Conditions Générales d'Utilisation
      Revenir à l'accueil
      1. Accueil
      2. Conditions Générales d'Utilisation

      Accord de Traitement des Données

      Comment nous traitons et protégeons les données en conformité avec les lois, en assurant la confidentialité et l'intégrité des informations personnelles

      Dernière mise à jour: 10 septembre 2025

      Le présent Accord de traitement des données (« ATD »), qui comprend les clauses contractuelles types adoptées par la Commission européenne, le cas échéant, reflète l’accord des parties concernant le traitement des données personnelles dans le cadre du Contrat-cadre de services (le « CCS »).

      Le présent ATD s’applique aux services fournis par nos entités canadiennes et américaines, selon votre emplacement, et garantit le respect des lois applicables en matière de protection des données, y compris, mais sans s’y limiter, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada, les lois américaines pertinentes sur la confidentialité, telles que la California Consumer Privacy Act (CCPA/CPRA) et le Règlement général sur la protection des données (GDPR), le cas échéant.

      Le présent ATD constitue un avenant au Contrat et entre en vigueur dès son intégration au Contrat, qu'elle soit prévue dans le Contrat lui-même, dans une Commande ou dans un avenant signé séparément. Dès son intégration, le présent ATD fait partie intégrante du Contrat.

      Nous pouvons être amenés à mettre à jour périodiquement les conditions du présent ATD. Si vous disposez d'un abonnement actif, nous vous informerons de toute modification importante par e-mail ou via une notification intégrée à l'application.

      La durée du présent ATD coïncide avec celle du présent Contrat. Les termes commençant par une majuscule et non définis dans les présentes auront le sens qui leur est attribué dans le Contrat.

      Liste des sous-traitants

      Les sous-traitants à ce jour sont :

      1. Google Inc.
      2. Hubspot Inc.

      1. Définitions

      « Responsable du traitement » désigne la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel.

      « Loi sur la protection des données » désigne l'ensemble de la législation applicable relative à la protection des données et à la confidentialité, y compris, sans s'y limiter, la Directive européenne 95/46/CE sur la protection des données et toutes les lois et réglementations locales qui les modifient ou les remplacent, y compris le GDPR, ainsi que toute loi nationale de transposition dans tout État membre de l'Union européenne ou, le cas échéant, dans tout autre pays, telle que modifiée, abrogée, consolidée ou remplacée de temps à autre. Les termes « traiter », « traite » et « traité » seront interprétés en conséquence.

      « Personne concernée » désigne la personne à laquelle se rapportent les Données personnelles.

      « GDPR » désigne le Règlement général sur la protection des données (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

      « Instruction » désigne l’instruction écrite et documentée, émise par le Responsable du traitement au Sous-traitant, et lui ordonnant d’effectuer une action spécifique concernant les Données personnelles (y compris, mais sans s’y limiter, la dépersonnalisation, le blocage, la suppression, la mise à disposition).

      « Données personnelles » désigne toute information relative à une personne identifiée ou identifiable lorsque ces informations sont contenues dans les données client et sont protégées de la même manière que les données personnelles ou les informations personnellement identifiables en vertu de la loi applicable sur la protection des données.

      « Violation de données personnelles » désigne une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès accidentel ou illégal à des données personnelles transmises, stockées ou traitées d’une autre manière.

      « Traitement » désigne toute opération ou ensemble d’opérations effectuées sur des Données Personnelles, englobant la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou la combinaison, la restriction ou l’effacement des Données Personnelles.

      « Sous-traitant » désigne une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des Données personnelles pour le compte du Responsable du traitement.

      « Clauses contractuelles types » désigne les clauses jointes aux présentes en annexe 1 conformément à la décision de la Commission européenne (C(2010)593) du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers qui n’assurent pas un niveau adéquat de protection des données.

      « Liste des sous-traitants » désigne les sous-traitants de Baseline.

      2. Détails du traitement

      2.1 Catégories de personnes concernées

      Le Responsable du traitement peut soumettre des Données personnelles au Service d'abonnement. L'étendue de ces données est déterminée et contrôlée par le Responsable du traitement à sa seule discrétion. Ces données peuvent inclure, sans s'y limiter, ses Contacts et autres utilisateurs finaux, notamment ses employés, prestataires, collaborateurs, clients, prospects, fournisseurs et sous-traitants. Les Personnes concernées incluent également les personnes qui tentent de communiquer avec les utilisateurs finaux du Responsable du traitement ou de leur transférer des Données personnelles.

      2.2 Types de données personnelles

      Coordonnées (telles que définies dans les Conditions générales de service du client), dont l'étendue est déterminée et contrôlée par le client à sa seule discrétion, et autres données personnelles telles que les données de navigation (y compris les informations sur l'utilisation du site Web), les données de courrier électronique, les données d'utilisation du système, les données d'intégration d'applications et autres données électroniques soumises, stockées, envoyées ou reçues par le responsable du traitement, ou les utilisateurs finaux du responsable du traitement, via le service d'abonnement.

      2.3 Objet et nature du traitement

      Le traitement des données personnelles par le sous-traitant a pour objet la fourniture au responsable du traitement de services impliquant le traitement de données personnelles. Les données personnelles seront soumises aux activités de traitement éventuellement spécifiées dans le contrat et la commande.

      2.4 Finalité du traitement

      Les données personnelles seront traitées aux fins de fournir les services énoncés, comme indiqué plus en détail par le responsable du traitement dans son utilisation des services, et autrement convenu dans l'accord et toute commande applicable.

      2.5 Durée du traitement

      Les données personnelles seront traitées pendant toute la durée de l'accord, sous réserve de l'article 4 du présent ATD.

