ADDENDUM SUR LE TRAITEMENT DES DONNÉES (CLIENTS)

Le présent addendum relatif au traitement des données (« addendum ») est signé par et entre LogoMix, Inc. DBA FreeLogoServices (« FreeLogoServices », « nous » ou « notre » selon le cas), et vous (« client »). Il est annexé et complète nos Conditions de service, notre Politique de confidentialité et tous les accords régissant nos services couverts (collectivement, les « Conditions d'utilisation »).

1. Définitions

Dans le présent addendum, les termes suivants ont les significations spécifiées.

« Services couverts » désigne tous les services hébergés que nous vous proposons et qui sont susceptibles d'impliquer notre traitement de données à caractère personnel.

« Données du client » désigne les données à caractère personnel de toute personne concernée traitées par FreeLogoServices au sein du réseau FreeLogoServices pour le compte du client conformément aux Conditions de service ou en lien avec celles-ci.

« Responsable du traitement des données » désigne le client, en tant qu'entité qui détermine les objectifs et les moyens du traitement des données à caractère personnel collectées par le biais du site Internet du client.

« Processeur de données » désigne FreeLogoServices, en tant qu'entité qui traite les données à caractère personnel pour le compte du Responsable du traitement des données.

« Lois sur la protection des données » désigne toutes les lois et réglementations, y compris les lois et réglementations de l'Union européenne, applicables au traitement des données personnelles en vertu du présent addendum.

« Personne concernée » désigne la personne physique à laquelle se rapportent les données à caractère personnel.

« EEE » désigne l'Espace économique européen.

« Réseau FreeLogoServices » désigne les installations du centre de données de FreeLogoServices, les serveurs, les équipements de réseau et les systèmes logiciels hôtes qui sont sous le contrôle de FreeLogoServices et qui sont utilisés pour fournir les services couverts.

« Données personnelles » désigne toute information relative à une personne physique identifiée ou identifiable.

« Traitement » désigne toute opération ou ensemble d'opérations effectuées sur des données personnelles, telles que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction. Les termes « traitement », « processus » et « traité » seront interprétés en conséquence. Les détails du traitement sont exposés à l'annexe 1.

« Incident de sécurité » désigne soit (a) une violation de la sécurité de FreeLogoServices entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal à toute donnée du client ; soit (b) tout accès non autorisé à l'équipement ou aux installations de FreeLogoServices, lorsque, dans les deux cas, cet accès entraîne la destruction, la perte, la divulgation non autorisée ou l'altération des données du client.

« Normes de sécurité » désigne les normes de sécurité jointes au présent addendum en tant qu'annexe 2.

« Clauses contractuelles types » désigne l'annexe 3, jointe au présent addendum et en faisant partie intégrante, conformément à la décision de la Commission européenne du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu de la directive.

« Sous-traitant » désigne tout tiers engagé par le processeur de données pour traiter les données au nom du responsable du traitement des données.

2. Traitement des données

2.1 Champ d'application et rôles

Le présent addendum s'applique lorsque les données du client sont traitées par FreeLogoServices. Dans ce contexte, FreeLogoServices agira en tant que processeur de données pour le compte du client en tant que responsable du traitement des données en ce qui concerne les données du client.

2.2 Détails du traitement des données

L'objet du traitement des données du Client par FreeLogoServices est l'exécution des services couverts conformément aux Conditions de service. FreeLogoServices ne traitera les données du client que pour le compte et conformément aux instructions documentées du client aux fins suivantes:

  • Le traitement conformément aux conditions de service ;
  • Le traitement initié par les utilisateurs finaux dans le cadre de leur utilisation des services couverts ;
  • Le traitement pour se conformer à d'autres instructions documentées et raisonnables fournies par les clients (par exemple, par e-mail) lorsque ces instructions sont compatibles avec les conditions du présent addendum.

Toutefois, FreeLogoServices n'est pas tenu de se conformer ou d'observer les instructions du client si ces instructions enfreignent le Règlement général sur la protection des données 2016/679 de l'UE (« RGPD ») ou toute autre loi applicable en matière de confidentialité des données.

La durée du traitement, la nature et la finalité du traitement, les types de données à caractère personnel et les catégories de personnes concernées traitées dans le cadre du présent addendum sont précisés davantage à l'annexe 1 (« Détails du traitement ») du présent addendum.

3. Confidentialité des données relatives aux clients

FreeLogoServices ne divulguera pas les données du client à un gouvernement ou à un tiers, sauf si cela est nécessaire pour se conformer à la loi ou à une ordonnance valide et contraignante d'un organisme chargé de l'application de la loi (telle qu'une citation à comparaître ou une ordonnance du tribunal). Si un organisme chargé de l'application de la loi envoie à FreeLogoServices une demande concernant les données du client, FreeLogoServices s'efforcera de rediriger l'organisme chargé de l'application de la loi pour qu'il demande ces données directement au client. Dans le cadre de cet effort, FreeLogoServices peut fournir les coordonnées de base du client à l'organisme chargé de l'application de la loi. Si FreeLogoServices est contraint de divulguer les données du Client à un organisme chargé de l'application de la loi, il en informera le client dans un délai raisonnable afin de lui permettre de demander une ordonnance de protection ou tout autre recours approprié, sauf si FreeLogoServices en est légalement empêchée.

