c) Nonobstant le paragraphe b), l’exportateur de données est responsable à l’égard de la personne concernée et celle-ci a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’exportateur de données ou l’importateur de données (ou son sous-traitant ultérieur) du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données et, si l’exportateur de données est un sous- traitant agissant pour le compte d’un responsable du traitement, de la responsabilité de ce dernier au titre du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas.

(d) Les parties conviennent que, si l’exportateur de données est reconnu responsable, en vertu du paragraphe c), du dommage causé par l’importateur de données (ou son sous-traitant ultérieur), il a le droit de réclamer auprès de l’importateur de données la part de la réparation correspondant à la responsabilité de celui-ci dans le dommage.

(e) Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement et la personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties.

(f) Les parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe e), celle-ci a le droit de réclamer auprès de l’autre ou des autres parties la part de la réparation correspondant à sa/leur responsabilité dans le dommage.

(g) L’importateur de données ne peut invoquer le comportement d’un sous-traitant ultérieur pour échapper à sa propre responsabilité.

Clause 13

Contrôle

(a) Si l’exportateur de données est établi dans un État membre de l’Union: L’autorité de contrôle chargée de garantir le respect, par l’exportateur de données, du règlement (UE) 2016/679 en ce qui concerne le transfert de données, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente.

Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2, et a désigné un représentant en vertu de l’article 27, paragraphe 1, dudit règlement: L’autorité de contrôle de l’État membre dans lequel le représentant au sens de l’article 27, paragraphe 1, du règlement (UE) 2016/679 est établi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente.

Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2 sans toutefois avoir à désigner un représentant en vertu de l’article 27, paragraphe 2, du règlement (UE) 2016/679: L’autorité de contrôle d’un des États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont transférées au titre des présentes clauses en lien avec l’offre de biens ou de services ou dont le comportement fait l’objet d’un suivi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité compétente.

(b) L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à garantir le respect des présentes clauses. En particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, notamment aux mesures correctrices et compensatoires. Il confirme par écrit à l’autorité de contrôle que les mesures nécessaires ont été prises.

 

SECTION III – LÉGISLATIONS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS DES AUTORITÉS PUBLIQUES

Clause 14

Législations et pratiques locales ayant une incidence sur le respect des clauses

(a) Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses. Cette disposition repose sur l’idée que les législations et les pratiques qui respectent l’essence des libertés et droits fondamentaux et qui n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour préserver un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes clauses.

(b) Les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte, en particulier, des éléments suivants:

(i) des circonstances particulières du transfert, parmi lesquelles la longueur de la chaîne de traitement, le nombre d’acteurs concernés et les canaux de transmission utilisés; les transferts ultérieurs prévus; le type de destinataire; la finalité du traitement; les catégories et le format des données à caractère personnel transférées; le secteur économique dans lequel le transfert a lieu et le lieu de stockage des données transférées; (ii) des législations et des pratiques du pays tiers de destination – notamment celles qui exigent la divulgation de données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données – pertinentes au regard des circonstances particulières du transfert, ainsi que des limitations et des garanties applicables(3); (iii) de toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues  par les présentes clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.

(c) L’importateur de données garantit que, lors de l’évaluation au titre du paragraphe b), il a déployé tous les efforts possibles pour fournir des informations pertinentes à l’exportateur de données et convient qu’il continuera à coopérer avec ce dernier pour garantir le respect des présentes clauses.

(d) Les parties conviennent de conserver une trace documentaire de l’évaluation au titre du paragraphe b) et de mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande.

(e) L’importateur de données accepte d’informer sans délai l’exportateur de données si, après avoir souscrit aux présentes clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences du paragraphe a), notamment à la suite d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application pratique de cette législation qui n’est pas conforme aux exigences du paragraphe a). 

(f) À la suite d’une notification au titre du paragraphe e), ou si l’exportateur de données a d’autres raisons de croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des présentes clauses, l’exportateur de données définit sans délai les mesures appropriées (par exemple des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) qu’il doit adopter et/ou qui doivent être adoptées par l’importateur de données pour remédier à la situation. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée ne peut être fournie pour ce transfert ou si l’autorité de contrôle compétente lui en donne l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 16, paragraphes d) et e), s’applique.

