nordpass logo

Accord sur le traitement des données (Entreprises)

Dernière mise à jour : 30/09/20

Numéro de version : 1.0

Il n'y a pas de version précédente à afficher.

Attendu que

The Customer (“Le Contrôleur des Données”) and NordPass (“Le Responsable du Traitement des Données”)

Le Contrôleur des Données et le Responsable du Traitement des Données sont ci-après dénommés collectivement les "Parties" ;

  1. Le Responsable du traitement des données fournit des Services selon les Conditions d'utilisation (Entreprise) (“Conditions”) NordPass disponibles sur le site Internet du Responsable du traitement des données ;
  2. Lors de la fourniture des Services, le Responsable du Traitement des Données traite les Données Personnelles pour le compte et selon les instructions du Contrôleur des Données ;
  3. Les Parties souhaitent établir leurs droits et obligations liés au Traitement des Données Personnelles décrit ci-dessus

Concluent le présent accord de traitement des données (le "Accord").

Définitions

Sauf disposition contraire expresse dans le présent Accord, les définitions et (ou) les mots en majuscules utilisés dans le présent Accord doivent avoir le sens défini dans les Conditions ou comme indiqué ci-dessous :

Lois applicables en matière de protection des données désigne toutes les lois et réglementations applicables en matière de confidentialité et de protection des données partout dans le monde, y compris, le cas échéant, le RGPD ;

EEA signifie Espace économique européen (tous les États membres de l'UE, le Royaume-Uni et l'Islande, la Norvège et le Liechtenstein) ;

RGPD désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données) ;

Traitement désigne toute opération ou ensemble d'opérations effectuées à l'aide de Données Personnelles ou d'ensembles de Données Personnelles, qu'elles soient effectuées ou non par des moyens automatisés, comme la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion et l'accès, la coordination, la restriction, l'effacement ou la destruction ;

Personne désigne une personne physique dont les Données Personnelles sont traitées

Personal Data désigne toute information relative à une Personne identifiable

Clauses contractuelles types (CCT) means clauses contractuelles types for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council, as up-dated or replaced from time to time;

Sous-traitant désigne une entité engagée par le Responsable du Traitement des Données qui accepte de recevoir du Responsable du Traitement des Données des Données Personnelles exclusivement destinées aux activités de Traitement à réaliser dans le cadre des Services.

Application du présent accord

  1. Le présent Accord s'applique si le Traitement des Données Personnelles est régi par le RGPD. Si l'Accord s'applique, il est juridiquement contraignant entre les Parties et fait partie intégrante des Conditions.
  2. Sauf disposition contraire dans le présent Accord (y compris les CCT, le cas échéant), les Conditions sont appliquées entre les Parties dans leur intégralité.