4. Sécurité

FreeLogoServices a mis en œuvre et maintiendra les mesures techniques et organisationnelles pour le réseau FreeLogoServices telles que décrites dans la présente section et, comme décrit plus en détail à l'annexe 2 du présent addendum, les normes de sécurité. En particulier, FreeLogoServices a mis en œuvre et maintiendra :

  1. La sécurité du réseau FreeLogoServices ;
  2. La sécurité physique des installations ;
  3. Les contrôles relatifs à l'accès des employés et des sous-traitants au réseau FreeLogoServices et aux installations de FreeLogoServices ; et,
  4. Les processus de test, d'évaluation et d'appréciation de l'efficacité des mesures techniques et organisationnelles mises en œuvre par FreeLogoServices.

FreeLogoServices met à disposition un certain nombre de caractéristiques et de fonctionnalités de sécurité que le client peut choisir d'utiliser en relation avec les services couverts. Le client est responsable de faire ce qui suit :

  1. Configurer correctement les services couverts.
  2. Utiliser les contrôles disponibles dans le cadre des services couverts (y compris les contrôles de sécurité) pour garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et des services de traitement.
  3. Utiliser les contrôles disponibles en lien avec les services couverts (y compris les contrôles de sécurité) pour permettre au client de restaurer la disponibilité et l'accès aux données du client en temps opportun en cas d'incident physique ou technique (par exemple, les sauvegardes et l'archivage de routine des données du client).
  4. Prendre les mesures que le client juge adéquates pour maintenir une sécurité, une protection et une suppression appropriées des données du client, ce qui inclut l'utilisation d'une technologie de chiffrement pour protéger les données du client contre tout accès non autorisé et des mesures pour contrôler les droits d'accès aux données du client.

5. Droits des personnes concernées

Le client est responsable de :

  • Se conformer à toutes les lois applicables en matière de protection de la vie privée, y compris le RGPD, notamment en observant les droits des personnes concernées tels que décrits dans ces lois. Ces droits peuvent s'étendre au-delà des données du client et inclure les données que le client a collectées mais qui ne sont pas traitées par FreeLogoServices.
  • Répondre directement aux demandes de droits des personnes concernées, et agir en tant qu'unique point de contact avec les personnes concernées lorsqu'une demande de droits inclut les données du client.

FreeLogoServices doit :

  • Informer rapidement le client s'il reçoit une demande de la part d'une personne concernée en vertu de toute loi sur la protection des données en ce qui concerne les données du client.
  • Veiller à ne pas répondre à cette demande, sauf sur instructions documentées du client ou comme l'exigent les lois applicables auxquelles FreeLogoServices est soumis, auquel cas FreeLogoServices devra, dans la mesure permise par les lois applicables, informer le client de cette exigence légale avant que FreeLogoServices ne réponde à la demande.
  • Lorsque l'utilisation des services couverts par le client limite sa capacité à répondre à une demande de la personne concernée, FreeLogoServices peut, dans la mesure où la loi l'autorise et le permet, et sur demande spécifique du client, fournir une assistance commercialement raisonnable pour répondre à la demande, aux frais du client (le cas échéant).

6. Sous-traitement

6.1 Sous-traitants autorisés

Le client accepte que FreeLogoServices fasse appel à des sous-traitants pour remplir ses obligations contractuelles en vertu de ses Conditions de service et du présent addendum ou pour fournir certains services en son nom, tels que la fourniture de services d'assistance. Le client consent par les présentes à l'utilisation par FreeLogoServices de sous-traitants tels que décrits dans la présente section. À l'exception de ce qui est indiqué dans la présente section ou de ce que vous avez explicitement autorisé, FreeLogoServices n'autorisera aucune autre activité de sous-traitement.

6.2 Obligations des sous-traitants

Lorsque FreeLogoServices fait appel à un sous-traitant autorisé tel que décrit dans la section « Sous-traitants autorisés » ci-dessus :

  1. FreeLogoServices limitera l'accès du sous-traitant aux données du client uniquement à ce qui est nécessaire pour maintenir les services couverts ou pour fournir les services couverts au client et à tout utilisateur final conformément aux services couverts. FreeLogoServices interdira au sous-traitant secondaire d'accéder aux données du client à toute autre fin.
  2. FreeLogoServices conclura un accord écrit avec le sous-traitant ultérieur et, dans la mesure où le sous-traitant ultérieur effectue les mêmes services de traitement de données que ceux fournis par FreeLogoServices dans le cadre du présent addendum, FreeLogoServices imposera au sous-traitant ultérieur les mêmes obligations contractuelles que celles de FreeLogoServices dans le cadre du présent addendum.
  3. FreeLogoServices restera responsable de son respect des obligations du présent addendum et de tout acte ou omission du sous-traitant ultérieur entraînant la violation par FreeLogoServices de l'une quelconque des obligations qui lui incombent en vertu du présent addendum.