Clause 15

Obligations de l’importateur de données en cas d’accès des autorités publiques

15.1 Notification

(a) L’importateur de données convient d’informer sans délai l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données):

(i) s’il reçoit une demande juridiquement contraignante d’une autorité publique, y compris judiciaire, en vertu de la législation du pays de destination en vue de la divulgation de données à caractère personnel transférées au titre des présentes clauses; cette notification comprend des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie; ou

(ii) s’il a connaissance d’un quelconque accès direct des autorités publiques aux données à caractère personnel transférées au titre des présentes clauses en vertu de la législation du pays de destination; cette notification comprend toutes les informations dont l’importateur de données dispose.

(b) Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de pouvoir en apporter la preuve à l’exportateur de données, si celui- ci lui en fait la demande.

(c) Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations utiles que possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, la ou les autorités requérantes, la contestation ou non des demandes et l’issue de ces contestations, etc.). 

(d) L’importateur de données accepte de conserver les informations mentionnées aux paragraphes a) à c) pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.

(e) Les paragraphes a) à c) sont sans préjudice de l’obligation incombant à l’importateur de données, en vertu de la clause 14, paragraphe e), et de la clause 16, d’informer sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses.

15.2 Contrôle de la légalité et minimisation des données

(a) L’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier de vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données exerce les possibilités d'appel ultérieures dans les mêmes conditions. Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se prononce sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas obligé de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations incombant à l’importateur de données en vertu de la clause 14, paragraphe e).

(b) L’importateur de données accepte de garder une trace documentaire de son évaluation juridique ainsi que de toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, de mettre les documents concernés à la disposition de l’exportateur de données. Il les met également à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande. 

(c) L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.

 

SECTION IV — DISPOSITIONS FINALES

Clause 16

Non-respect des clauses et résiliation

(a) L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses, quelle qu’en soit la raison.

(b) Dans le cas où l’importateur de données enfreint les présentes clauses ou n’est pas en mesure de les respecter, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que le respect des présentes clauses soit à nouveau garanti ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14, paragraphe f).

(c) L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses, lorsque:

(i) l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données en vertu du paragraphe b) et que le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension; (ii) l’importateur de données enfreint gravement ou de manière persistante les présentes clauses; ou (iii) l’importateur de données ne se conforme pas à une décision contraignante d’une juridiction ou d’une autorité de contrôle compétente concernant les obligations qui lui incombent au titre des présentes clauses.

Dans ces cas, il informe l’autorité de contrôle compétente de ce non-respect. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement.

(d) Les données à caractère personnel qui ont été transférées avant la résiliation du contrat au titre du paragraphe c) sont immédiatement restituées à l’exportateur de données ou effacées dans leur intégralité, à la convenance de celui- ci. Il en va de même pour toute copie des données. L’importateur de données apporte la preuve de l’effacement des données à l’exportateur de données. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel transférées, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données que dans la mesure où et aussi longtemps que cette législation locale l’exige.

(e) Chaque partie peut révoquer son consentement à être liée par les présentes clauses i) si la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s’appliquent; ou ii) si le règlement (UE) 2016/679 est intégré dans le cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations qui   s’appliquent   au   traitement   en   question   en   vertu   du règlement (UE) 2016/679.

Clause 17

Droit applicable

Les présentes clauses sont régies par le droit d’un des États membres de l’Union européenne, pour autant que ce droit reconnaisse des droits au tiers bénéficiaire. Les parties conviennent qu’il s’agit du droit de la République d’Irlande.

 

Clause 18

Élection de for et juridiction

(a) Tout litige survenant du fait des présentes clauses est tranché par les juridictions d’un État membre de l’Union européenne.

(b) Les parties conviennent qu’il s’agit des juridictions de la République d’Irlande.

(c) La personne concernée peut également poursuivre l’exportateur et/ou l’importateur de données devant les juridictions de l’État membre dans lequel elle a sa résidence habituelle.

(d) Les parties acceptent de se soumettre à la compétence de ces juridictions.

 

APPENDICE

ANNEXE I

 

A.   LISTE DES PARTIES

Exportateur(s) de données: 

Nom: Le Client, tel que détaillé dans le Bon de Commande correspondant (nonobstant le fait que le Client peut être une ou plusieurs entités situées en dehors de l’Union Européenne/de la Suisse/du Royaume-Uni, selon le cas)

Adresse: Tel que détaillé dans le Bon de Commande correspondant

Nom, fonction et coordonnées de la personne de contact: À l'attention du Délégué au Traitement des Données Personnelles/ de l’Équipe Juridique/Privacy 

Activités en rapport avec les données transférées au titre des présentes clauses: Telles que détaillées en Annexe I.B. 

