Pour Gouvernements & Compagnies
      Revenir à l'accueil
      1. Accueil
      2. Pour Gouvernements & Compagnies

      Accord de Traitement des Données

      Comment nous traitons et protégeons les données en conformité avec les lois, en assurant la confidentialité et l'intégrité des informations personnelles

      Dernière modification : 24 mars 2024

      Ce Contrat de traitement des données des résidents (« DPA »), incluant les Clauses contractuelles types adoptées par la Commission européenne, le cas échéant, reflète l'accord des parties concernant les termes régissant le traitement des données personnelles en vertu des Conditions de service du client résident (l'« Accord »).

      Ce DPA constitue un amendement à l'Accord et prend effet dès son incorporation dans l'Accord, laquelle peut être précisée dans l'Accord, une Commande ou un amendement signé à l'Accord. Lorsqu'il est incorporé dans l'Accord, le DPA fait partie intégrante de l'Accord.

      Nous mettons périodiquement à jour ces termes. Si vous avez un abonnement résident actif, nous vous en informerons par e-mail ou via une notification dans l'application.

      La durée de ce DPA suit celle de l'Accord. Les termes non définis ici ont la signification qui leur est donnée dans l'Accord.

      Liste des sous-traitants

      Les sous-traitants de Resident à ce jour sont :

      • Google Inc.
      • HubSpot Inc.

      1. Définitions

      « Responsable de traitement » désigne la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données personnelles.

      « Loi sur la protection des données » désigne toute législation applicable relative à la protection des données et à la vie privée, y compris, sans s'y limiter, la Directive européenne sur la protection des données 95/46/CE et toutes les lois et réglementations locales qui les modifient ou les remplacent, y compris le RGPD, ainsi que toute législation nationale d’application dans les États membres de l'Union européenne ou, dans la mesure où cela est applicable, dans tout autre pays, modifiée, abrogée, consolidée ou remplacée de temps à autre. Les termes « traiter », « traite » et « traitement » seront interprétés en conséquence.

      « Personne concernée » désigne la personne physique à laquelle les données personnelles se rapportent.

      « RGPD » désigne le Règlement général sur la protection des données (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

      « Instruction » désigne l'instruction écrite et documentée, émise par le Responsable de traitement au Sous-traitant, et l'enjoignant à effectuer une action spécifique concernant les données personnelles (y compris, sans s'y limiter, la dépersonnalisation, le blocage, la suppression, la mise à disposition).

      « Données personnelles » désigne toute information relative à une personne physique identifiée ou identifiable lorsque cette information est contenue dans les données client et est protégée de manière similaire aux données personnelles ou informations personnellement identifiables en vertu de la Loi sur la protection des données applicable.

      « Violation de données personnelles » désigne une violation de la sécurité conduisant à la destruction, perte, altération, divulgation non autorisée ou accès accidentels ou illégaux à des données personnelles transmises, stockées ou autrement traitées.

      « Traitement » désigne toute opération ou ensemble d'opérations effectuées sur des données personnelles, y compris la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction ou la suppression de données personnelles.

      « Sous-traitant » désigne une personne physique ou morale, une autorité publique, un service ou un autre organisme qui traite des données personnelles pour le compte du Responsable de traitement.

      « Clauses contractuelles types » désigne les clauses jointes en Annexe 1 conformément à la décision de la Commission européenne (C(2010)593) du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données personnelles vers des sous-traitants établis dans des pays tiers qui n’assurent pas un niveau de protection adéquat.

      « Liste des sous-traitants » désigne les sous-traitants de Resident.

      2. Détails du traitement

      2.1 Catégories de personnes concernées

      Le Responsable de traitement peut soumettre des données personnelles au Service d'abonnement, dont l'étendue est déterminée et contrôlée par le Responsable de traitement à sa seule discrétion, et peut inclure, sans s'y limiter, les contacts du Responsable de traitement et d'autres utilisateurs finaux, y compris les employés, les contractants, les collaborateurs, les clients, les prospects, les fournisseurs et les sous-traitants du Responsable de traitement. Les personnes concernées incluent également les individus cherchant à communiquer ou transférer des données personnelles aux utilisateurs finaux du Responsable de traitement.

      2.2 Types de données personnelles

      Informations de contact (telles que définies dans les Conditions de service des clients de Resident), dont l'étendue est déterminée et contrôlée par le client à sa seule discrétion, et autres données personnelles telles que les données de navigation (y compris les informations d'utilisation de sites web), les données d'email, les données d'utilisation du système, les données d'intégration d'application et autres données électroniques soumises, stockées, envoyées ou reçues par le Responsable de traitement, ou les utilisateurs finaux du Responsable de traitement, via le Service d'abonnement.

      2.3 Objectif du traitement

      Le Sous-traitant traitera les Données personnelles comme nécessaire pour fournir le Service d'abonnement conformément à l'Accord, comme autrement convenu dans les instructions écrites du Responsable de traitement lorsque ce dernier utilise le Service d'abonnement, et en vertu de la Loi sur la protection des données applicable.

      2.4 Durée du traitement

      Sous réserve de la section 'Suppression ou restitution de données personnelles' de ce DPA, le Sous-traitant traitera les Données personnelles pendant la durée de l'Accord, sauf accord contraire entre les parties dans des instructions écrites.

      3. Droits et obligations du Responsable de traitement

      Le Responsable de traitement doit :

      (a) s'assurer que les instructions qu'il fournit au Sous-traitant pour le traitement des Données personnelles sont conformes à la Loi sur la protection des données ;

      (b) disposer d'un fondement juridique pour le transfert de données personnelles au Sous-traitant, y compris, le cas échéant, l'obtention des consentements requis de la part des personnes concernées ;

      (c) s'assurer que les individus autorisés à accéder aux Données personnelles sont formés sur les obligations de confidentialité applicables ;

      (d) mettre en place les mesures techniques et organisationnelles nécessaires pour assurer la sécurité des Données personnelles conformément aux exigences de la Loi sur la protection des données.