7. Notification des incidents de sécurité

7.1 Responsabilités de FreeLogoServices

Si FreeLogoServices a connaissance d'un incident de sécurité, FreeLogoServices s'engage sans délai à :

  • Notifier le client de l'incident de sécurité ; et,
  • Prendre des mesures raisonnables pour atténuer les effets et minimiser tout dommage résultant de l'incident de sécurité.

7.2 Assistance de FreeLogoServices

Pour aider le client en ce qui concerne toute notification de violation de données personnelles que le client est tenu de faire en vertu des lois applicables en matière de protection de la vie privée, FreeLogoServices inclura dans la notification prévue à la section « Droits du client/détermination indépendante » (ci-dessous), les informations relatives à l'incident de sécurité que FreeLogoServices est raisonnablement en mesure de divulguer au client, en tenant compte de la nature des services couverts, des informations dont dispose FreeLogoServices et de toute restriction concernant la divulgation des informations, telle que la confidentialité.

7.3 Incidents de sécurité non résolus

Le client accepte que :

  • Un incident de sécurité ayant échoué ne sera pas soumis aux conditions du présent addendum. Un incident de sécurité ayant échoué est un incident qui n'entraîne aucun accès non autorisé aux données du client ou à l'un des réseaux, équipements ou installations de FreeLogoServices stockant les données du client, et peut inclure, sans s'y limiter, des pings et autres attaques de diffusion sur les pare-feu ou les serveurs périphériques, des analyses de ports, des tentatives de connexion infructueuses, des attaques par déni de service, le reniflage de paquets (ou tout autre accès non autorisé aux données de trafic qui n'entraîne pas d'accès au-delà des en-têtes) ou d'autres incidents similaires ; et,
  • L'obligation de FreeLogoServices de signaler ou de répondre à un incident de sécurité en vertu de la présente section n'est pas et ne sera pas interprétée comme une reconnaissance par FreeLogoServices d'une quelconque faute ou responsabilité de FreeLogoServices en ce qui concerne l'incident de sécurité.

7.4 Communication

Les notifications d'incidents de sécurité, le cas échéant, seront transmises à un ou plusieurs administrateurs du client par tout moyen choisi par FreeLogoServices, y compris par e-mail. Il est de la seule responsabilité du client de s'assurer que les administrateurs du client maintiennent des informations de contact exactes sur la console de gestion de FreeLogoServices et une transmission sécurisée à tout moment.

8. Droits des clients

8.1 Détermination indépendante

Il incombe au client d'examiner les informations mises à disposition par FreeLogoServices relatives à la sécurité des données et aux normes de sécurité et de déterminer de manière indépendante si les services couverts répondent aux exigences et aux obligations légales du client ainsi qu'aux obligations du client en vertu du présent addendum. Les informations mises à disposition sont destinées à aider le client à se conformer aux obligations du client en vertu des lois applicables en matière de protection de la vie privée, y compris le RGPD, en ce qui concerne les évaluations de l'impact sur la protection des données et la consultation préalable.

Si les clauses contractuelles types s'appliquent, aucune disposition de la présente section ne modifie les clauses contractuelles types ni n'affecte les droits d'une autorité de contrôle ou d'une personne concernée en vertu des clauses contractuelles types.

8.2 Droits d'audit des clients

Le Client a le droit de confirmer le respect par FreeLogoServices du présent addendum tel qu'il s'applique aux services couverts, et notamment le respect par FreeLogoServices de ses normes de sécurité. FreeLogoServices mettra à la disposition du client, sur demande, toutes les informations qui, selon lui, démontrent le respect des normes de sécurité.

Les droits à l'information et à l'audit du client ne découlent de cette section que dans la mesure où l'accord ne lui confère pas d'autres droits à l'information et à l'audit répondant aux exigences pertinentes de la loi sur la protection des données.

9. Transferts de données à caractère personnel

9.1 Traitement au Canada

Sauf indication spécifique dans les conditions de service, les données du client seront transférées en dehors de l'EEE et traitées au Canada, où ces données sont régies par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada. Le Canada a été reconnu par l'UE comme offrant une protection adéquate des données (conformément à l'article 45 du Règlement (UE) 2016/679), ce qui permet de transférer librement les informations personnelles des résidents de l'UE vers le Canada.

Comme FreeLogoServices travaille avec un certain nombre de partenaires basés aux États-Unis, nous transférons également (conformément à l'article 45 du RGPD) des informations personnelles à des entreprises qui ont certifié leur conformité aux cadres du bouclier de protection de la vie privée UE-États-Unis ou Suisse-États-Unis.