Rôle: Responsable du Traitement

Importateur(s) de données: 

Nom: Samsara Inc.

Adresse: 350 Rhode Island Street, 4th Floor, South Building, San Francisco, CA 94103, USA

Nom, fonction et coordonnées de la personne de contact: legalnotices@samsara.com 

Activités en rapport avec les données transférées au titre des présentes clauses: Telles que détaillées en Annexe I.B. 

Rôle: Sous-Traitant

B.   DESCRIPTION DU TRANSFERT

Catégories de personnes concernées dont les données à caractère personnel sont transférées

Les Personnes Concernées comprennent les personnes physiques au sujet desquelles les Données à Caractère Personnel sont fournies à Samsara via les Produits par le Client (ou selon ses instructions), ou par un employé ou un utilisateur final du Client, y compris, sans s’y limiter, les Données Personnelles des utilisateurs, employés, dirigeants, administrateurs, prestataires, mandataires, fournisseurs, consommateurs, clients, visiteurs et autres personnes physiques qui pourraient être enregistrés par les Produits; et dont l'étendue, dans chaque cas, est déterminée et contrôlée par l'exportateur de données à sa seule discrétion, en fonction de son utilisation des Produits. 

Catégories de données à caractère personnel transférées

Données à Caractère Personnel concernant des personnes physiques, fournies à Samsara via les Produits par le Client (ou selon ses instructions), ou par un employé ou un utilisateur final du Client, y compris, sans s’y limiter, les noms, les coordonnées (par exemple nom de l’entreprise, e-mail, adresse, numéro de téléphone), les données d’identification, les données de connexion, les données de localisation, les photos de profil ainsi que les images et vidéos enregistrées par les Produits (par exemple les images de personnes physiques à l’intérieur d’un véhicule utilisant une caméra embarquée et d’autres informations permettant d’identifier des personnes physiques à partir de ces images, et notamment les plaques d’immatriculation et les panneaux indicateurs de bâtiments, maisons et autres monuments); et dont l'étendue, dans chaque cas, est déterminée et contrôlée par l'exportateur de données à sa seule discrétion, en fonction de son utilisation des Produits.

Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que la limitation stricte des finalités, les restrictions d’accès (notamment l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, les restrictions applicables aux transferts ultérieurs ou les mesures de sécurité supplémentaires.

L'exportateur de données peut soumettre des catégories spéciales de données aux Produits et/ou Samsara peut créer des catégories spéciales de données dans les Produits, dont l'étendue est déterminée et contrôlée par l'exportateur de données à sa seule discrétion, en fonction de son utilisation des Produits. Le cas échéant, l'exportateur de données convient qu'il a examiné et évalué les restrictions et les garanties appliquées à ces catégories spéciales de Données Personnelles, y compris les mesures décrites à l'Annexe II de l'Avenant, et qu'il a déterminé que ces restrictions et garanties sont suffisantes aux fins du respect des Lois sur la Protection des Données.

Fréquence du transfert (indiquez, par exemple, si les données sont transférées sur une base ponctuelle ou continue).

Samsara traitera les Données Personnelles du Client aussi longtemps que nécessaire pour fournir les Produits au Client conformément au Contrat et dans la mesure où cela est autorisé par celui-ci, et pour toute divulgation exigée par la loi. 

Nature du traitement

Samsara traitera les Données à Caractère Personnel du Client aux fins de la fourniture des Produits au Client conformément au Contrat, et tel qu’autrement permis par celui-ci, et aux fins de toute divulgation imposée par la loi.

Finalité(s) du transfert et du traitement ultérieur des données

Samsara traitera les Données à Caractère Personnel du Client aux fins de la fourniture des Produits au Client conformément au Contrat, et tel qu’autrement permis par celui-ci, et aux fins de toute divulgation imposée par la loi.

Durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, critères utilisés pour déterminer cette durée.