      4. Obligations du Sous-traitant

      4.1 Conformité aux Instructions
      Les parties reconnaissent et conviennent que le Client est le Responsable de traitement des Données personnelles et que le Résident est le Sous-traitant de ces données. Le Sous-traitant ne doit collecter, traiter et utiliser les Données personnelles que dans le cadre des Instructions du Responsable de traitement. Si le Sous-traitant estime qu'une Instruction du Responsable de traitement enfreint la Loi sur la protection des données, il doit immédiatement en informer le Responsable de traitement sans délai. Si le Sous-traitant ne peut pas traiter les Données personnelles conformément aux Instructions en raison d'une exigence légale en vertu de toute loi applicable de l'Union européenne ou d'un État membre, le Sous-traitant doit (i) informer rapidement le Responsable de traitement de cette exigence légale avant le traitement concerné dans la mesure permise par la Loi sur la protection des données ; et (ii) cesser tout traitement (autre que le simple stockage et le maintien de la sécurité des Données personnelles concernées) jusqu'à ce que le Responsable de traitement émette de nouvelles instructions auxquelles le Sous-traitant pourra se conformer. Si cette disposition est invoquée, le Sous-traitant ne sera pas responsable envers le Responsable de traitement en vertu de l'Accord pour tout manquement à exécuter les services applicables jusqu'à ce que le Responsable de traitement émette de nouvelles instructions concernant le traitement.

      4.2 Sécurité
      Le Sous-traitant prendra les mesures techniques et organisationnelles appropriées pour protéger adéquatement les Données personnelles contre la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux Données personnelles, comme décrit en Annexe 2 des Clauses contractuelles types. Ces mesures comprennent, sans s'y limiter :

      i. la prévention des accès non autorisés aux systèmes de traitement des Données personnelles,

      ii. la prévention de l'utilisation non autorisée des systèmes de traitement des Données personnelles,

      iii. s'assurer que les personnes autorisées à utiliser un système de traitement des Données personnelles n'accèdent qu'aux Données personnelles auxquelles elles ont droit en vertu de leurs droits d'accès, et que, dans le cadre du traitement ou de l'utilisation et après stockage, les Données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation,

      iv. s'assurer que les Données personnelles ne peuvent pas être lues, copiées, modifiées ou supprimées sans autorisation lors de leur transmission électronique, de leur transport ou de leur stockage sur des supports de stockage, et que les entités cibles de tout transfert de Données personnelles par le biais d'installations de transmission de données peuvent être établies et vérifiées,

      v. garantir l'établissement d'une trace d'audit pour documenter si et par qui les Données personnelles ont été saisies, modifiées ou supprimées des systèmes de traitement des Données personnelles,

      vi. s'assurer que les Données personnelles sont traitées uniquement conformément aux Instructions,

      vii. garantir que les Données personnelles sont protégées contre la destruction accidentelle ou la perte.

      Le Sous-traitant facilitera la conformité du Responsable de traitement à son obligation de mettre en œuvre des mesures de sécurité concernant les Données personnelles (y compris, le cas échéant, les obligations du Responsable de traitement conformément aux articles 32 à 34 (inclus) du RGPD), en (i) mettant en œuvre et en maintenant les mesures de sécurité décrites en Annexe 2, (ii) en se conformant aux termes de la Section 4.d. (Violations de Données personnelles) ; et (iii) en fournissant au Responsable de traitement des informations concernant le traitement conformément à la Section 6 (Audits).

      4.3 Confidentialité
      Le Sous-traitant veillera à ce que tout personnel autorisé par le Sous-traitant à traiter les Données personnelles en son nom soit soumis à des obligations de confidentialité concernant ces Données personnelles. L'engagement à la confidentialité se poursuivra après la cessation des activités susmentionnées.

      4.4 Violations de Données personnelles
      Le Sous-traitant notifiera le Responsable de traitement sans délai indu après avoir pris connaissance d'une violation de la sécurité des Données personnelles affectant des Données personnelles. À la demande du Responsable de traitement, le Sous-traitant fournira rapidement au Responsable de traitement toute assistance raisonnable nécessaire pour lui permettre de notifier les violations de Données personnelles pertinentes aux autorités compétentes et/ou aux personnes concernées, si le Responsable de traitement est tenu de le faire en vertu de la Loi sur la protection des données.

      4.5 Suppression ou récupération des Données personnelles
      Sauf dans la mesure requise pour se conformer à la Loi sur la protection des données, suite à la résiliation ou à l'expiration de l'Accord, le Sous-traitant supprimera ou retournera toutes les Données personnelles (y compris les copies de celles-ci) traitées conformément à ce DPA. Si le Sous-traitant est incapable de supprimer les Données personnelles pour des raisons techniques ou autres, le Sous-traitant appliquera des mesures pour s'assurer que les Données personnelles sont bloquées contre tout traitement ultérieur.

      Le Responsable de traitement doit, à la résiliation ou à l'expiration de l'Accord et par le biais de l'émission d'une Instruction, stipuler, dans un délai fixé par le Sous-traitant, les mesures raisonnables pour retourner les données ou supprimer les données stockées. Tous les coûts supplémentaires liés au retour ou à la suppression des Données personnelles après la résiliation ou l'expiration de l'Accord seront à la charge du Responsable de traitement.

      Le Sous-traitant permettra au Responsable de traitement de supprimer les Données personnelles des utilisateurs finaux en utilisant la fonctionnalité du Service d'abonnement.

      4.6 Évaluations d'impact sur la protection des données et consultation avec les autorités de surveillance
      Dans la mesure où les informations requises sont disponibles pour le Sous-traitant et que le Responsable de traitement n'a pas autrement accès aux informations requises, le Sous-traitant fournira une assistance raisonnable au Responsable de traitement pour toute évaluation d'impact sur la protection des données et les consultations préalables avec les autorités de surveillance ou d'autres autorités compétentes en matière de protection de la vie privée des données, que le Responsable de traitement considère raisonnablement comme requises par les articles 35 ou 36 du RGPD ou des dispositions équivalentes de toute autre Loi sur la protection des données, dans chaque cas uniquement en relation avec le traitement des Données personnelles.