9.2 Application des clauses contractuelles types

Les clauses contractuelles types s'appliquent aux données du client qui sont transférées en dehors de l'EEE, soit directement, soit par transfert ultérieur, vers tout pays qui n'est pas reconnu par la Commission européenne comme assurant un niveau de protection adéquat des données à caractère personnel (tel que décrit dans le RGPD). Les clauses contractuelles types ne s'appliqueront pas aux données du client qui ne sont pas transférées, directement ou par transfert ultérieur, en dehors de l'EEE. Nonobstant ce qui précède, les clauses contractuelles types ne s'appliqueront pas lorsque les données sont transférées conformément à une norme de conformité reconnue pour le transfert licite de données à caractère personnel (tel que défini dans le RGPD) en dehors de l'EEE, telle que la réglementation canadienne PIPEDA et également les cadres du bouclier de protection de la vie privée UE-États-Unis et Suisse-États-Unis.

10. Résiliation de l'addendum

Le présent addendum restera en vigueur jusqu'à la cessation du traitement par FreeLogoServices conformément aux conditions d'utilisation (la « date de cessation »).

11. Retour ou suppression des données des clients

Comme décrit dans les services couverts, le client peut se voir fournir un service par FreeLogoServices qui peut être utilisé pour récupérer ou supprimer les données du client. Toute suppression des données du client sera régie par les conditions des services couverts en question.

12. Limites de responsabilité

La responsabilité de chaque partie en vertu du présent addendum sera soumise aux exclusions et limitations de responsabilité énoncées dans les Conditions de service. Le client accepte que toutes les pénalités réglementaires encourues par FreeLogoServices en relation avec les données du client qui résultent ou sont liées au non-respect par le client de ses obligations en vertu du présent addendum et de toute loi applicable en matière de protection de la vie privée soient prises en compte et réduisent la responsabilité de FreeLogoServices en vertu des Conditions de service comme s'il s'agissait d'une responsabilité à l'égard du client en vertu des Conditions de service.

13. Intégralité des Conditions d'utilisation ; conflit

Le présent addendum annule et remplace toutes les déclarations, ententes, accords ou communications antérieurs ou contemporains entre le client et FreeLogoServices, qu'ils soient écrits ou verbaux, concernant l'objet du présent addendum, y compris tout addendum sur le traitement des données conclu entre FreeLogoServices et le client en ce qui concerne le traitement des données à caractère personnel et sur la libre circulation de ces données. À l'exception des modifications apportées par le présent addendum, les Conditions de service resteront pleinement en vigueur. En cas de conflit entre tout autre accord entre les parties, y compris les Conditions de service et le présent addendum, les termes du présent addendum prévaudront.

Annexe 1 : Détails du traitement

  1. Nature et finalité du traitement. FreeLogoServices traitera les données personnelles comme nécessaire pour exécuter les services couverts conformément aux Conditions de service, aux accords spécifiques aux produits, et selon les instructions supplémentaires du client tout au long de son utilisation des services couverts.
  2. Durée du traitement. Sous réserve de l'article 10 du présent addendum, FreeLogoServices traitera les données personnelles tant que les Conditions de service seront en vigueur, mais respectera les conditions du présent addendum pendant toute la durée du traitement si celle-ci est supérieure à cette durée, et sauf accord écrit contraire.
  3. Catégories de personnes concernées. Le client peut télécharger des données personnelles dans le cadre de son utilisation des services couverts, dont l'étendue est déterminée et contrôlée par le client à sa seule discrétion, et qui peuvent inclure, mais sans s'y limiter, des données personnelles relatives aux catégories suivantes de personnes concernées :
    • Les prospects, les clients, les partenaires commerciaux et les vendeurs du client (qui sont des personnes physiques).
    • Les employés ou les personnes de contact des prospects, clients, partenaires commerciaux et vendeurs du client.
    • Les employés, les agents, les conseillers et les indépendants du client (qui sont des personnes physiques).
    • Les utilisateurs du client autorisés par ce dernier à utiliser les services couverts.
  4. Types de données personnelles. Le client peut télécharger des données personnelles dans le cadre de son utilisation des services couverts, dont le type et l'étendue sont déterminés et contrôlés par le client à sa seule discrétion, et qui peuvent inclure, mais sans s'y limiter, les catégories suivantes de données personnelles des personnes concernées :
    • Nom
    • Adresse
    • Numéro de téléphone
    • Date de naissance
    • Adresse e-mail
    • Autres données collectées susceptibles d'identifier directement ou indirectement une personne concernée.

Annexe 2 : Normes de sécurité

I. Mesures techniques et organisationnelles

Nous nous engageons à protéger les informations de nos clients. En tenant compte des meilleures pratiques, des coûts de mise en œuvre et de la nature, de la portée, des circonstances et des finalités du traitement, ainsi que des différentes probabilités d'occurrence et de la gravité du risque pour les droits et libertés des personnes physiques, nous prenons les mesures techniques et organisationnelles suivantes. Lors du choix des mesures, la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes sont prises en compte. Un rétablissement rapide après un incident physique ou technique est garanti.