      3. Responsabilité du responsable du traitement

      Dans le cadre du Contrat et de l'utilisation des services, le Responsable du traitement est seul responsable du respect des exigences légales relatives à la protection des données et à la confidentialité, notamment en ce qui concerne la divulgation et le transfert des Données personnelles au Sous-traitant, ainsi que le Traitement des Données personnelles. Afin d'éviter toute ambiguïté, les instructions du Responsable du traitement relatives au Traitement des Données personnelles doivent être conformes à la Loi sur la protection des données. Le présent ATD constitue les instructions complètes et définitives du Client à Baseline concernant les Données personnelles. Des instructions supplémentaires hors du champ d'application du ATD nécessiteraient un accord écrit préalable entre les parties. Les instructions seront initialement spécifiées dans le Contrat et pourront, par la suite, être modifiées, complétées ou remplacées par le Responsable du traitement dans des instructions écrites distinctes (en tant qu'instructions individuelles).

      Le responsable du traitement doit informer le sous-traitant sans retard injustifié et de manière exhaustive de toute erreur ou irrégularité liée aux dispositions légales relatives au traitement des données personnelles.

      4. Obligations du sous-traitant

      4.1 Conformité aux instructions

      Les parties reconnaissent et conviennent que le Client est le Responsable du traitement des Données personnelles et que Baseline est le Sous-traitant de ces données. Le Sous-traitant collecte, traite et utilise les Données personnelles uniquement dans le cadre des Instructions du Responsable du traitement. Si le Sous-traitant estime qu'une Instructions du Responsable du traitement enfreint la Loi sur la protection des données, il doit en informer immédiatement le Responsable du traitement. Si le Sous-traitant ne peut pas traiter les Données personnelles conformément aux Instructions en raison d'une exigence légale en vertu du droit de l'Union européenne ou d'un État membre applicable, il (i) informera rapidement le Responsable du traitement de cette exigence légale avant le Traitement concerné, dans la mesure permise par la Loi sur la protection des données ; et (ii) cessera tout Traitement (autre que le simple stockage et la préservation de la sécurité des Données personnelles concernées) jusqu'à ce que le Responsable du traitement émette de nouvelles instructions auxquelles il est en mesure de se conformer. Si cette disposition est invoquée, le Sous-traitant ne sera pas responsable envers le Responsable du traitement en vertu du Contrat de tout manquement à l'exécution des services applicables jusqu'à ce que le Responsable du traitement émette de nouvelles instructions concernant le Traitement.

      4.2 Sécurité

      Le Sous-traitant prend les mesures techniques et organisationnelles appropriées pour protéger efficacement les Données Personnelles contre toute destruction, perte, altération, divulgation ou accès non autorisé, accidentel ou illicite, conformément à l'Annexe 2 des Clauses Contractuelles Types. Ces mesures comprennent, sans s'y limiter :

      1. la prévention de l'accès de personnes non autorisées aux systèmes de traitement des données personnelles,
      2. la prévention de l’utilisation sans autorisation des systèmes de traitement des données personnelles,
      3. veiller à ce que les personnes autorisées à utiliser un système de traitement de données personnelles n'aient accès qu'aux données personnelles auxquelles elles sont autorisées à accéder conformément à leurs droits d'accès, et que, au cours du traitement ou de l'utilisation et après stockage, les données personnelles ne puissent être lues, copiées, modifiées ou supprimées sans autorisation,
      4. s'assurer que les données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation pendant la transmission électronique, le transport ou le stockage sur des supports de stockage, et que les entités cibles de tout transfert de données personnelles au moyen d'installations de transmission de données peuvent être établies et vérifiées,
      5. assurer l'établissement d'une piste d'audit pour documenter si et par qui des données personnelles ont été saisies, modifiées ou supprimées des systèmes de traitement des données personnelles,
      6. s'assurer que les données personnelles sont traitées uniquement conformément aux instructions,
      7. veiller à ce que les données personnelles soient protégées contre toute destruction ou perte accidentelle.

      Le Sous-traitant facilitera le respect par le Responsable du traitement de son obligation de mettre en œuvre des mesures de sécurité concernant les Données à caractère personnel (y compris, le cas échéant, les obligations du Responsable du traitement en vertu des articles 32 à 34 (inclus) du GDPR), en (i) mettant en œuvre et en maintenant les mesures de sécurité décrites à l'Annexe 2, (ii) en se conformant aux termes de la Section 4.d. (Violations de données à caractère personnel) ; et (iii) en fournissant au Responsable du traitement des informations relatives au Traitement conformément à la Section 6 (Audits).

      4.3 Confidentialité

      Le sous-traitant veille à ce que tout personnel qu'il autorise à traiter des données personnelles en son nom soit soumis à des obligations de confidentialité concernant ces données personnelles. Cet engagement de confidentialité perdure après la fin des activités susmentionnées.

      4.4 Violations de données personnelles

      Le Sous-traitant informera le Responsable du traitement sans délai dès qu'il aura connaissance de toute violation de données personnelles affectant ces données. À la demande du Responsable du traitement, le Sous-traitant fournira rapidement à ce dernier toute l'assistance raisonnable nécessaire pour lui permettre de notifier les violations de données personnelles concernées aux autorités compétentes et/ou aux personnes concernées, si le Responsable du traitement est tenu de le faire en vertu de la loi sur la protection des données.

      4.5 Suppression ou récupération des données personnelles

      Sauf dans la mesure requise par la loi sur la protection des données, après la résiliation ou l'expiration du Contrat, le Sous-traitant supprimera ou restituera toutes les Données personnelles (y compris leurs copies) traitées en vertu du présent ATD. Si le Sous-traitant ne peut supprimer les Données personnelles pour des raisons techniques ou autres, il prendra des mesures pour garantir que les Données personnelles sont bloquées et ne pourront plus être traitées.

      À la résiliation ou à l'expiration du Contrat, le Responsable du traitement doit, par voie d'instruction, préciser, dans un délai fixé par le Sous-traitant, les mesures raisonnables à prendre pour restituer les données ou supprimer les données stockées. Tous frais supplémentaires liés à la restitution ou à la suppression des Données personnelles après la résiliation ou l'expiration du Contrat seront à la charge du Responsable du traitement.