      5. Demandes des Personnes Concernées
      Le Responsable de traitement permettra au Contrôleur de répondre aux demandes des Personnes Concernées pour exercer leurs droits en vertu de la Loi sur la protection des données applicable, d'une manière conforme à la fonctionnalité du Service d'abonnement. Dans la mesure où le Contrôleur n'a pas la capacité de traiter une demande d'une Personne Concernée, le Responsable de traitement fournira, à la demande du Contrôleur, une assistance raisonnable pour faciliter cette demande, dans la mesure du possible et uniquement comme l'exige la Loi sur la protection des données applicable. Le Contrôleur remboursera au Responsable de traitement les coûts commercialement raisonnables découlant de cette assistance.

      Le Responsable de traitement fournira une assistance raisonnable, y compris par des mesures techniques et organisationnelles appropriées et en tenant compte de la nature du traitement, pour permettre au Contrôleur de répondre à toute demande des Personnes Concernées cherchant à exercer leurs droits en vertu de la Loi sur la protection des données concernant les Données personnelles (y compris l'accès, la rectification, la restriction, la suppression ou la portabilité des Données personnelles, le cas échéant), dans la mesure permise par la loi. Si une telle demande est faite directement au Responsable de traitement, celui-ci informera rapidement le Contrôleur et conseillera les Personnes Concernées de soumettre leur demande au Contrôleur. Le Contrôleur sera seul responsable de la réponse à toute demande des Personnes Concernées.

      6. Audits
      Le Responsable de traitement mettra, conformément aux Lois sur la protection des données et en réponse à une demande écrite raisonnable du Contrôleur, à la disposition de celui-ci les informations en possession ou sous le contrôle du Responsable de traitement concernant la conformité de celui-ci aux obligations des responsables de traitement en vertu de la Loi sur la protection des données en relation avec son traitement des Données personnelles.

      Le Contrôleur pourra, sur demande écrite et avec un préavis d'au moins 30 jours au Responsable de traitement, pendant les heures d'ouverture normales et sans interrompre les opérations commerciales du Responsable de traitement, effectuer une inspection des opérations commerciales du Responsable de traitement ou faire effectuer la même inspection par un auditeur tiers qualifié, sous réserve de l'approbation du Responsable de traitement, qui ne sera pas refusée de manière déraisonnable.

      Le Responsable de traitement fournira, à la demande écrite du Contrôleur et avec un préavis d'au moins 30 jours, toutes les informations nécessaires pour un tel audit, dans la mesure où ces informations sont sous le contrôle du Responsable de traitement et que celui-ci n'est pas empêché de les divulguer par la loi applicable, un devoir de confidentialité ou toute autre obligation envers un tiers.

      7. Sous-traitants
      7.1 Nommer des Sous-traitants
      Le Contrôleur reconnaît et accepte (a) l'engagement en tant que sous-traitants des sociétés affiliées du Responsable de traitement et des tiers énumérés dans notre Liste des sous-traitants, et (b) que le Responsable de traitement et les sociétés affiliées de ce dernier peuvent engager des sous-traitants tiers en rapport avec la fourniture du Service d'abonnement. Pour éviter tout doute, cette autorisation constitue le consentement écrit préalable du Contrôleur au sous-traitement par le Responsable de traitement aux fins de la Clause 11 des Clauses contractuelles types.

      Lorsque le Responsable de traitement engage des sous-traitants, il conclura un contrat avec le sous-traitant qui impose au sous-traitant les mêmes obligations qui s'appliquent au Responsable de traitement en vertu de cette DPA. Lorsque le sous-traitant ne respecte pas ses obligations en matière de protection des données, le Responsable de traitement restera responsable envers le Contrôleur de l'exécution des obligations de ces sous-traitants.

      Lorsque qu’un sous-traitant est engagé, le Contrôleur doit se voir accorder le droit de surveiller et d'inspecter les activités du sous-traitant conformément à cette DPA et à la Loi sur la protection des données, y compris d'obtenir des informations du Responsable de traitement, sur demande écrite, concernant le contenu du contrat et la mise en œuvre des obligations de protection des données en vertu du contrat de sous-traitance, le cas échéant, en inspectant les documents contractuels pertinents.

      Les dispositions de cette Section 7 s'appliqueront mutuellement si le Responsable de traitement engage un sous-traitant dans un pays en dehors de l'Espace économique européen (EEE) non reconnu par la Commission européenne comme offrant un niveau de protection adéquat pour les données personnelles. Si, dans le cadre de l'exécution de cette DPA, le Résident transfère des Données personnelles à un sous-traitant situé en dehors de l'EEE, le Résident doit, avant tout transfert, s'assurer qu'un mécanisme juridique permettant d'atteindre l'adéquation en ce qui concerne ce traitement est en place.

      7.2 Liste actuelle des Responsables de traitement et Notification ou Objection à de Nouveaux Sous-traitants
      Si le Responsable de traitement envisage d'instruire des sous-traitants autres que les sociétés énumérées dans la Liste des sous-traitants, il notifiera le Contrôleur en mettant à jour la Liste des sous-traitants et donnera au Contrôleur la possibilité de s'opposer à l'engagement des nouveaux sous-traitants dans les 30 jours suivant la notification. L'objection doit être fondée sur des motifs raisonnables. Si le Responsable de traitement et le Contrôleur ne parviennent pas à résoudre cette objection, l'une ou l'autre des parties pourra résilier le Contrat en fournissant un avis écrit à l'autre partie. Le Contrôleur recevra un remboursement de tout montant prépayé mais non utilisé pour la période suivant la date d'effet de la résiliation.

      8. Transferts de Données
      Le Contrôleur reconnaît et accepte qu'en rapport avec l'exécution des services en vertu du Contrat, des Données personnelles seront transférées à Baseline, Inc. aux États-Unis. Le Responsable de traitement peut accéder et effectuer le traitement des Données personnelles à l'échelle mondiale, si nécessaire, pour fournir le Service d'abonnement, conformément aux Conditions de service des clients résidents.