Dispositions et obligations générales

  1. Le Responsable du Traitement des Données s'engage à ne traiter les Données Personnelles que conformément aux instructions documentées communiquées de temps à autre par le Contrôleur des Données. Les instructions initiales du Contrôleur des Données au Responsable du Traitement des Données concernant l'objet et la durée du Traitement, la nature et la finalité du Traitement, le type de Données Personnelles et les catégories de Personnes sont énoncées dans le présent Accord.
  2. Lors du Traitement des Données Personnelles en vertu du présent Accord, le Contrôleur des Données se conformera à toutes les lois Applicables en matière de protection des données et aux recommandations des autorités de contrôle compétentes.
  3. Le Contrôleur des Données ne prendra aucune mesure qui amènerait le Responsable du Traitement des Données à violer les lois Applicables sur la protection des données.
  4. En signant l'Accord, le Contrôleur des Données confirme que :
    • Toutes les Données Personnelles Traitées en vertu du présent Accord sont collectées légalement.
    • Toutes les conditions permettant les transferts de Données Personnelles au Responsable du traitement des données en dehors de l'EEE sont remplies ;
    • Toutes les Personnes ont été correctement informées de l'utilisation des Services du Responsable du Traitement des Données et toutes les informations requises par les lois Applicables sur la protection des données ont été soumises aux Personnes par le Contrôleur des Données.
  5. Toutes les instructions énoncées dans le présent Accord sont exhaustives et reflètent la volonté du Contrôleur des Données. Toute instruction supplémentaire ou alternative du Contrôleur des Données doit être convenue entre les Parties séparément par écrit.
  6. Le Responsable du Traitement des Données :
    • N'évalue aucune instruction du Contrôleur des Données qui sera tenu responsable de la légalité et de la conformité de toute instruction donnée avec les lois Applicables en matière de protection des données. Si, de l'avis raisonnable du Responsable du Traitement des Données, une instruction enfreint indubitablement les lois Applicables en matière de protection des données, le Responsable du Traitement des Données en informe le Contrôleur des Données ;
    • Compte tenu de la nature du Traitement, le Responsable du Traitement des Données assiste le Contrôleur des Données, aux frais du Contrôleur des Données, pour assurer le respect par le Contrôleur des Données des obligations découlant des lois Applicables en matière de protection des données en fournissant les informations demandées par le Contrôleur des Données ;
    • En ce qui concerne la peu probable violation de la sécurité, le Responsable du Traitement des Données informera le Contrôleur des Données sans délai excessif après avoir pris connaissance de manière certaine de toute violation de la sécurité concernant les Données Personnelles Traitées dans le cadre du présent Accord.

Instructions pour le Traitement

  1. Les Données Personnelles prévues dans le présent Accord sont Traitées afin de fournir des Services au Responsable du contrôle des données conformément aux Conditions.
  2. Le Responsable du traitement des données traite les Données Personnelles des utilisateurs finaux du Responsable du contrôle des données.
  3. Le Traitement par le Responsable du traitement des données concerne les catégories suivantes de Données Personnelles :
    • Autres informations nécessaires à la fourniture des Services.
    • Les Données Personnelles prévues dans le présent Accord sont Traitées afin de fournir des Services au Responsable du contrôle des données conformément aux Conditions.
  4. Le Traitement par le Responsable du traitement n'est pas destiné à couvrir les catégories particulières de Données Personnelles.
  5. Les Données Personnelles Traitées en vertu du présent Accord seront soumises aux activités de traitement de base telles que prévues dans les Conditions ou nécessaires à la fourniture des Services.

Divulgation de Données Personnelles

  1. Le Responsable du Traitement des Données s'engage à ne pas divulguer les Données Personnelles Traitées à un tiers, autrement que par l'utilisation de Sous-traitants comme spécifié dans le présent Accord, sauf si les Données Personnelles sont divulguées dans le cadre d'une demande d'information de tiers conformément aux actes juridiques applicables ou dans le cadre de demandes légitimes de la part des autorités chargées de l'application de la loi ou d'autres autorités compétentes.
  2. Le Contrôleur des Données autorise le Responsable du Traitement des Données à faire appel à des Sous-traitants pour remplir ses obligations telles que définies dans le présent Accord (fournit une autorisation générale), à condition que le Responsable du Traitement des Données tienne une liste des Sous-traitants et, sur demande écrite du Contrôleur des Données, fournisse cette liste au Contrôleur des Données. En cas de désignation d'un nouveau Sous-traitant, le Contrôleur des Données en informe le Responsable du Traitement des Données. Le Responsable du Traitement des Données permet au Contrôleur des Données de faire opposition, en fournissant au Responsable du Traitement des Données une objection motivée, spécifique et écrite, aux modifications concernant l'ajout ou le remplacement de Sous-traitants à la liste susmentionnée.
  3. Le Responsable du Traitement des Données veille à ce que les Sous-traitants assument par écrit des obligations similaires à celles convenues dans le présent accord. Le Responsable du Traitement des Données reste entièrement responsable envers le Contrôleur des Données de l'exécution des obligations de ses Sous-Traitants en matière de protection des données lorsque les Sous-Traitants ne remplissent pas ces obligations.