      Le processeur permettra au responsable du traitement de supprimer les données personnelles des utilisateurs finaux à l'aide de la fonctionnalité du service d'abonnement.

      4.6 Analyses d'impact sur la protection des données et consultation des autorités de contrôle

      Dans la mesure où les informations requises sont à la disposition du Sous-traitant et que le Responsable du traitement n'a pas autrement accès aux informations requises, le Sous-traitant fournira une assistance raisonnable au Responsable du traitement pour toute évaluation d'impact sur la protection des données et des consultations préalables avec les autorités de contrôle ou d'autres autorités compétentes en matière de confidentialité des données, que le Responsable du traitement considère raisonnablement comme requises par l'article 35 ou 36 du GDPR ou des dispositions équivalentes de toute autre loi sur la protection des données, dans chaque cas uniquement en relation avec le traitement des données personnelles.

      5. Demandes des personnes concernées

      Le Sous-traitant permettra au Responsable du traitement de répondre aux demandes des Personnes concernées d'exercer leurs droits en vertu de la législation applicable en matière de protection des données, conformément aux fonctionnalités du Service d'abonnement. Si le Responsable du traitement n'est pas en mesure de répondre à une demande de la Personne concernée, le Sous-traitant fournira, à sa demande, une assistance raisonnable au Responsable du traitement pour faciliter cette demande, dans la mesure du possible et uniquement conformément à la législation applicable en matière de protection des données. Le Responsable du traitement remboursera au Sous-traitant les coûts commercialement raisonnables découlant de cette assistance.

      Le Sous-traitant fournira une assistance raisonnable, notamment par des mesures techniques et organisationnelles appropriées et compte tenu de la nature du Traitement, afin de permettre au Responsable du Traitement de répondre à toute demande des Personnes Concernées souhaitant exercer leurs droits en vertu de la Loi sur la Protection des Données concernant les Données Personnelles (y compris l'accès, la rectification, la restriction, la suppression ou la portabilité des Données Personnelles, le cas échéant), dans la mesure permise par la loi. Si une telle demande est adressée directement au Sous-traitant, ce dernier en informera rapidement le Responsable du Traitement et conseillera aux Personnes Concernées de lui soumettre leur demande. Le Responsable du Traitement sera seul responsable de la réponse à toute demande des Personnes Concernées.

      6. Audits

      Le sous-traitant doit, conformément aux lois sur la protection des données et en réponse à une demande écrite raisonnable du responsable du traitement, mettre à la disposition du responsable du traitement les informations en sa possession ou sous son contrôle relatives au respect par le sous-traitant des obligations des sous-traitants de données en vertu de la loi sur la protection des données en relation avec son traitement des données personnelles.

      Le responsable du traitement peut, sur demande écrite et avec un préavis d'au moins 30 jours au sous-traitant, pendant les heures ouvrables normales et sans interrompre les opérations commerciales du sous-traitant, effectuer une inspection des opérations commerciales du sous-traitant ou faire effectuer la même inspection par un auditeur tiers qualifié sous réserve de l'approbation du sous-traitant, qui ne doit pas être refusée de manière déraisonnable.

      Le sous-traitant doit, sur demande écrite du responsable du traitement et moyennant un préavis d'au moins 30 jours au sous-traitant, fournir au responsable du traitement toutes les informations nécessaires à un tel audit, dans la mesure où ces informations sont sous le contrôle du sous-traitant et que le sous-traitant n'est pas empêché de les divulguer par la loi applicable, un devoir de confidentialité ou toute autre obligation envers un tiers.

      7. Sous-traitants

      7.1 Désignation de sous-traitants

      Le Responsable du traitement reconnaît et accepte (a) l'engagement en tant que sous-traitants ultérieurs des sociétés affiliées du Sous-traitant et des tiers figurant sur notre Liste des Sous-traitants ultérieurs, et (b) que le Sous-traitant et ses sociétés affiliées peuvent respectivement engager des sous-traitants ultérieurs tiers dans le cadre de la fourniture du Service d'abonnement. Afin d'éviter toute ambiguïté, l'autorisation ci-dessus constitue le consentement écrit préalable du Responsable du traitement au sous-traitement ultérieur par le Sous-traitant aux fins de l'article 11 des Clauses contractuelles types.

      Lorsque le Sous-traitant fait appel à des sous-traitants, il conclut avec eux un contrat leur imposant les mêmes obligations que celles qui lui sont applicables en vertu du présent ATD. En cas de manquement du sous-traitant à ses obligations en matière de protection des données, il reste responsable envers le Responsable du traitement de l'exécution de ces obligations.

      Lorsqu'un sous-traitant est engagé, le responsable du traitement doit avoir le droit de surveiller et d'inspecter les activités du sous-traitant conformément au présent ATD et à la loi sur la protection des données, y compris d'obtenir des informations du sous-traitant, sur demande écrite, sur le contenu du contrat et la mise en œuvre des obligations de protection des données en vertu du contrat de sous-traitance, si nécessaire en inspectant les documents contractuels pertinents.

      Les dispositions de la présente section 7 s'appliquent mutuellement si le sous-traitant fait appel à un sous-traitant ultérieur situé dans un pays hors de l'Espace économique européen (« EEE ») non reconnu par la Commission européenne comme offrant un niveau de protection adéquat des données personnelles. Si, dans le cadre de l'exécution du présent ATD, Baseline transfère des données personnelles à un sous-traitant ultérieur situé hors de l'EEE, Baseline s'assurera, avant tout transfert, de la mise en place d'un mécanisme juridique garantissant l'adéquation de ce traitement.