      Baseline, Inc. a certifié qu'elle respecte les Cadres de protection de la vie privée EU-États-Unis et Suisse-États-Unis tels qu'administrés par le Département du Commerce des États-Unis, afin de mettre en œuvre des garanties appropriées pour ces transferts conformément à l'Article 46 du RGPD. Les Clauses contractuelles types figurant à l'Annexe 1 s'appliqueront aux Données personnelles qui sont transférées en dehors de l'EEE, directement ou par transfert ultérieur, vers tout pays non reconnu par la Commission européenne comme fournissant un niveau de protection adéquat pour les données personnelles (comme décrit dans la Loi sur la protection des données).

      Dans la mesure où le Contrôleur ou le Responsable de traitement s'appuient sur un mécanisme légal spécifique pour normaliser les transferts de données internationaux et que ce mécanisme est ensuite révoqué ou jugé invalide par un tribunal compétent, le Contrôleur et le Responsable de traitement s'engagent à coopérer de bonne foi pour poursuivre un mécanisme alternatif approprié qui peut légalement soutenir le transfert.

      9. Dispositions Générales
      En ce qui concerne les mises à jour et les modifications de cette DPA, les termes applicables dans la section « Amendement ; Pas de renonciation » de « Divers » dans le Contrat s'appliqueront.

      En cas de conflit, cette DPA prévaudra sur les règlements du Contrat. Lorsque des dispositions individuelles de cette DPA sont invalides ou inapplicables, la validité et l'applicabilité des autres dispositions de cette DPA ne seront pas affectées.

      Lors de l'incorporation de cette DPA dans le Contrat, les parties indiquées à la Section 10 ci-dessous (Parties à cette DPA) acceptent les Clauses contractuelles types (le cas échéant) et tous les annexes qui y sont attachées. En cas de conflit ou d'incohérence entre cette DPA et les Clauses contractuelles types figurant à l'Annexe 1, les Clauses contractuelles types prévaudront, sous réserve toutefois que : (a) le Contrôleur puisse exercer son droit d'audit en vertu de la clause 5(f) des clauses contractuelles types telles que définies et sous réserve des exigences de la section 6 de cette DPA ; et (b) le Responsable de traitement puisse nommer des sous-traitants comme indiqué et sous réserve des exigences des sections 4 et 7 de cette DPA.

      10. Parties à ce DPA

      Ce DPA est un amendement et fait partie de l'Accord. Lors de l'incorporation de ce DPA dans l'Accord : (i) le Responsable et l'entité Résidente qui sont chacun partie à l'Accord sont également chacun partie à ce DPA, et (ii) dans la mesure où Baseline Inc. n'est pas partie à l'Accord, Baseline Inc. est partie à ce DPA, mais uniquement en ce qui concerne l'accord sur les Clauses Contractuelles Standards du DPA, cette Section 10 du DPA, et les Clauses Contractuelles Standards elles-mêmes.

      Si Baseline Inc. n'est pas partie à l'Accord, la section de l'Accord intitulée « Limitation de responsabilité » s'appliquera entre le Responsable et Baseline Inc., et à cet égard, toutes les références à « Résident », « Baseline », « nous », « notre » ou « nos » incluront à la fois Baseline Inc. et l'entité Résidente qui est partie à l'Accord.

      L'entité juridique acceptant ce DPA en tant que Responsable déclare qu'elle est autorisée à accepter et à conclure ce DPA pour, et accepte ce DPA uniquement au nom du Responsable.

      10.1 CLAUSES CONTRACTUELLES STANDARDS

      Aux fins de l'Article 26(2) de la Directive 95/46/CE pour le transfert de données personnelles à des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données,

      Le Client, tel que défini dans les Conditions de Service Client de Baseline (le « exportateur de données »)

      Et

      Baseline Telematics Inc., 324 Chemin du Tour, Laval (Québec) Canada H7Y 1S5 (l’« importateur de données »),

      chacun étant une « partie » ; ensemble « les parties »,

      ONT CONVENU des Clauses Contractuelles suivantes (les Clauses) afin d'apporter des garanties adéquates en ce qui concerne la protection de la vie privée et des droits et libertés fondamentaux des individus pour le transfert par l'exportateur de données à l'importateur de données des données personnelles spécifiées dans l'Annexe 1.

      10.2 Définitions

      Aux fins des Clauses :

      • « données personnelles », « catégories particulières de données », « traitement », « responsable », « sous-traitant », « personne concernée » et « autorité de contrôle » auront la même signification que dans la Directive 95/46/CE du Parlement Européen et du Conseil du 24 octobre 1995 sur la protection des individus à l'égard du traitement des données personnelles et sur la libre circulation de telles données ;

      • « l'exportateur de données » désigne le responsable qui transfère les données personnelles ;

      • « l'importateur de données » désigne le sous-traitant qui accepte de recevoir de l'exportateur de données des données personnelles destinées à être traitées en son nom après le transfert conformément à ses instructions et aux termes des Clauses et qui n'est pas soumis à un système d'un pays tiers garantissant une protection adéquate au sens de l'Article 25(1) de la Directive 95/46/CE ;

      • « le sous-traitant » désigne tout sous-traitant engagé par l'importateur de données ou par tout autre sous-traitant de l'importateur de données qui accepte de recevoir de l'importateur de données ou de tout autre sous-traitant de l'importateur de données des données personnelles exclusivement destinées à des activités de traitement devant être réalisées pour le compte de l'exportateur de données après le transfert conformément à ses instructions, aux termes des Clauses et aux termes du sous-contrat écrit ;

      • « la législation applicable en matière de protection des données » désigne la législation protégeant les droits et libertés fondamentaux des individus et, en particulier, leur droit à la vie privée en ce qui concerne le traitement des données personnelles applicable à un responsable de données dans l'État membre où l'exportateur de données est établi ;

      • « mesures de sécurité techniques et organisationnelles » désigne ces mesures visant à protéger les données personnelles contre la destruction accidentelle ou illégale ou la perte accidentelle, l'altération, la divulgation ou l'accès non autorisé, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toutes les autres formes illégales de traitement.