Transfert vers des pays tiers

  1. Le Responsable du Traitement des Données est autorisé à transférer les Données Personnelles vers un pays situé en dehors de l'EEE dans la mesure où cela est raisonnablement nécessaire pour fournir les Services, à condition que le Responsable du Traitement des Données assure un niveau de protection adéquat et respecte les autres obligations auxquelles il est soumis en vertu du présent Accord.
  2. Lorsque les Parties sont tenues de conclure les CCT en vertu des lois Applicables en matière de protection des données, les CCT sont par la présente incorporées par cette référence au présent Accord en tant qu'accord juridiquement contraignant et dûment signé entre les Parties, et :
    • Le Responsable du contrôle des données est considéré comme "l'exportateur de données" et le Responsable du traitement des données est considéré comme "l'importateur de données" ;
    • La section 4 du présent Accord sera considérée comme l'Annexe 1 des CCS ;
    • La section 7 du présent Accord sera considérée comme l'Annexe 2 du CCS.

Principes de sécurité des données personnelles

  1. Afin d'aider le Contrôleur des Données à se conformer aux obligations légales, y compris, mais sans s'y limiter, à la mise en œuvre de mesures de sécurité des Données Personnelles adéquates, le Responsable du Traitement des Données prend les mesures techniques et organisationnelles appropriées pour protéger les Données Personnelles. Ces mesures doivent garantir un niveau de sécurité adéquat, en tenant compte :
    • des risques particuliers associés au Traitement des Données Personnelles
    • des coûts des mesures
    • des capacités techniques existantes.
  2. Le Responsable du Traitement des Données met en œuvre des moyens techniques et organisationnels suffisants pour assurer le niveau de sécurité compatible avec les risques, y compris, le cas échéant :
    • la possibilité d'assurer l'intégrité, la disponibilité et la résilience continues des systèmes et services de Traitement des Données Personnelles ;
    • la possibilité de rétablir les conditions et l'accès aux Données Personnelles en temps utile en cas d'incident physique ou technique
    • l'évaluation régulière de l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité, la vérification, l'évaluation et la performance du Traitement des Données Personnelles.
  3. Le Responsable du Traitement des Données s'assure que les Sous-traitants autorisés à Traiter les Données Personnelles se sont engagés à la confidentialité ou sont soumis à une obligation légale appropriée de confidentialité.

Traitement des demandes de Personnes

  1. Le Responsable du Traitement des Données doit traiter et répondre à toute demande ou requête de la Personne visant à exercer ses droits en vertu des lois Applicables en matière de protection des données, y compris, mais sans s'y limiter, un accès aux informations détenues sur la Personne, et les demandes de suppression ou de correction des Données Personnelles ou de restriction du Traitement concernant la Personne.
  2. Toute demande de renseignements ou d'exercice des droits de la Personne adressée directement au Responsable du Traitement des Données sera transmise par le Responsable du Traitement des Données au Contrôleur des Données.
  3. Lorsque le Contrôleur des Données n'est pas en mesure d'exercer les droits de la Personne, le Contrôleur des Données peut demander au Responsable du Traitement des Données de l'aider à fournir les informations relatives au Traitement des Données Personnelles en vertu du présent Accord.