La durée du Contrat, plus la période s’écoulant de l’expiration ou la résiliation du Contrat à l’effacement de toutes les Données du Client par Samsara conformément au Contrat. Certaines Données à Caractère Personnel du Client peuvent être soumises à des politiques de conservation et d’effacement spécifiques (par exemple, les données vidéo provenant des caméras embarquées utilisées par les Clients basés au sein de l’EEE, qui sont transférées vers le Logiciel Hébergé, sont soumises par défaut à une politique de conservation et à un programme de suppression de six (6) mois, que le Client accepte, et qui peuvent être modifiés selon les exigences du Client). 

Pour les transferts à des sous-traitants (ultérieurs), veuillez également préciser l’objet, la nature et la durée du traitement

Tel que détaillé ici. Vous pouvez également choisir de recevoir des mises à jour sur les Sous-Traitants ultérieurs via ce lien.

C.   AUTORITÉ DE CONTRÔLE COMPÉTENTE

Indiquez la ou les autorités de contrôle compétentes conformément à la clause 13

Si l’exportateur de données est établi dans un État membre de l’Union: L’autorité de contrôle chargée de garantir le respect, par l’exportateur de données, du règlement (UE) 2016/679 en ce qui concerne le transfert de données, agit en qualité d’autorité de contrôle compétente.

Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2, et a désigné un représentant en vertu de l’article 27, paragraphe 1, dudit règlement: L’autorité de contrôle de l’État membre dans lequel le représentant au sens de l’article 27, paragraphe 1, du règlement (UE) 2016/679 est établi, agit en qualité d’autorité de contrôle compétente.

Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2 sans toutefois avoir à désigner un représentant en vertu de l’article 27, paragraphe 2, du règlement (UE) 2016/679: L’autorité de contrôle d’un des États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont transférées au titre des présentes clauses en lien avec l’offre de biens ou de services ou dont le comportement fait l’objet d’un suivi, agit en qualité d’autorité compétente. 

 

 

ANNEXE II - MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES

Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les intérêts légitimes des personnes physiques, Samsara met en œuvre les mesures techniques et organisationnelles nécessaires afin de garantir un niveau de sécurité adapté au risque lors du Traitement des Données à Caractère Personnel, en particulier concernant le traitement de catégories particulières de Données à Caractère Personnel. 

Ces mesures peuvent comprendre la pseudonymisation et le chiffrement des données à caractère personnel, si de tels moyens sont envisageables compte tenu des finalités du Traitement. 

En particulier : 

Samsara prend des mesures pour limiter l’accès aux Données à Caractère Personnel du Client au Client, à ses utilisateurs, ainsi qu’aux membres du personnel et Sous-Traitants Ultérieurs autorisés de Samsara. En outre, Samsara a mis en place des processus visant à protéger ses systèmes contenant des Données à Caractère Personnel du Client ou accédant à de telles données contre toute Violation de Données à Caractère Personnel.  L’infrastructure sous-jacente utilise les services d’Amazon AWS, lesquels sont certifiés ISO 27001 et SOC 1 Type II. Des équipements réseau, notamment des pare-feu et d’autres dispositifs de protection, ont été mis en place afin de surveiller et de contrôler les communications à l’extérieur des limites du réseau et à certains endroits stratégiques à l’intérieur du réseau. Ces équipements de protection utilisent différentes règles, listes de contrôle d’accès (ACL) et configurations pour diriger le flux de données vers des services informatiques spécifiques.  Des ACL, ou politiques de gestion des flux d’informations, ont été mises en place sur chaque interface prise en charge afin de gérer et d’orienter les flux de données. 

Les données sont logiquement réparties entre diverses bases de données distribuées soumises à des protocoles d’authentification pour chaque demande d’accès aux données de tout locataire, tant au niveau de la couche d’application que de la couche de données. Cette répartition logique vise à rattacher les données à un client précis, et l’authentification requise au niveau des couches d’application et de données a pour but d’isoler les données par client ainsi que les comptes associés à ce client.

Les Produits utilisent un Cloud Virtuel Privé afin d’assurer l’isolement des ressources et de réduire la zone d’attaque. Les Produits sont protégés à l’aide de pare-feu analysant les ports et les adresses IP. L’accès administratif à l’infrastructure de Samsara est restreint et vérifié au moyen de la solution de gestion des identités et des accès d’AWS. Les attaques par déni de service distribué (DDoS) peuvent être atténuées à l’aide d’un équilibrage de charge élastique et de services DNS hautement disponibles.