II. Programme de protection des données

Nous testons, évaluons et contrôlons régulièrement l'efficacité du réseau FreeLogoServices et la sécurité de nos installations.

1. Confidentialité.

Nous utilisons une série de mesures physiques et logiques pour protéger la confidentialité des données personnelles de nos clients. Ces mesures comprennent :

Sécurité physique

  • Systèmes de contrôle d'accès physique en place (contrôle d'accès par badge, surveillance des événements de sécurité, etc.)
  • Systèmes de surveillance comprenant des alarmes et, le cas échéant, une surveillance par télévision en circuit fermé.
  • Politiques et des contrôles de bureau propre en place (verrouillage des ordinateurs laissés sans surveillance, armoires verrouillées, etc.)
  • Gestion de l'accès des visiteurs.
  • Destruction des données sur les supports physiques et les documents.

Contrôle d'accès et prévention des accès non autorisés

  • Restrictions d'accès des utilisateurs appliquées et autorisations d'accès basées sur les rôles fournies/révisées sur la base du principe de séparation des tâches.
  • Méthodes d'authentification et d'autorisation fortes (authentification multifactorielle, désactivation/connexion automatique, etc.)
  • Gestion centralisée des mots de passe et politiques de mots de passe solides/complexes (longueur minimale, complexité des caractères, etc.).

Tests de sécurité

  • Analyses régulières du réseau et des vulnérabilités.

2. Intégrité

Des contrôles appropriés de la gestion des changements et des journaux sont en place, en plus des contrôles d'accès, afin de pouvoir maintenir l'intégrité des données à caractère personnel, par exemple :

Gestion des changements et des versions

  • Processus de gestion des changements et des versions, y compris (analyse d'impact, approbations, tests, examens de sécurité, mise en phase, surveillance, etc.).
  • Approvisionnement en accès basé sur les rôles et les fonctions (séparation des tâches) sur les environnements de production.

Journalisation et surveillance

  • Journalisation des accès et des modifications apportées aux données.
  • Journaux d'audit et de sécurité.

3. Disponibilité

Nous mettons en œuvre des mesures de continuité et de sécurité appropriées pour maintenir la disponibilité de nos services et des données qu'ils contiennent :

  • Surveillance étendue des performances/disponibilité et établissement de rapports pour les systèmes critiques.
  • Programme de réponse aux incidents.
  • Données critiques répliquées ou sauvegardées (sauvegardes dans le nuage/disques durs/réplication de bases de données, etc.).
  • Maintenance planifiée des logiciels, de l'infrastructure et de la sécurité en place (mises à jour logicielles, correctifs de sécurité, etc.).
  • Systèmes redondants et résilients.
  • Utilisation d'alimentations sans interruption, de matériel redondant et de systèmes de réseau.
  • Mise en place de systèmes d'alarme et de sécurité.
  • Mesures de protection physique en place pour les sites critiques (protection contre les surtensions, planchers surélevés, systèmes de refroidissement, détecteurs d'incendie ou de fumée, systèmes d'extinction d'incendie, etc.)
  • Une protection DDOS pour maintenir la disponibilité.
  • Tests de charge et de stress.
  • Pare-feu pour les applications Web.

4. Instructions relatives au traitement des données

Nous avons mis en place des politiques et des accords internes en matière de protection de la vie privée afin de garantir que les données à caractère personnel sont traitées conformément aux préférences et aux instructions des clients.

  • Clauses relatives à la protection de la vie privée et à la confidentialité en place dans les contrats des employés et des sous-traitants.
  • Audits de sécurité réguliers.
  • Tests de conformité à la norme PCI.

Annexe 3 : Clauses contractuelles types (sous-traitants)

Remarque: Consultez la section 9.2 de l'addendum pour l'applicabilité de ces clauses contractuelles types.

Aux fins de l'article 26, paragraphe 2, de la directive 95/46/CE pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données,

L'entité identifiée comme « client » dans l'addendum (l'« exportateur de données »)

et

FreeLogoServices (l'« importateur de données »), chacune étant une « partie » ; ensemble, « les parties »,

SONT CONVENUES des clauses contractuelles suivantes (les clauses) afin de mettre en place des garanties adéquates en matière de protection de la vie privée et des libertés et droits fondamentaux des personnes physiques pour le transfert par l'exportateur à l'importateur des données à caractère personnel spécifiées à l'annexe 1.