      10.3 Détails du transfert

      Les détails du transfert et en particulier les catégories particulières de données personnelles le cas échéant sont spécifiés dans l'Annexe 1 qui fait partie intégrante des Clauses.

      10.4 Clause de tiers bénéficiaire

      La personne concernée peut faire valoir contre l'exportateur de données cette Clause, la Clause 4(b) à (i), la Clause 5(a) à (e), et (g) à (j), la Clause 6(1) et (2), la Clause 7, la Clause 8(2), et les Clauses 9 à 12 en tant que tiers bénéficiaire.

      La personne concernée peut faire valoir contre l'importateur de données cette Clause, la Clause 5(a) à (e) et (g), la Clause 6, la Clause 7, la Clause 8(2), et les Clauses 9 à 12, dans les cas où l'exportateur de données a effectivement disparu ou a cessé d'exister en droit, à moins qu'une entité successeur n'ait assumé l'ensemble des obligations légales de l'exportateur de données par contrat ou par voie de droit, ce qui lui permet de prendre les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir contre cette entité.

      La personne concernée peut faire valoir contre le sous-traitant cette Clause, la Clause 5(a) à (e) et (g), la Clause 6, la Clause 7, la Clause 8(2), et les Clauses 9 à 12, dans les cas où l'exportateur de données et l'importateur de données ont effectivement disparu ou ont cessé d'exister en droit ou sont devenus insolvables, à moins qu'une entité successeur n'ait assumé l'ensemble des obligations légales de l'exportateur de données par contrat ou par voie de droit, ce qui lui permet de prendre les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir contre cette entité. La responsabilité de tiers du sous-traitant sera limitée à ses propres opérations de traitement dans le cadre des Clauses.

      Les parties n'objectent pas à ce qu'une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si cela est autorisé par la législation nationale.

      10.5 Obligations de l'exportateur de données
      L'exportateur de données accepte et garantit :

      (a) que le traitement, y compris le transfert lui-même, des données personnelles a été et continuera d'être effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l'État membre où l'exportateur de données est établi) et ne viole pas les dispositions pertinentes de cet État ;

      (b) qu'il a instruit et, pendant toute la durée des services de traitement des données personnelles, continuera d'instruire l'importateur de données à traiter les données personnelles transférées uniquement pour le compte de l'exportateur de données et conformément à la législation applicable en matière de protection des données et aux Clauses ;

      (c) que l'importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées dans l'Annexe 2 de ce contrat ;

      (d) qu'après évaluation des exigences de la législation applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données personnelles contre la destruction accidentelle ou illégale, ou la perte, la modification, la divulgation ou l'accès non autorisés, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toutes autres formes de traitement illégales, et que ces mesures garantissent un niveau de sécurité approprié aux risques présentés par le traitement et à la nature des données à protéger, compte tenu de l'état de l'art et du coût de leur mise en œuvre ;

      (e) qu'il veillera à garantir le respect des mesures de sécurité ;

      (f) que, si le transfert implique des catégories de données particulières, la personne concernée a été informée ou sera informée avant, ou dès que possible après, le transfert que ses données pourraient être transmises à un pays tiers ne fournissant pas une protection adéquate au sens de la directive 95/46/CE ;

      (g) de transmettre toute notification reçue de l'importateur de données ou de tout sous-traitant conformément à la Clause 5(b) et à la Clause 8(3) à l'autorité de contrôle de la protection des données si l'exportateur de données décide de poursuivre le transfert ou de lever la suspension ;

      (h) de mettre à la disposition des personnes concernées sur demande une copie des Clauses, à l'exception de l'Annexe 2, et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de services de sous-traitance qui doit être conclu conformément aux Clauses, sauf si les Clauses ou le contrat contiennent des informations commerciales, auquel cas il peut supprimer de telles informations commerciales ;

      (i) que, en cas de sous-traitance, l'activité de traitement est réalisée conformément à la Clause 11 par un sous-traitant fournissant au moins le même niveau de protection pour les données personnelles et les droits des personnes concernées que l'importateur de données en vertu des Clauses ; et

      (j) qu'il veillera à respecter la Clause 4(a) à (i).

      10.6 Obligations de l'importateur de données
      L'importateur de données accepte et garantit :

      (a) de traiter les données personnelles uniquement pour le compte de l'exportateur de données et en conformité avec ses instructions et les Clauses ; s'il ne peut garantir une telle conformité pour quelque raison que ce soit, il accepte d'informer rapidement l'exportateur de données de son incapacité à se conformer, auquel cas l'exportateur de données a le droit de suspendre le transfert des données et/ou de résilier le contrat ;

      (b) qu'il n'a aucune raison de croire que la législation applicable à lui l'empêche de respecter les instructions reçues de l'exportateur de données et ses obligations au titre du contrat et que, en cas de modification de cette législation susceptible d'avoir un effet substantiel défavorable sur les garanties et obligations prévues par les Clauses, il notifiera rapidement le changement à l'exportateur de données dès qu'il en aura connaissance, auquel cas l'exportateur de données a le droit de suspendre le transfert des données et/ou de résilier le contrat ;

      (c) qu'il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées dans l'Annexe 2 avant de traiter les données personnelles transférées ;

      (d) qu'il informera rapidement l'exportateur de données au sujet de :

      (i) toute demande légalement contraignante de divulgation des données personnelles par une autorité judiciaire, sauf interdiction contraire, telle qu'une interdiction en vertu du droit pénal de préserver la confidentialité d'une enquête judiciaire ;

      (ii) tout accès accidentel ou non autorisé ; et

      (iii) toute demande reçue directement des personnes concernées sans y répondre, sauf autorisation contraire ;

      (e) de traiter rapidement et correctement toutes les demandes de l'exportateur de données relatives à son traitement des données personnelles soumises au transfert et de se conformer aux conseils de l'autorité de contrôle concernant le traitement des données transférées ;