      7.2 Liste actuelle des sous-traitants et notification ou objection aux nouveaux sous-traitants

      Si le Sous-traitant a l'intention de faire appel à des sous-traitants ultérieurs autres que les sociétés figurant sur la Liste des Sous-traitants ultérieurs, il en informera le Responsable du traitement en mettant à jour la Liste des Sous-traitants ultérieurs et lui donnera la possibilité de s'opposer à l'engagement des nouveaux sous-traitants ultérieurs dans les 30 jours suivant la notification. Cette objection doit être fondée sur des motifs raisonnables. Si le Sous-traitant et le Responsable du traitement ne parviennent pas à résoudre cette objection, chaque partie peut résilier le Contrat par notification écrite à l'autre partie. Le Responsable du traitement sera remboursé de tous les frais prépayés mais non utilisés pour la période suivant la date d'effet de la résiliation.

      8. Transferts de données

      Le Responsable du traitement reconnaît et accepte que, dans le cadre de l'exécution des services prévus par le Contrat, les Données personnelles seront transférées à Baseline, Inc. aux États-Unis. Le Sous-traitant peut accéder aux Données personnelles et les traiter à l'échelle mondiale, si nécessaire pour fournir le Service d'abonnement, conformément au Contrat de services de Baseline.

      Baseline a adhéré aux boucliers de protection des données UE-États-Unis et Suisse-États-Unis, administrés par le Département du Commerce des États-Unis, afin de mettre en œuvre des garanties appropriées pour ces transferts, conformément à l'article 46 du GDPR. Les clauses contractuelles types de l'annexe 1 s'appliqueront aux données personnelles transférées hors de l'EEE, directement ou par transfert ultérieur, vers tout pays non reconnu par la Commission européenne comme offrant un niveau adéquat de protection des données personnelles (tel que décrit dans la loi sur la protection des données).

      Dans la mesure où le Responsable du traitement ou le Sous-traitant s'appuient sur un mécanisme statutaire spécifique pour normaliser les transferts internationaux de données et que ce mécanisme est ultérieurement révoqué ou jugé invalide par un tribunal compétent, le Responsable du traitement et le Sous-traitant conviennent de coopérer de bonne foi pour rechercher un mécanisme alternatif approprié qui peut légalement soutenir le transfert.

      9. Dispositions générales

      En ce qui concerne les mises à jour et les modifications apportées au présent ATD, les conditions qui s'appliquent dans la section « Modification ; Aucune renonciation » de la section « Divers » de l'Accord s'appliqueront.

      En cas de conflit, le présent ATD prévaut sur les dispositions du présent Accord. Si certaines dispositions du présent ATD sont invalides ou inapplicables, la validité et l'applicabilité des autres dispositions du présent ATD n'en seront pas affectées.

      Dès l'intégration du présent ATD au Contrat, les parties mentionnées à l'article 10 ci-dessous (Parties au présent ATD) acceptent les clauses contractuelles types (le cas échéant) et toutes les annexes qui y sont jointes. En cas de conflit ou d'incohérence entre le présent ATD et les clauses contractuelles types de l'Annexe 1, les clauses contractuelles types prévalent, sous réserve toutefois : (a) que le Responsable du traitement puisse exercer son droit d'audit en vertu de la clause 5(f) des clauses contractuelles types, conformément à l'article 6 du présent ATD et sous réserve des exigences de cet article ; et (b) que le Sous-traitant puisse désigner des sous-traitants ultérieurs, conformément aux articles 4 et 7 du présent ATD et sous réserve des exigences de cet article.

      10. Parties au présent ATD

      Le présent ATD constitue un avenant au Contrat et en fait partie intégrante. Dès son intégration au Contrat, (i) le Responsable du traitement et l'entité Baseline, parties au Contrat, sont également parties au présent ATD ; et (ii) dans la mesure où Baseline Inc. n'est pas partie au Contrat, Baseline, Inc. est partie au présent ATD, mais uniquement en ce qui concerne l'acceptation des Clauses Contractuelles Types du ATD, de la présente Section 10 du ATD et des Clauses Contractuelles Types elles-mêmes.

      Si Baseline n'est pas partie à l'Accord, la section de l'Accord intitulée « Limitation de responsabilité » s'appliquera entre le Responsable du traitement et Baseline, et à cet égard, toute référence à « nous », « notre » ou « nos » inclura Baseline.

      L'entité juridique qui accepte le présent ATD en tant que Responsable du traitement déclare qu'elle est autorisée à accepter et à conclure le présent ATD pour le compte du Responsable du traitement et qu'elle accepte le présent ATD uniquement au nom de celui-ci.

      10.1 CLAUSES CONTRACTUELLES TYPES

      Aux fins de l'article 26, paragraphe 2, de la directive 95/46/CE pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données,

      Le Client, tel que défini dans les Conditions générales de service du Client (l'« exportateur de données »)

      Et

      Baseline Telematics Inc., 324 Chemin du Tour, Laval (Quebec) Canada H7Y 1S5 (the “data importer”),

      chacun un « parti » ; ensemble « les partis »,

      SONT CONVENUS des clauses contractuelles suivantes (les Clauses) afin d'apporter des garanties adéquates en matière de protection de la vie privée et des droits et libertés fondamentaux des personnes pour le transfert par l'exportateur de données à l'importateur de données des données personnelles spécifiées à l'annexe 1.