Clause 1 : Définitions

Aux fins des clauses :

(a) « données à caractère personnel », « catégories particulières de données », « traitement », « responsable du traitement », « sous-traitant », « personne concernée » et « autorité de contrôle » ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

(b) « l'exportateur de données » est le responsable du traitement qui transfère les données à caractère personnel ;

(c) « l'importateur de données » est le sous-traitant qui accepte de recevoir de l'exportateur de données des données à caractère personnel destinées à être traitées pour son compte après le transfert conformément à ses instructions et aux termes des Clauses et qui n'est pas soumis au système d'un pays tiers assurant une protection adéquate au sens de l'article 25, paragraphe 1, de la directive 95/46/CE ;

(d) « le sous-traitant ultérieur » est tout sous-traitant engagé par l'importateur de données ou par tout autre sous-traitant ultérieur de l'importateur de données qui accepte de recevoir de l'importateur de données ou de tout autre sous-traitant ultérieur de l'importateur de données des données à caractère personnel exclusivement destinées aux activités de traitement à effectuer pour le compte de l'exportateur de données après le transfert, conformément à ses instructions, aux termes des clauses et aux termes du contrat de sous-traitance écrit ;

(e) « le droit applicable en matière de protection des données » est la législation protégeant les libertés et droits fondamentaux des personnes et, en particulier, leur droit à la vie privée en ce qui concerne le traitement des données à caractère personnel, applicable à un responsable du traitement des données dans l'État membre dans lequel l'exportateur de données est établi ;

(f) « les mesures de sécurité techniques et organisationnelles » sont les mesures visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement implique la transmission de données par l'intermédiaire d'un réseau, ainsi que contre toute autre forme de traitement illicite.

Clause 2 : Détails du transfert

Les détails du transfert et, en particulier, les catégories spéciales de données à caractère personnel, le cas échéant, sont précisés à l'annexe 1, qui fait partie intégrante des clauses.

Clause 3 : Clause du tiers bénéficiaire

1. La personne concernée peut opposer à l'exportateur de données la présente clause, la clause 4, points b) à i), la clause 5, points a) à e) et g) à j), la clause 6, la clause 7, paragraphe 2, et les clauses 8 à 11 en tant que tiers bénéficiaire.

2. La personne concernée peut opposer à l'importateur de données la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, paragraphe 2, et les clauses 8 à 11, dans les cas où l'exportateur de données a disparu dans les faits ou a cessé d'exister en droit, à moins qu'une entité succédant à l'exportateur de données n'ait assumé l'intégralité des obligations juridiques de ce dernier par contrat ou par effet de la loi, reprenant ainsi les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir auprès de cette entité.

3. La personne concernée peut faire valoir contre le sous-traitant ultérieur la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, paragraphe 2, et les clauses 8 à 11, dans les cas où l'exportateur de données et l'importateur de données ont tous deux disparu dans les faits, ont cessé d'exister en droit ou sont devenus insolvables, à moins qu'une entité succédant à l'exportateur de données n'ait assumé l'ensemble des obligations légales de ce dernier par contrat ou par effet de la loi, en conséquence de quoi elle assume les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir auprès de cette entité. La responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des présentes clauses.

4. Les parties ne s'opposent pas à ce qu'une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si le droit national le permet.

Clause 4 : Obligations de l'exportateur de données

L'exportateur de données accepte et garantit :

(a) que le traitement, y compris le transfert lui-même, des données à caractère personnel a été et continuera d'être effectué conformément aux dispositions pertinentes de la loi sur la protection des données applicable (et, le cas échéant, a été notifié aux autorités compétentes de l'État membre dans lequel l'exportateur de données est établi) et n'enfreint pas les dispositions pertinentes de cet État ;

(b) qu'il a donné instruction et qu'il donnera instruction à l'importateur de données, pendant toute la durée des services de traitement des données à caractère personnel, de traiter les données à caractère personnel transférées uniquement pour le compte de l'exportateur de données et conformément à la législation applicable en matière de protection des données et aux clauses ;

(c) que l'importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 du présent contrat ;

(d) qu'après évaluation des exigences du droit applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte la transmission de données sur un réseau, et contre toute autre forme de traitement illicite, et que ces mesures assurent un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger, compte tenu de l'état de l'art et du coût de leur mise en œuvre ;

(e) qu'il veillera au respect des mesures de sécurité ;

(f) que, si le transfert porte sur des catégories particulières de données, la personne concernée a été informée ou sera informée avant ou dès que possible après le transfert que ses données pourraient être transmises à un pays tiers n'assurant pas une protection adéquate au sens de la directive 95/46/CE ;

(g) la transmission de toute notification reçue de l'importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5, point b), et à la clause 7, paragraphe 3, à l'autorité de contrôle de la protection des données si l'exportateur de données décide de poursuivre le transfert ou de lever la suspension ;

(h) la mise à disposition des personnes concernées, sur demande, d'une copie des clauses, à l'exception de l'annexe 2, et d'une description sommaire des mesures de sécurité, ainsi que d'une copie de tout contrat de services de sous-traitance qui doit être conclu conformément aux clauses, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas l'exportateur peut retirer ces informations commerciales ;

(i) qu'en cas de sous-traitance, l'activité de traitement est effectuée conformément à la clause 10 par un sous-traitant fournissant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l'importateur de données en vertu des clauses ; et

(j) qu'il veillera au respect de la clause 4, points a) à i).