Lorsqu’un périphérique de stockage contenant des Données à Caractère Personnel du Client arrive en fin de vie, les procédures prévoient un processus de mise hors service destiné à empêcher que les données ne soient exposées à des personnes non autorisées. Les techniques décrites dans la norme DoD 5220.22-M (« National Industrial Security Program Operating Manual ») ou la norme NIST 800-88 (« Guidelines for Media Sanitization ») sont utilisées pour détruire les données dans le cadre du processus de mise hors service. Tous les périphériques de stockage magnétiques sont démagnétisés et physiquement détruits conformément aux pratiques du secteur.

Samsara met en œuvre des mesures destinées à renforcer la sécurité physique de ses réseaux, serveurs, clouds et autres systèmes d’information sur lesquels les Données Client sont conservées, traitées, transmises ou accessibles et à assurer leur sécurisation conformément aux exigences de la présente Annexe.

Samsara passe chaque année en revue les mesures prises en matière de sécurité des technologies de l’information. Une fois par an, une tierce partie indépendante compétente procède à des tests d’intrusion du système de Samsara afin de détecter les problèmes de sécurité éventuels. Samsara maintient des processus d’identification, d’isolement et de correction des problèmes de sécurité.

 

 

 

 ANNEXE III - LISTE DES SOUS-TRAITANTS ULTÉRIEURS

Le Responsable du Traitement a autorisé le recours aux Sous-Traitants ultérieurs énumérés ici.

(1) Si l’exportateur de données est un sous-traitant soumis au règlement (UE) 2016/679 agissant pour le compte d’une institution ou d’un organe de l’Union en tant que responsable du traitement, le recours aux présentes clauses lors du recrutement d’un autre sous-traitant (sous-traitance ultérieure) qui n’est pas soumis au règlement (UE) 2016/679   garantit   également   le   respect    de    l’article 29,    paragraphe 4,    du règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) nº 45/2001 et la décision nº 1247/2002/CE (JO L 295 du 21.11.2018, p. 39), dans la mesure où les présentes clauses et les obligations en matière de protection des données fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément à l’article 29, paragraphe 3, du règlement (UE) 2018/1725 sont alignées. Ce sera en particulier le cas lorsque le responsable du traitement et le sous-traitant se fondent sur les clauses contractuelles types qui figurent dans la décision 2021/915.

(2) L’accord sur l’Espace économique européen (accord EEE) prévoit l’extension du marché intérieur de l’Union européenne aux trois pays de l’EEE que sont l’Islande, le Liechtenstein et la Norvège. La législation de l’Union en matière de protection des données, notamment le règlement (UE) 2016/679, est couverte par l’accord EEE et a été intégrée dans l’annexe XI de celui-ci. Dès lors, une divulgation par l’importateur de données à un tiers situé dans l’EEE ne peut être qualifiée de transfert ultérieur aux fins des présentes clauses.

(3) En ce qui concerne l’incidence de ces législations et pratiques sur le respect des présentes clauses, différents éléments peuvent être considérés comme faisant partie d’une évaluation globale. Ces éléments peuvent inclure une expérience concrète, documentée et pertinente de cas antérieurs de demandes de divulgation émanant d’autorités publiques, ou l’absence de telles demandes, couvrant un laps de temps suffisamment représentatif. Il peut s’agir de registres internes ou d’autres documents établis de manière continue conformément au principe de diligence raisonnable et certifiés à un niveau hiérarchique élevé, pour autant que ces informations puissent être partagées légalement avec des tiers. Lorsque cette expérience pratique est invoquée pour conclure que l’importateur de données ne sera pas empêché de respecter les présentes clauses, il y a lieu de l’étayer par d’autres éléments pertinents et objectifs, et il appartient aux parties d’examiner avec soin si ces éléments, pris dans leur ensemble, ont un poids suffisant, du point de vue de leur fiabilité et de leur représentativité, pour soutenir cette conclusion. En particulier, les parties doivent s’assurer que leur expérience pratique est corroborée et non contredite par des informations fiables accessibles au public ou disponibles d’une autre manière sur l’existence ou l’absence de demandes dans le même secteur et/ou sur l’application pratique du droit, comme la jurisprudence et les rapports d’organes de contrôle indépendants.