      10.2 Définitions

      Aux fins des présentes clauses :

      « données à caractère personnel », « catégories particulières de données », « traitement », « responsable du traitement », « sous-traitant », « personne concernée » et « autorité de contrôle » ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

      « l’exportateur de données » désigne le responsable du traitement qui transfère les données à caractère personnel ;

      « l’importateur de données » désigne le sous-traitant qui accepte de recevoir de l’exportateur de données des données à caractère personnel destinées à être traitées pour son compte après le transfert conformément à ses instructions et aux termes des clauses et qui n’est pas soumis au système d’un pays tiers assurant une protection adéquate au sens de l’article 25, paragraphe 1, de la directive 95/46/CE ;

      « le sous-traitant » désigne tout sous-traitant engagé par l'importateur de données ou par tout autre sous-traitant de l'importateur de données qui accepte de recevoir de l'importateur de données ou de tout autre sous-traitant de l'importateur de données des données à caractère personnel exclusivement destinées aux activités de traitement à effectuer pour le compte de l'exportateur de données après le transfert conformément à ses instructions, aux termes des Clauses et aux termes du sous-contrat écrit ;

      « la législation applicable en matière de protection des données » désigne la législation protégeant les droits et libertés fondamentaux des personnes physiques et, en particulier, leur droit à la vie privée à l’égard du traitement des données à caractère personnel, applicable à un responsable du traitement dans l’État membre dans lequel l’exportateur de données est établi ;

      « mesures de sécurité techniques et organisationnelles » : les mesures visant à protéger les données à caractère personnel contre toute destruction accidentelle ou illicite, toute perte accidentelle, toute altération, toute divulgation ou tout accès non autorisé, notamment lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme de traitement illicite.

      10.3 Détails du transfert

      Les détails du transfert et notamment les catégories particulières de données personnelles le cas échéant sont précisés à l’Annexe 1 qui fait partie intégrante des Clauses.

      10.4 Clause de tiers bénéficiaire

      • La personne concernée peut faire valoir contre l'exportateur de données la présente clause, la clause 4(b) à (i), la clause 5(a) à (e) et (g) à (j), la clause 6(1) et (2), la clause 7, la clause 8(2) et les clauses 9 à 12 en tant que tiers bénéficiaire.
      • La personne concernée peut faire valoir contre l'importateur de données la présente clause, les clauses 5(a) à (e) et (g), la clause 6, la clause 7, la clause 8(2) et les clauses 9 à 12, dans les cas où l'exportateur de données a effectivement disparu ou a cessé d'exister en droit, à moins qu'une entité successeur n'ait assumé l'intégralité des obligations légales de l'exportateur de données par contrat ou de plein droit, en conséquence de quoi elle reprend les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir contre cette entité.
      • La personne concernée peut faire valoir contre le sous-traitant ultérieur la présente clause, les clauses 5(a) à (e) et (g), 6, 7, 8(2) et 9 à 12, dans les cas où l'exportateur de données et l'importateur de données ont tous deux disparu, cessé d'exister juridiquement ou sont devenus insolvables, sauf si une entité successeur a repris l'intégralité des obligations légales de l'exportateur de données par contrat ou de plein droit, reprenant ainsi les droits et obligations de ce dernier, auquel cas la personne concernée peut les faire valoir contre cette entité. La responsabilité du sous-traitant ultérieur envers les tiers est limitée à ses propres opérations de traitement en vertu des présentes clauses.
      • Les parties ne s'opposent pas à ce qu'une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si le droit national le permet.

      10.5 Obligations de l'exportateur de données

      L'exportateur de données accepte et garantit :

      1. a) que le traitement, y compris le transfert lui-même, des données à caractère personnel a été et continuera d'être effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l'État membre où l'exportateur de données est établi) et ne viole pas les dispositions pertinentes de cet État ;

      (b) qu'il a donné instruction et donnera instruction, pendant toute la durée des services de traitement des données personnelles, à l'importateur de données de traiter les données personnelles transférées uniquement pour le compte de l'exportateur de données et conformément à la législation applicable en matière de protection des données et aux Clauses ;

      (c) que l’importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l’annexe 2 du présent contrat ;

      1. d) qu'après évaluation des exigences de la législation applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la divulgation ou l'accès non autorisé, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme illicite de traitement, et que ces mesures garantissent un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à protéger, compte tenu de l'état de la technique et du coût de leur mise en œuvre ;
      2. e) qu’il veillera au respect des mesures de sécurité;
      3. f) que, si le transfert porte sur des catégories particulières de données, la personne concernée a été informée ou sera informée avant, ou dès que possible après, le transfert que ses données pourraient être transmises à un pays tiers n'offrant pas une protection adéquate au sens de la directive 95/46/CE;

      (g) de transmettre toute notification reçue de l'importateur de données ou de tout sous-traitant conformément à la clause 5(b) et à la clause 8(3) à l'autorité de contrôle de la protection des données si l'exportateur de données décide de poursuivre le transfert ou de lever la suspension ;

      (h) de mettre à la disposition des personnes concernées, sur demande, une copie des Clauses, à l'exception de l'Annexe 2, et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de services de sous-traitance qui doit être conclu conformément aux Clauses, à moins que les Clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales ;

      (i) qu'en cas de sous-traitance, l'activité de traitement est effectuée conformément à la clause 11 par un sous-traitant fournissant au moins le même niveau de protection des données personnelles et des droits de la personne concernée que l'importateur de données en vertu des clauses ; et

      (j) qu’il assurera le respect des clauses 4(a) à (i).

      10.6 Obligations de l'importateur de données

      L'importateur de données accepte et garantit :

      (a) de traiter les données personnelles uniquement pour le compte de l'exportateur de données et conformément à ses instructions et aux Clauses ; si elle ne peut pas assurer cette conformité pour quelque raison que ce soit, elle s'engage à informer rapidement l'exportateur de données de son incapacité à s'y conformer, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;

      (b) qu'elle n'a aucune raison de croire que la législation qui lui est applicable l'empêche de remplir les instructions reçues de l'exportateur de données et ses obligations en vertu du contrat et qu'en cas de modification de cette législation susceptible d'avoir un effet négatif substantiel sur les garanties et obligations prévues par les Clauses, elle notifiera rapidement la modification à l'exportateur de données dès qu'elle en aura connaissance, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;

      (c) qu’elle a mis en œuvre les mesures de sécurité techniques et organisationnelles précisées à l’annexe 2 avant de traiter les données à caractère personnel transférées ;

      (d) qu'il informera rapidement l'exportateur de données de :