      (f) à la demande de l'exportateur de données, de soumettre ses installations de traitement des données à un audit des activités de traitement couvertes par les Clauses, qui sera réalisé par l'exportateur de données ou un organisme d'inspection composé de membres indépendants et possédant les qualifications professionnelles requises, tenus à un devoir de confidentialité, sélectionnés par l'exportateur de données, le cas échéant, en accord avec l'autorité de contrôle ;

      (g) de mettre à la disposition de la personne concernée sur demande une copie des Clauses, ou de tout contrat existant de sous-traitance, sauf si les Clauses ou le contrat contiennent des informations commerciales, auquel cas il peut supprimer de telles informations commerciales, à l'exception de l'Annexe 2 qui sera remplacée par une description sommaire des mesures de sécurité dans les cas où la personne concernée est dans l'incapacité d'obtenir une copie de l'exportateur de données ;

      (h) que, en cas de sous-traitance, il a préalablement informé l'exportateur de données et obtenu son consentement écrit préalable ;

      (i) que les services de traitement par le sous-traitant seront réalisés conformément à la Clause 11 ;

      (j) d'envoyer rapidement une copie de tout contrat de sous-traitance qu'il conclut en vertu des Clauses à l'exportateur de données.

      10.7 Responsabilité
      Les parties conviennent que toute personne concernée, qui a subi un dommage à la suite d'une violation des obligations visées à la Clause 3 ou à la Clause 11 par une partie ou un sous-traitant, a le droit de recevoir une compensation de l'exportateur de données pour le dommage subi.

      Si une personne concernée n'est pas en mesure d'introduire une demande de compensation conformément au paragraphe 1 contre l'exportateur de données, découlant d'une violation par l'importateur de données ou son sous-traitant de l'une de leurs obligations visées à la Clause 3 ou à la Clause 11, parce que l'exportateur de données a factuellement disparu ou a cessé d'exister légalement ou est devenu insolvable, l'importateur de données accepte que la personne concernée puisse déposer une demande contre l'importateur de données comme si c'était l'exportateur de données, à moins qu'une entité successeur n'ait assumé l'intégralité des obligations légales de l'exportateur de données par contrat ou par application de la loi, auquel cas la personne concernée peut faire valoir ses droits contre cette entité. L'importateur de données ne peut pas se prévaloir d'une violation par un sous-traitant de ses obligations pour éviter sa propre responsabilité.

      Si une personne concernée n'est pas en mesure d'introduire une demande contre l'exportateur de données ou l'importateur de données mentionnés aux paragraphes 1 et 2, découlant d'une violation par le sous-traitant de l'une de ses obligations visées à la Clause 3 ou à la Clause 11, parce que l'exportateur de données et l'importateur de données ont tous deux factuellement disparu ou ont cessé d'exister légalement ou sont devenus insolvables, le sous-traitant accepte que la personne concernée puisse déposer une demande contre le sous-traitant des données concernant ses propres opérations de traitement en vertu des Clauses comme s'il était l'exportateur de données ou l'importateur de données, à moins qu'une entité successeur n'ait assumé l'intégralité des obligations légales de l'exportateur de données ou de l'importateur de données par contrat ou par application de la loi, auquel cas la personne concernée peut faire valoir ses droits contre cette entité. La responsabilité du sous-traitant sera limitée à ses propres opérations de traitement en vertu des Clauses.

      10.8 Médiation et compétence

      L'importateur de données accepte que si la personne concernée invoque contre lui des droits de créancier tiers et/ou demande une compensation pour des dommages en vertu des Clauses, l'importateur de données acceptera la décision de la personne concernée :

      (a) de soumettre le différend à la médiation, par une personne indépendante ou, le cas échéant, par l'autorité de surveillance ;

      (b) de soumettre le différend aux tribunaux de l'État membre dans lequel l'exportateur de données est établi.

      Les parties conviennent que le choix fait par la personne concernée ne portera pas préjudice à ses droits matériels ou procéduraux pour rechercher des recours conformément aux autres dispositions du droit national ou international.

      10.9 Coopération avec les autorités de surveillance

      L'exportateur de données accepte de déposer une copie de ce contrat auprès de l'autorité de surveillance si celle-ci le demande ou si un tel dépôt est requis en vertu de la législation sur la protection des données applicable.

      Les parties conviennent que l'autorité de surveillance a le droit de réaliser un audit de l'importateur de données et de tout sous-traitant, qui a la même portée et est soumis aux mêmes conditions que celles qui s'appliqueraient à un audit de l'exportateur de données en vertu de la législation sur la protection des données applicable.

      L'importateur de données informera rapidement l'exportateur de données de l'existence d'une législation applicable à lui ou à tout sous-traitant empêchant la réalisation d'un audit de l'importateur de données, ou de tout sous-traitant, conformément au paragraphe 2. Dans ce cas, l'exportateur de données aura le droit de prendre les mesures prévues à la Clause 5(b).

      10.10 Droit applicable

      Les Clauses seront régies par le droit de l'État membre dans lequel l'exportateur de données est établi.

      10.11 Modification du contrat

      Les parties s'engagent à ne pas modifier ou modifier les Clauses. Cela n'empêche pas les parties d'ajouter des clauses sur des questions commerciales lorsque cela est nécessaire tant qu'elles ne contredisent pas la Clause.

      10.12 Sous-traitance

      L'importateur de données ne sous-traitera aucune de ses opérations de traitement effectuées pour le compte de l'exportateur de données en vertu des Clauses sans le consentement écrit préalable de l'exportateur de données. Lorsque l'importateur de données sous-traite ses obligations en vertu des Clauses, avec le consentement de l'exportateur de données, il le fera uniquement par le biais d'un accord écrit avec le sous-traitant qui impose les mêmes obligations au sous-traitant que celles imposées à l'importateur de données en vertu des Clauses. Lorsque le sous-traitant ne respecte pas ses obligations en matière de protection des données en vertu de cet accord écrit, l'importateur de données restera pleinement responsable envers l'exportateur de données de l'exécution des obligations du sous-traitant en vertu de cet accord.