Clause 5 : Obligations de l'importateur de données

Remarque: Les exigences impératives de la législation nationale applicables à l'importateur de données qui ne vont pas au-delà de ce qui est nécessaire dans une société démocratique sur la base de l'un des intérêts énumérés à l'article 13, paragraphe 1, de la directive 95/46/CE, c'est-à-dire si elles constituent une mesure nécessaire pour sauvegarder la sécurité nationale, la défense, la sécurité publique, la prévention, la recherche, la détection et la poursuite d'infractions pénales ou de manquements à la déontologie pour les professions réglementées, un intérêt économique ou financier important de l'État ou la protection de la personne concernée ou des droits et libertés d'autrui, ne sont pas en contradiction avec les clauses contractuelles types. Parmi les exemples d'exigences obligatoires qui ne vont pas au-delà de ce qui est nécessaire dans une société démocratique, on peut citer, entre autres, les sanctions internationalement reconnues, les exigences en matière de déclaration fiscale ou de déclaration relative à la lutte contre le blanchiment d'argent.

L'importateur de données accepte et garantit :

(a) le traitement des données à caractère personnel uniquement pour le compte de l'exportateur de données et en conformité avec ses instructions et les clauses ; s'il ne peut assurer cette conformité pour quelque raison que ce soit, il s'engage à informer rapidement l'exportateur de données de son incapacité à se conformer, auquel cas l'exportateur de données est en droit de suspendre le transfert de données ou de résilier le contrat ;

(b) qu'il n'a aucune raison de croire que la législation qui lui est applicable l'empêche de respecter les instructions reçues de l'exportateur de données et ses obligations en vertu du contrat et qu'en cas de modification de cette législation susceptible d'avoir un effet négatif important sur les garanties et les obligations prévues par les clauses, il notifiera rapidement la modification à l'exportateur de données dès qu'il en aura connaissance, auquel cas l'exportateur de données est en droit de suspendre le transfert de données ou de résilier le contrat ;

(c) qu'il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 avant de traiter les données à caractère personnel transférées ;

(d) qu'il notifiera rapidement à l'exportateur de données :

(i) toute demande juridiquement contraignante de divulgation des données à caractère personnel par une autorité chargée de l'application de la loi, sauf interdiction contraire, telle qu'une interdiction en vertu du droit pénal visant à préserver la confidentialité d'une enquête menée par une autorité chargée de l'application de la loi,

(ii) tout accès accidentel ou non autorisé, et

(iii) toute demande reçue directement des personnes concernées, sans répondre à cette demande, à moins qu'elle n'ait été autorisée à le faire ;

(e) le traitement rapide et adéquat de toutes les demandes de l'exportateur de données relatives à son traitement des données à caractère personnel faisant l'objet du transfert et le respect de l'avis de l'autorité de contrôle en ce qui concerne le traitement des données transférées ;

(f) la mise à disposition de la personne concernée, sur demande, d'une copie des clauses ou de tout contrat de sous-traitance existant, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut retirer ces informations commerciales, à l'exception de l'annexe 2 qui est remplacée par une description sommaire des mesures de sécurité dans les cas où la personne concernée n'est pas en mesure d'en obtenir une copie auprès de l'exportateur de données ;

(g) qu'en cas de sous-traitance, il a préalablement informé l'exportateur de données et obtenu son consentement écrit préalable ;

(h) que les services de traitement par le sous-traitant ultérieur seront effectués conformément à la clause 10 ;

(i) l'envoi rapide à l'exportateur de données d'une copie de tout accord de sous-traitance qu'il conclut en vertu des clauses.

Clause 6 : Médiation et compétence

1. L'importateur de données convient que si la personne concernée invoque à son encontre des droits de tiers bénéficiaires ou demande des dommages-intérêts en vertu des clauses, l'importateur de données acceptera la décision de la personne concernée :

(a) de soumettre le litige à la médiation d'une personne indépendante ou, le cas échéant, de l'autorité de contrôle ;

(b) de soumettre le litige à la juridiction exclusive dans laquelle l'importateur de données est établi. Par souci de clarté, tous les litiges doivent être portés devant les tribunaux de la province de l'Ontario, dans le pays du Canada.

2. Les parties conviennent que le choix effectué par la personne concernée ne porte pas atteinte à ses droits substantiels ou procéduraux de demander réparation conformément à d'autres dispositions du droit national ou international.

Clause 7 : Coopération avec les autorités de contrôle

1. L'exportateur de données s'engage à déposer une copie du présent contrat auprès de l'autorité de contrôle si celle-ci en fait la demande ou si ce dépôt est requis en vertu de la loi applicable en matière de protection des données.

2. Les parties conviennent que l'autorité de contrôle a le droit de procéder à un audit de l'importateur de données, et de tout sous-traitant ultérieur, qui a la même portée et est soumis aux mêmes conditions que celles qui s'appliqueraient à un audit de l'exportateur de données en vertu de la loi applicable en matière de protection des données.