      (i) toute demande juridiquement contraignante de divulgation de données personnelles par une autorité chargée de l’application de la loi, sauf interdiction contraire, telle qu’une interdiction en vertu du droit pénal visant à préserver la confidentialité d’une enquête des forces de l’ordre ;

      (ii) tout accès accidentel ou non autorisé ; et

      (iii) toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu’elle n’ait été autrement autorisée à le faire ;

      1. e) de traiter rapidement et correctement toutes les demandes de renseignements de l’exportateur de données concernant son traitement des données à caractère personnel faisant l’objet du transfert et de se conformer aux conseils de l’autorité de contrôle concernant le traitement des données transférées ;

      (f) à la demande de l'exportateur de données, de soumettre ses installations de traitement de données à un audit des activités de traitement couvertes par les clauses, qui sera effectué par l'exportateur de données ou par un organisme d'inspection composé de membres indépendants et possédant les qualifications professionnelles requises, liés par un devoir de confidentialité, choisis par l'exportateur de données, le cas échéant, en accord avec l'autorité de contrôle ;

      (g) de mettre à la disposition de la personne concernée, sur demande, une copie des clauses ou de tout contrat de sous-traitance existant, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas elle peut supprimer ces informations commerciales, à l'exception de l'annexe 2 qui sera remplacée par une description sommaire des mesures de sécurité dans les cas où la personne concernée n'est pas en mesure d'obtenir une copie auprès de l'exportateur de données ;

      (h) qu’en cas de sous-traitance, elle a préalablement informé l’exportateur de données et obtenu son consentement écrit préalable ;

      (i) que les services de traitement par le sous-traitant seront exécutés conformément à la clause 11 ;

      (j) d’envoyer rapidement une copie de tout accord de sous-traitance qu’il conclut en vertu des Clauses à l’exportateur de données.

      10.7 Responsabilité

      • Les parties conviennent que toute personne concernée qui a subi un dommage résultant d'une violation des obligations visées à l'article 3 ou à l'article 11 par une partie ou un sous-traitant a le droit de recevoir une indemnisation de l'exportateur de données pour le dommage subi.
      • Si une personne concernée n'est pas en mesure d'intenter une action en réparation contre l'exportateur de données conformément au paragraphe 1, en raison d'un manquement de l'importateur de données ou de son sous-traitant à l'une quelconque de leurs obligations visées à l'article 3 ou à l'article 11, parce que l'exportateur de données a effectivement disparu, a cessé d'exister juridiquement ou est devenu insolvable, l'importateur de données accepte que la personne concernée puisse engager sa responsabilité contre lui comme s'il était lui-même l'exportateur de données, à moins qu'une entité successeur n'ait repris l'intégralité des obligations légales de l'exportateur de données par contrat ou de plein droit, auquel cas la personne concernée peut faire valoir ses droits contre cette entité. L'importateur de données ne peut invoquer un manquement à ses obligations par un sous-traitant pour se soustraire à ses propres responsabilités.
      • Si une personne concernée n'est pas en mesure d'intenter une action contre l'exportateur ou l'importateur de données visés aux paragraphes 1 et 2, en raison d'un manquement du sous-traitant ultérieur à l'une de ses obligations visées à l'article 3 ou à l'article 11, parce que l'exportateur et l'importateur de données ont tous deux disparu, cessé d'exister juridiquement ou sont devenus insolvables, le sous-traitant ultérieur accepte que la personne concernée puisse introduire une action contre lui concernant ses propres opérations de traitement en vertu des présentes clauses, comme s'il était l'exportateur ou l'importateur de données, à moins qu'une entité successeur n'ait assumé l'intégralité des obligations légales de l'exportateur ou de l'importateur de données par contrat ou de plein droit, auquel cas la personne concernée peut faire valoir ses droits contre cette entité. La responsabilité du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des présentes clauses.

      10.8 Médiation et juridiction

      • L'importateur de données accepte que si la personne concernée invoque contre lui les droits d'un tiers bénéficiaire et/ou réclame une indemnisation pour dommages en vertu des Clauses, l'importateur de données acceptera la décision de la personne concernée :
      • a) de soumettre le litige à la médiation d'une personne indépendante ou, le cas échéant, de l'autorité de contrôle ;
      • b) de soumettre le litige aux juridictions de l’État membre dans lequel l’exportateur de données est établi.
      • Les parties conviennent que le choix effectué par la personne concernée ne portera pas atteinte à ses droits substantiels ou procéduraux de demander réparation conformément à d’autres dispositions du droit national ou international.

      10.9 Coopération avec les autorités de contrôle

      • L'exportateur de données s'engage à déposer une copie du présent contrat auprès de l'autorité de contrôle si celle-ci le demande ou si un tel dépôt est requis en vertu de la loi applicable en matière de protection des données.
      • Les parties conviennent que l'autorité de contrôle a le droit de procéder à un audit de l'importateur de données et de tout sous-traitant, qui a la même portée et est soumis aux mêmes conditions que celles qui s'appliqueraient à un audit de l'exportateur de données en vertu de la loi applicable en matière de protection des données.
      • L'importateur de données informe sans délai l'exportateur de données de l'existence d'une législation qui lui est applicable ou qui s'applique à tout sous-traitant ultérieur empêchant la réalisation d'un audit de l'importateur de données ou de tout sous-traitant ultérieur, conformément au paragraphe 2. Dans un tel cas, l'exportateur de données est autorisé à prendre les mesures prévues à la clause 5(b).

      10.10 Loi applicable

      Les clauses sont régies par le droit de l’État membre dans lequel l’exportateur de données est établi.

      10.11 Modification du contrat

      Les parties s'engagent à ne pas modifier les présentes clauses. Ceci ne les empêche pas d'ajouter des clauses commerciales si nécessaire, à condition qu'elles ne soient pas en contradiction avec les présentes.