      Le contrat écrit préalable entre l'importateur de données et le sous-traitant devra également prévoir une clause de créancier tiers comme stipulé à la Clause 3 pour les cas où la personne concernée n'est pas en mesure d'introduire la demande de compensation mentionnée au paragraphe 1 de la Clause 6 contre l'exportateur de données ou l'importateur de données parce qu'ils ont effectivement disparu ou ont cessé d'exister en droit ou sont devenus insolvables et qu'aucune entité successeur n'a assumé l'ensemble des obligations légales de l'exportateur de données ou de l'importateur de données par contrat ou par effet de la loi. La responsabilité de créancier tiers du sous-traitant sera limitée à ses propres opérations de traitement en vertu des Clauses.

      Les dispositions relatives aux aspects de protection des données pour la sous-traitance du contrat mentionnées au paragraphe 1 seront régies par le droit de l'État membre dans lequel l'exportateur de données est établi.

      L'exportateur de données tiendra une liste des accords de sous-traitance conclus en vertu des Clauses et notifiés par l'importateur de données conformément à la Clause 5(j), qui sera mise à jour au moins une fois par an. La liste sera disponible auprès de l'autorité de surveillance de la protection des données de l'exportateur de données.

      10.13 Obligation après la résiliation des services de traitement des données personnelles

      Les parties conviennent qu'à la résiliation de la fourniture de services de traitement des données, l'importateur de données et le sous-traitant devront, au choix de l'exportateur de données, retourner toutes les données personnelles transférées et les copies de celles-ci à l'exportateur de données ou détruire toutes les données personnelles et certifier à l'exportateur de données qu'il l'a fait, sauf si une législation imposée à l'importateur de données l'empêche de retourner ou de détruire tout ou partie des données personnelles transférées. Dans ce cas, l'importateur de données garantit qu'il garantira la confidentialité des données personnelles transférées et ne traitera plus activement les données personnelles transférées.

      L'importateur de données et le sous-traitant garantissent qu'à la demande de l'exportateur de données et/ou de l'autorité de surveillance, ils soumettront leurs installations de traitement des données à un audit des mesures mentionnées au paragraphe.

      11. Langue Officielle

      Ce document est une traduction française d’une version originale anglaise. En cas de disparité dans l’interprétation d’un texte, la version anglaise prévaudra.

      This document is a translation of an original english version. In case of disparity in the interpretation of any texts, the english version will take precedence.

      Annexe 1 - Détails du traitement
      Cette annexe fait partie des Clauses. Les États membres peuvent compléter ou spécifier, conformément à leurs procédures nationales, toute information supplémentaire nécessaire à inclure dans cette annexe.

      1.1 Exportateur de données
      L'exportateur de données est le Client, tel que défini dans les Conditions de service des clients résidentiels (« Accord »).

      1.2 Importateur de données
      L'importateur de données est Baseline, Inc., un fournisseur mondial de logiciels de marketing entrant et de ventes.

      1.3 Personnes concernées
      Catégories de personnes concernées définies à la Section 2 de l'Accord de traitement des données auquel les Clauses sont annexées.

      1.4 Catégories de données
      Catégories de données personnelles définies à la Section 2 de l'Accord de traitement des données auquel les Clauses sont annexées.

      1.5 Catégories spéciales de données (le cas échéant)
      Les parties ne prévoient pas le transfert de catégories spéciales de données.

      1.6 Opérations de traitement
      Les activités de traitement définies à la Section 2 de l'Accord de traitement des données auquel les Clauses sont annexées.

      Annexe 2 - Mesures de sécurité techniques et organisationnelles
      Cette annexe fait partie des Clauses.

      Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données :

      Baseline observe actuellement les pratiques de sécurité décrites dans cette annexe. Nonobstant toute disposition contraire convenue par l'exportateur de données, Baseline peut modifier ou mettre à jour ces pratiques à sa discrétion, à condition qu'une telle modification et mise à jour ne résultent pas en une dégradation matérielle de la protection offerte par ces pratiques. Tous les termes en majuscules non définis autrement dans les présentes auront les significations définies dans l'Accord.

      2.1 Contrôle d'accès
      i) Prévention de l'accès non autorisé au produit

      Traitement externalisé : Resident héberge son service avec des fournisseurs d'infrastructure cloud externalisés. De plus, Resident maintient des relations contractuelles avec des fournisseurs afin de fournir le service conformément à notre Accord de traitement des données. Resident s'appuie sur des accords contractuels, des politiques de confidentialité et des programmes de conformité des fournisseurs afin de protéger les données traitées ou stockées par ces fournisseurs.

      Sécurité physique et environnementale : Resident héberge son infrastructure produit avec des fournisseurs d'infrastructure externalisés multi-locataires. Les contrôles de sécurité physique et environnementale sont audités pour la conformité SOC 2 Type II et ISO 27001, parmi d'autres certifications.

      Authentification : Resident a mis en place une politique de mot de passe uniforme pour ses produits clients. Les clients qui interagissent avec les produits via l'interface utilisateur doivent s'authentifier avant d'accéder à des données clients non publiques.

      Autorisation : Les données clients sont stockées dans des systèmes de stockage multi-locataires accessibles aux clients uniquement via des interfaces utilisateur d'application et des interfaces de programmation d'application. Les clients n'ont pas accès directement à l'infrastructure sous-jacente de l'application. Le modèle d'autorisation dans chacun des produits de Resident est conçu pour s'assurer que seules les personnes correctement affectées peuvent accéder aux fonctionnalités, vues et options de personnalisation pertinentes. L'autorisation pour les ensembles de données est effectuée en validant les autorisations de l'utilisateur par rapport aux attributs associés à chaque ensemble de données.

      Accès à l'interface de programmation d'application (API) : Les API publiques des produits peuvent être accessibles en utilisant une clé API ou par l'autorisation Oauth.

      ii) Prévention de l'utilisation non autorisée du produit

      Resident met en œuvre des contrôles d'accès standards de l'industrie et des capacités de détection pour les réseaux internes qui soutiennent ses produits.