3. L'importateur de données informe rapidement l'exportateur de données de l'existence d'une législation qui lui est applicable ou qui est applicable à tout sous-traitant ultérieur et qui empêche la réalisation d'un audit de l'importateur de données, ou de tout sous-traitant ultérieur, conformément au paragraphe 2. Dans ce cas, l'exportateur de données est habilité à prendre les mesures prévues à la clause 5 (b).

Clause 8 : Droit applicable

Les clauses sont régies par la loi du lieu où l'importateur de données est établi : par souci de clarté, les lois régies par le Canada et la province de l'Ontario.

Clause 9 : Modification du contrat

Les parties s'engagent à ne pas varier ou modifier les clauses. Cette disposition n'empêche pas les parties d'ajouter, le cas échéant, des clauses relatives à des questions d'ordre commercial, pour autant qu'elles ne soient pas en contradiction avec la clause.

Clause 10 : Sous-traitement

1. L'importateur de données ne peut sous-traiter aucune des opérations de traitement effectuées pour le compte de l'exportateur de données en vertu des présentes clauses sans l'accord écrit préalable de l'exportateur de données. Lorsque l'importateur de données sous-traite ses obligations en vertu des clauses, avec le consentement de l'exportateur de données, il ne le fait que par le biais d'un accord écrit avec le sous-traitant ultérieur qui impose au sous-traitant ultérieur les mêmes obligations que celles imposées à l'importateur de données en vertu des clauses. Lorsque le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données en vertu d'un tel accord écrit, l'importateur de données reste pleinement responsable vis-à-vis de l'exportateur de données de l'exécution des obligations du sous-traitant ultérieur en vertu de cet accord.

2. Le contrat écrit préalable entre l'importateur de données et le sous-traitant ultérieur prévoit également une clause de tiers bénéficiaire, conformément à la clause 3, pour les cas où la personne concernée n'est pas en mesure d'introduire une demande d'indemnisation contre l'exportateur de données ou l'importateur de données parce qu'ils ont disparu dans les faits, ont cessé d'exister en droit ou sont devenus insolvables et qu'aucune entité succédant à l'exportateur de données ou à l'importateur de données n'a assumé l'intégralité des obligations légales de ce dernier par contrat ou par effet de la loi. La responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des présentes clauses.

3. Les dispositions relatives aux aspects de la protection des données pour le sous-traitement du contrat visé au paragraphe 1 sont régies par les lois du lieu d'établissement de l'importateur de données. Par souci de clarté, il s'agit des lois régissant le Canada et la province de l'Ontario.

4. L'exportateur de données tient une liste des accords de sous-traitance conclus en vertu des présentes clauses et notifiés par l'importateur de données conformément à la clause 5, point j), qui est mise à jour au moins une fois par an. Cette liste est mise à la disposition de l'autorité de contrôle de la protection des données de l'exportateur de données.

Clause 11 : Obligation après la cessation des services de traitement des données à caractère personnel

1. Les parties conviennent qu'à la fin de la fourniture des services de traitement des données, l'importateur de données et le sous-traitant ultérieur doivent, au choix de l'exportateur de données, renvoyer toutes les données à caractère personnel transférées et les copies de celles-ci à l'exportateur de données ou détruire toutes les données à caractère personnel et certifier à l'exportateur de données qu'ils l'ont fait, à moins que la législation imposée à l'importateur de données ne l'empêche de renvoyer ou de détruire tout ou partie des données à caractère personnel transférées. Dans ce cas, l'importateur de données garantit qu'il assurera la confidentialité des données à caractère personnel transférées et qu'il ne traitera plus activement les données à caractère personnel transférées.

2. L'importateur de données et le sous-traitant ultérieur garantissent que, à la demande de l'exportateur de données ou de l'autorité de contrôle, ils soumettront leurs installations de traitement des données à un audit des mesures visées au paragraphe 1.

Annexe 1 aux clauses contractuelles types

Exportateur de données : l'exportateur de données est l'entité identifiée comme « Client » dans l'addendum.

Importateur de données : l'importateur de données est FreeLogoServices, un fournisseur de services hébergés.

Personnes concernées : les traitements sont définis à la section 1.3 et à l'annexe 1 de l'addendum.

Catégories de données : les opérations de traitement sont définies à la section 1.3 et à l'annexe 1 de l'addendum.

Opérations de traitement : les opérations de traitement sont définies à la section 1.3 et à l'annexe 1 de l'addendum.

Annexe 2 aux clauses contractuelles types

La présente annexe fait partie intégrante des clauses. En achetant les services couverts à FreeLogoServices, l'addendum et la présente annexe 2 sont réputés acceptés et exécutés par et entre les parties.

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données conformément aux clauses 4(d) et 5(c) (ou document/législation joint) :

Les mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données sont telles que décrites dans l'addendum, en particulier dans l'annexe 2, qui y est incorporée et jointe.