      10.12 Sous-traitance

      • L'importateur de données ne sous-traitera aucune de ses opérations de traitement effectuées pour le compte de l'exportateur de données en vertu des présentes Clauses sans le consentement écrit préalable de ce dernier. Lorsque l'importateur de données sous-traite ses obligations en vertu des présentes Clauses, avec le consentement de l'exportateur de données, il ne le fera que par le biais d'un accord écrit avec le sous-traitant ultérieur, imposant à ce dernier les mêmes obligations que celles qui lui sont imposées en vertu des présentes Clauses. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données en vertu de cet accord écrit, l'importateur de données demeure pleinement responsable envers l'exportateur de données de l'exécution de ses obligations en vertu de cet accord.
      • Le contrat écrit préalable entre l'importateur de données et le sous-traitant ultérieur doit également prévoir une clause de tiers bénéficiaire, telle que prévue à l'article 3, pour les cas où la personne concernée n'est pas en mesure d'intenter la demande d'indemnisation visée au paragraphe 1 de l'article 6 contre l'exportateur de données ou l'importateur de données, en raison de leur disparition, de leur cessation d'existence juridique ou de leur insolvabilité, et où aucun successeur n'a assumé l'intégralité des obligations légales de l'exportateur ou de l'importateur de données, contractuellement ou de plein droit. Cette responsabilité du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des présentes clauses.
      • Les dispositions relatives aux aspects de protection des données pour le sous-traitement ultérieur du contrat visé au paragraphe 1 sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi.
      • L'exportateur de données doit tenir une liste des accords de sous-traitance conclus en vertu des présentes clauses et notifiés par l'importateur de données conformément à la clause 5(j), laquelle doit être mise à jour au moins une fois par an. Cette liste doit être mise à la disposition de l'autorité de contrôle de la protection des données de l'exportateur de données.

      10.13 Obligation après la fin des services de traitement des données personnelles

      • Les parties conviennent qu'à la fin de la prestation de services de traitement de données, l'importateur de données et le sous-traitant ultérieur devront, au choix de l'exportateur de données, restituer à ce dernier l'intégralité des données personnelles transférées et leurs copies, ou détruire l'intégralité des données personnelles et certifier à l'exportateur de données qu'ils ont bien procédé ainsi, sauf si la législation imposée à l'importateur de données l'empêche de restituer ou de détruire tout ou partie des données personnelles transférées. Dans ce cas, l'importateur de données garantit la confidentialité des données personnelles transférées et ne les traitera plus activement.
      • L'importateur de données et le sous-traitant garantissent qu'à la demande de l'exportateur de données et/ou de l'autorité de contrôle, ils soumettront leurs installations de traitement de données à un audit des mesures visées au paragraphe

      Annexe 1 - Détails du traitement

      La présente annexe fait partie intégrante des clauses. Les États membres peuvent compléter ou préciser, conformément à leurs procédures nationales, toute information supplémentaire nécessaire devant figurer dans la présente annexe.

      1.1 Exportations de données

      L'exportateur de données est le Client, tel que défini dans le CCS de base (« Contrat »).

      1.2 Importations de données

      L'importateur de données est Baseline, Inc., un fournisseur mondial de logiciels de marketing entrant et de vente.

      1.3 Personnes concernées

      Catégories de personnes concernées définies à l’article 2 de l’accord de traitement des données auquel les clauses sont jointes.

      1.4 Catégories de données

      Catégories de données personnelles définies à l’article 2 de l’accord de traitement des données auquel les clauses sont jointes.

      1.5 Catégories particulières de données (le cas échéant)

      Les parties ne prévoient pas le transfert de catégories particulières de données.

      1.6 Opérations de traitement

      Les activités de traitement énoncées à l'article 2 de l'accord de traitement des données auquel les clauses sont jointes :

      Annexe 2 - Mesures de sécurité techniques et organisationnelles

      Cette annexe fait partie des clauses.

      Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données :

      Baseline respecte actuellement les pratiques de sécurité décrites dans la présente annexe. Nonobstant toute disposition contraire convenue par l'exportateur de données, Baseline peut modifier ou mettre à jour ces pratiques à sa discrétion, à condition que ces modifications et mises à jour n'entraînent pas de dégradation significative de la protection offerte par ces pratiques. Tous les termes commençant par une majuscule et non définis dans les présentes ont la signification qui leur est attribuée dans le Contrat.

      2.1 Contrôle d'accès

      1. i) Empêcher l'accès non autorisé aux produits

      Traitement externalisé : Baseline héberge son service auprès de fournisseurs d'infrastructure cloud externalisés. De plus, Baseline entretient des relations contractuelles avec des fournisseurs afin de fournir le service conformément à notre accord de traitement des données. Baseline s'appuie sur des accords contractuels, des politiques de confidentialité et des programmes de conformité des fournisseurs afin de protéger les données traitées ou stockées par ces derniers.

      Sécurité physique et environnementale : Baseline héberge son infrastructure produit auprès de fournisseurs d'infrastructures externalisés multi-locataires. Les contrôles de sécurité physique et environnementale sont audités pour la conformité aux normes SOC 2 Type II et ISO 27001, entre autres certifications.

      Authentification : Baseline a mis en place une politique de mot de passe uniforme pour ses produits clients. Les clients qui interagissent avec les produits via l'interface utilisateur doivent s'authentifier avant d'accéder à leurs données non publiques.

      Autorisation : Les données clients sont stockées dans des systèmes de stockage multi-locataires, accessibles uniquement via les interfaces utilisateur et les interfaces de programmation d'applications. Les clients ne sont pas autorisés à accéder directement à l'infrastructure applicative sous-jacente. Le modèle d'autorisation de chaque produit Baseline est conçu pour garantir que seules les personnes dûment désignées puissent accéder aux fonctionnalités, vues et options de personnalisation pertinentes. L'autorisation d'accès aux ensembles de données s'effectue en validant les autorisations de l'utilisateur par rapport aux attributs associés à chaque ensemble de données.

      Accès à l'interface de programmation d'application (API) : les API de produits publics sont accessibles à l'aide d'une clé API ou via une autorisation Oauth.