      Contrôles d'accès : Les mécanismes de contrôle d'accès au réseau sont conçus pour empêcher le trafic réseau utilisant des protocoles non autorisés d'atteindre l'infrastructure produit. Les mesures techniques mises en œuvre diffèrent selon les fournisseurs d'infrastructure et comprennent des mises en œuvre de Cloud privé virtuel (VPC), l'attribution de groupes de sécurité et des règles de pare-feu traditionnelles.

      Détection et prévention des intrusions : Resident a mis en œuvre une solution de pare-feu d'application web (WAF) pour protéger les sites web des clients hébergés et d'autres applications accessibles sur Internet. Le WAF est conçu pour identifier et prévenir les attaques contre des services réseau publiquement disponibles.

      Analyse de code statique : Des examens de sécurité du code stocké dans les dépôts de code source de Resident sont réalisés, vérifiant les meilleures pratiques de codage et les défauts logiciels identifiables.

      Tests de pénétration : Resident entretient des relations avec des fournisseurs de services de tests de pénétration reconnus par l'industrie pour quatre tests de pénétration annuels. L'objectif des tests de pénétration est d'identifier et de résoudre les vecteurs d'attaque prévisibles et les scénarios d'abus potentiels.

      Programme de récompense de bogues : Un programme de récompense de bogues invite et incite des chercheurs en sécurité indépendants à découvrir et divulguer de manière éthique des défauts de sécurité. Resident a mis en œuvre un programme de récompense de bogues afin d'élargir les opportunités d'engagement avec la communauté de la sécurité et d'améliorer les défenses du produit contre des attaques sophistiquées.

      iii) Limitations de privilège et exigences d'autorisation

      Accès au produit : Un sous-ensemble des employés de Resident a accès aux produits et aux données clients via des interfaces contrôlées. L'intention de fournir un accès à un sous-ensemble d'employés est de fournir un support client efficace, de résoudre des problèmes potentiels, de détecter et de répondre à des incidents de sécurité et de mettre en œuvre la sécurité des données. L'accès est activé par des demandes d'accès « juste à temps » ; toutes ces demandes sont enregistrées. Les employés se voient accorder l'accès par rôle, et les examens des octrois de privilèges à haut risque sont initiés quotidiennement. Les rôles des employés sont examinés au moins une fois tous les six mois.

      Vérifications des antécédents : Tous les employés de Resident subissent une vérification des antécédents par un tiers avant de recevoir une offre d'emploi, conformément aux lois applicables et dans la mesure permise. Tous les employés doivent se comporter d'une manière conforme aux directives de l'entreprise, aux exigences de non-divulgation et aux normes éthiques.

      2.2 Contrôle de transmission
      En transit : Resident rend le chiffrement HTTPS (également appelé SSL ou TLS) disponible sur chacune de ses interfaces de connexion et gratuitement sur chaque site client hébergé sur les produits de Resident. La mise en œuvre HTTPS de Resident utilise des algorithmes et des certificats standards de l'industrie.

      Au repos : Resident stocke les mots de passe des utilisateurs conformément à des politiques qui suivent les pratiques standards de l'industrie en matière de sécurité. Resident a mis en œuvre des technologies pour garantir que les données stockées sont chiffrées au repos.

      2.3 Contrôle des entrées
      Détection : Resident a conçu son infrastructure pour enregistrer des informations étendues sur le comportement du système, le trafic reçu, l'authentification du système et d'autres demandes d'application. Les systèmes internes agrègent les données de journal et alertent les employés appropriés d'activités malveillantes, inattendues ou anormales. Le personnel de Resident, y compris la sécurité, les opérations et le support, réagit aux incidents connus.

      Réponse et suivi : Resident maintient un enregistrement des incidents de sécurité connus qui inclut une description, des dates et heures des activités pertinentes et la disposition des incidents. Les incidents de sécurité suspectés et confirmés sont investigués par le personnel de sécurité, d'opérations ou de support ; et des étapes de résolution appropriées sont identifiées et documentées. Pour tout incident confirmé, Resident prendra des mesures appropriées pour minimiser les dommages au produit et aux clients ou la divulgation non autorisée.

      Communication : Si Resident prend connaissance d'un accès illégal aux données clients stockées dans ses produits, Resident : 1) notifiera les clients concernés de l'incident ; 2) fournira une description des mesures que Resident prend pour résoudre l'incident ; et 3) fournira des mises à jour de statut au contact du client, selon ce que Resident jugera nécessaire. Les notifications d'incidents, le cas échéant, seront livrées à un ou plusieurs contacts du client sous une forme choisie par Resident, qui peut inclure un envoi par e-mail ou par téléphone.

      2.4 Contrôle de la disponibilité

      Disponibilité de l'infrastructure : Les fournisseurs d'infrastructure s'efforcent de manière commercialement raisonnable d'assurer un minimum de 99,95 % de disponibilité. Les fournisseurs maintiennent un minimum de redondance N+1 pour les services d'alimentation, de réseau et de climatisation (HVAC).

      Tolérance aux pannes : Les stratégies de sauvegarde et de réplication sont conçues pour garantir la redondance et des protections de basculement en cas de défaillance significative du traitement. Les données des clients sont sauvegardées sur plusieurs magasins de données durables et répliquées sur plusieurs zones de disponibilité.

      Répliques en ligne et sauvegardes : Lorsque cela est possible, les bases de données de production sont conçues pour répliquer des données entre au moins une base de données primaire et une base de données secondaire. Toutes les bases de données sont sauvegardées et maintenues en utilisant au moins des méthodes conformes aux normes de l'industrie.

      Les produits de Resident sont conçus pour garantir la redondance et un basculement sans faille. Les instances de serveur qui supportent les produits sont également conçues pour prévenir les points de défaillance uniques. Ce design aide les opérations de Resident à maintenir et à mettre à jour les applications et le backend des produits tout en limitant le temps d'arrêt.