Droit de procéder à un audit

  1. Lorsque cela s'avère raisonnablement nécessaire, le Contrôleur des Données a le droit de prendre les mesures nécessaires pour vérifier le respect par le Responsable du Traitement des Données des termes du présent Accord. Le Contrôleur des Données a le droit de demander un audit réalisé par un cabinet d'audit tiers indépendant, accrédité et réputé approuvé par les deux Parties.
  2. Cet audit n'aura lieu qu'en cas de suspicion spécifique et fondée d'utilisation abusive de Données Personnelles, et seulement après que le Contrôleur des Données ait demandé et évalué les rapports similaires existants du Responsable du Traitement des Données et ait présenté des arguments raisonnables pour justifier qu'un audit soit initié par le Contrôleur des Données. Un tel audit est justifié si les rapports similaires dont dispose le Responsable du Traitement des Données fournissent des réponses insuffisantes ou non concluantes concernant le respect du présent Accord par le Responsable du Traitement des Données.
  3. Pour éviter toute ambiguïté, ni le Contrôleur des Données, ni l'auditeur désigné ne doivent être un concurrent de l'entreprise du Responsable du Traitement des Données et, en aucun cas, le Contrôleur des Données, ou l'auditeur désigné, ne peuvent avoir accès aux informations confidentielles du Responsable du Traitement des Données, aux informations des autres clients du Responsable du Traitement des Données, ni aux informations de tiers auxquels le Responsable du Traitement des Données doit une obligation de confidentialité.
  4. Tout audit de ce type mené par le Contrôleur des Données doit avoir lieu pendant les heures de bureau normales, d'une manière qui ne perturbe pas les activités du Responsable du Traitement des Données, moyennant un préavis raisonnable d'au moins deux mois au Responsable du Traitement des Données et sous réserve de la capacité maximale de l'engagement de confidentialité tel que prévu ci-dessous. Le Contrôleur des Données est responsable de tous les coûts et frais liés à un tel audit, y compris tous les coûts et frais pour tout le temps que le Responsable du Traitement des Données consacre à un tel audit, en plus des tarifs des services de soutien fournis par le Responsable du Traitement des Données et de toutes les dépenses engagées par le Responsable du Traitement des Données. Avant le début d'un tel audit, les Parties conviennent mutuellement du moment, de la durée et de la portée de l'audit, qui ne doit pas impliquer un accès physique aux serveurs à partir desquels les Services de Traitement des Données sont fournis. Le Contrôleur des Données doit informer rapidement le Responsable du Traitement des Données de toute non-conformité découverte au cours d'un audit. Le Contrôleur des Données ne peut pas auditer le Responsable du Traitement des Données plus d'une fois par an.
  5. Les informations découvertes au cours d'un audit seront traitées comme des "Informations Confidentielles" et seront soumises à la Section "Confidentialité" des Conditions.

Durée

  1. Le présent Accord s'applique pendant toute la durée au cours de laquelle le Responsable du Traitement des Données traite les Données Personnelles pour le compte du Contrôleur des Données.
  2. À la suite de la résiliation de l'Accord, le Responsable du Traitement des Données doit supprimer ou renvoyer au Contrôleur des Données les Données Personnelles comme prévu dans les Conditions. Les Données Personnelles seront supprimées ou rendues irrécupérables et/ou anonymes, à l'exception des copies, comme autorisé par les Conditions ou le présent Accord, ou dont la conservation est requise conformément aux lois applicables.

Remboursement

  1. Le Responsable du Traitement des Données a droit à tout remboursement des dépenses, coûts et honoraires raisonnables qui ont été encourus en raison d'instructions inexactes, incomplètes ou illégales du Contrôleur des Données ou en raison de l'absence d'instructions du Contrôleur des Données.

Responsabilité

  1. La responsabilité du Responsable du Traitement des Données, prise dans son ensemble, découlant du présent Accord ou liée à celui-ci, qu'elle soit contractuelle, délictuelle ou en vertu de toute autre théorie de responsabilité, est soumise aux limitations et exclusions énoncées dans les Conditions. La responsabilité du Responsable du Traitement des Données désigne la responsabilité globale du Responsable du Traitement des Données en vertu des Conditions et du présent Accord pris ensemble.

Autres dispositions

  1. Tous les avis entre les parties seront donnés conformément aux dispositions des Conditions.
  2. Le présent Accord est appliqué et tout litige ou réclamation découlant du présent Accord sera réglé conformément aux dispositions des Conditions.
  3. En cas de divergence entre le présent Accord, les Conditions et tout autre contrat régissant les questions de protection des données entre les Parties, les dispositions du présent Accord prévaudront sur toute autre disposition contractuelle.
« Retourner à l'Accord sur le traitement des données (Business) (version actuelle)