      1. ii) Prévention de l'utilisation non autorisée des produits

      Baseline met en œuvre des contrôles d'accès et des capacités de détection standard de l'industrie pour les réseaux internes qui prennent en charge ses produits.

      Contrôles d'accès : Les mécanismes de contrôle d'accès au réseau visent à empêcher le trafic réseau utilisant des protocoles non autorisés d'atteindre l'infrastructure du produit. Les mesures techniques mises en œuvre varient selon les fournisseurs d'infrastructure et incluent l'implémentation de cloud privé virtuel (VPC), l'attribution de groupes de sécurité et les règles de pare-feu traditionnelles.

      Détection et prévention des intrusions : Baseline a mis en œuvre un pare-feu applicatif web (WAF) pour protéger les sites web hébergés de ses clients et autres applications accessibles via Internet. Ce pare-feu est conçu pour identifier et prévenir les attaques contre les services réseau accessibles au public.

      Analyse de code statique : des examens de sécurité du code stocké dans les référentiels de code source de Baseline sont effectués, vérifiant les meilleures pratiques de codage et les failles logicielles identifiables.

      Tests d'intrusion : Baseline entretient des relations avec des prestataires de services de tests d'intrusion reconnus dans le secteur pour quatre tests annuels. Ces tests visent à identifier et à résoudre les vecteurs d'attaque prévisibles et les scénarios d'abus potentiels.

      Bug bounty : Un programme de bug bounty invite et incite les chercheurs en sécurité indépendants à découvrir et divulguer les failles de sécurité de manière éthique. Baseline a mis en place un programme de bug bounty afin d'élargir les possibilités d'interaction avec la communauté de la sécurité et d'améliorer la protection de ses produits contre les attaques sophistiquées.

      iii) Limitations des privilèges et exigences d'autorisation

      Accès aux produits : Un sous-ensemble d'employés de Baseline a accès aux produits et aux données clients via des interfaces contrôlées. L'objectif de cet accès est d'assurer un support client efficace, de résoudre les problèmes potentiels, de détecter et de répondre aux incidents de sécurité et de mettre en œuvre la sécurité des données. L'accès est accordé par le biais de demandes d'accès « juste à temps » ; toutes ces demandes sont enregistrées. Les accès sont attribués par rôle aux employés, et les privilèges à haut risque sont revus quotidiennement. Les rôles des employés sont revus au moins une fois tous les six mois.

      Vérification des antécédents : Tous les employés de Baseline sont soumis à une vérification des antécédents par un organisme indépendant avant de se voir proposer un emploi, conformément aux lois applicables. Tous les employés sont tenus de se comporter conformément aux directives de l'entreprise, aux obligations de confidentialité et aux normes éthiques.

      2.2 Contrôle de la transmission

      En transit : Baseline propose le chiffrement HTTPS (également appelé SSL ou TLS) sur chacune de ses interfaces de connexion et gratuitement sur chaque site client hébergé sur les produits Baseline. L'implémentation HTTPS de Baseline utilise des algorithmes et des certificats standard du secteur.

      Au repos : Baseline stocke les mots de passe des utilisateurs selon des politiques conformes aux normes de sécurité du secteur. Baseline a mis en œuvre des technologies garantissant le chiffrement des données stockées au repos.

      2.3 Contrôle des entrées

      Détection : Baseline a conçu son infrastructure pour enregistrer des informations détaillées sur le comportement du système, le trafic reçu, l'authentification système et les autres requêtes applicatives. Les systèmes internes agrègent les données de journalisation et alertent les employés concernés en cas d'activités malveillantes, involontaires ou anormales. Le personnel de Baseline, notamment les équipes de sécurité, d'exploitation et de support, réagit aux incidents connus.

      Réponse et suivi : Baseline conserve un registre des incidents de sécurité connus, incluant la description, les dates et heures des activités concernées, ainsi que leur traitement. Les incidents de sécurité suspectés et confirmés font l'objet d'une enquête par le personnel de sécurité, des opérations ou de support ; les mesures de résolution appropriées sont identifiées et documentées. Pour tout incident confirmé, Baseline prendra les mesures appropriées pour minimiser les dommages aux produits et aux clients, ainsi que toute divulgation non autorisée.

      Communication : Si Baseline a connaissance d’un accès illicite aux données client stockées dans ses produits, elle : 1) informera les clients concernés de l’incident ; 2) fournira une description des mesures prises par Baseline pour résoudre l’incident ; et 3) informera le contact client de l’état d’avancement de la situation, si Baseline le juge nécessaire. Les notifications d’incident, le cas échéant, seront envoyées à un ou plusieurs contacts du client sous la forme choisie par Baseline, notamment par courriel ou par téléphone.

      2.4 Contrôle de disponibilité

      Disponibilité de l'infrastructure : Les fournisseurs d'infrastructure déploient des efforts commercialement raisonnables pour garantir une disponibilité minimale de 99,95 %. Ils maintiennent une redondance minimale N+1 pour les services d'alimentation, de réseau et de CVC.

      Tolérance aux pannes : les stratégies de sauvegarde et de réplication sont conçues pour garantir la redondance et la protection contre les pannes en cas de panne de traitement importante. Les données client sont sauvegardées dans plusieurs banques de données durables et répliquées dans plusieurs zones de disponibilité.

      Répliques et sauvegardes en ligne : Dans la mesure du possible, les bases de données de production sont conçues pour répliquer les données entre au moins une base de données principale et une base de données secondaire. Toutes les bases de données sont sauvegardées et maintenues selon des méthodes au moins conformes aux normes du secteur.

      Les produits Baseline sont conçus pour assurer la redondance et un basculement transparent. Les instances de serveur qui les prennent en charge sont également conçues pour éviter les points de défaillance uniques. Cette conception permet aux équipes Baseline de maintenir et de mettre à jour les applications et le backend du produit, tout en limitant les temps d'arrêt.