Rejoignez la Démo en Direct avec Questions et Réponses. Inscrivez-vous à la démo
Close Video
Close Form

Saisissez l'URL du site Web

Accord relatif au traitement des données

Introduction à cet amendement

Le traitement des données personnelles de manière sécurisée, équitable et transparente est extrêmement important pour nous chez TaxDome. Dans le cadre de cet effort, nous traitons les données personnelles conformément aux lois de protection des données de l'UE, y compris le Règlement général sur la protection des données (" RGPD ") de l'UE, et la loi de 2018 sur la protection des données du Royaume-Uni (UK) dans la mesure où elle est applicable. Nous traitons également les données personnelles conformément aux lois de protection des données non européennes régissant le traitement de divers types de données personnelles, y compris la loi californienne sur la protection de la vie privée des consommateurs (" CCPA "), la loi sur la portabilité et la responsabilité de l'assurance maladie (" HIPAA ") et la conformité de l'industrie des cartes de paiement (" PCI ").

Afin de mieux protéger les données personnelles des individus, nous fournissons ces conditions pour régir le traitement des données personnelles par TaxDome et par vous-même (les "conditions relatives au traitement des données" ou "DPA"). Ce DPA fait partie des Conditions de service ("CGU"), qu'il modifie, et ne nécessite aucune autre action de votre part.

Si vous n'acceptez pas cet DPA, vous pouvez cesser d'utiliser le service TaxDome et supprimer votre compte.

Définitions

Il est important que toutes les parties comprennent quelles données et à qui appartiennent les données protégées par le présent DPA. Chaque partie a des obligations respectives en matière de protection des données à caractère personnel ; par conséquent, les définitions suivantes expliquent le champ d'application du présent DPA et les engagements mutuels en matière de protection des données à caractère personnel.

«TaxDome»,«nous», ou «notre» se réfèrent au fournisseur de site et service TaxDome ( collectivement appelé le «service TaxDome».).

Le terme «vous» ou  «client» désigne la société ou l'organisation qui s'inscrit pour utiliser le service TaxDome afin de gérer les relations avec vos consommateurs ou utilisateurs de services.

«Partie» se réfère à TaxDome et/ou au client en fonction du contexte.

«Personnel» désigne les personnes employées par l'une des parties ou sous contrat pour effectuer un service pour le compte de l'une des parties. Les membres du personnel peuvent avoir des droits sur leurs données personnelles (y compris leurs coordonnées professionnelles) s'ils résident dans l'UE. Il est important d'être clair sur la manière dont les droits du personnel sont protégés.

«Sous-traitant» est un tiers, des entrepreneurs indépendants, des vendeurs et des fournisseurs qui fournissent des services et des produits spécifiques liés au site Web TaxDome et à nos services, tels que l'hébergement, le traitement des cartes de crédit et la détection des fraudes, et l'hébergement de listes de diffusion («tiers» ou «sous-traitant extérieur» ont des significations similaires).

«Incident» signifie : (a) une plainte ou une demande concernant l'exercice des droits d'une personne en vertu du RGPD ; (b) une enquête ou une saisie des données personnelles par des agents du gouvernement, ou une indication spécifique qu'une telle enquête ou saisie est imminente ; ou © toute violation de la sécurité et/ou de la confidentialité telle que définie dans le présent DPA conduisant à la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal aux données personnelles, ou toute indication qu'une telle violation a eu lieu ou est sur le point d'avoir lieu.

Les termes «Personne concernée», «Données personnelles, «État membre», «Contrôleur», «Processeur» et «Traitement» ont la même signification que dans le RGPD, et les termes correspondants doivent être interprétés en conséquence.

‘Loi sur la protection des données’ désigne l'ensemble de la législation applicable en matière de protection des données et de la vie privée, y compris, sans s'y limiter, le RGPD, ainsi que toute loi nationale d'application dans tout État membre de l'Union européenne ou, dans la mesure où cela est applicable, dans tout autre pays, telle que modifiée, abrogée, consolidée ou remplacée de temps à autre

«CSC» désigne les clauses contractuelles types pour les sous-traitants telles qu'approuvées par la Commission européenne ou l'autorité fédérale suisse de protection des données (selon le cas).

Pour des raisons de lisibilité, nous n'utilisons pas de majuscules initiales pour les termes définis dans ce DPA. Les termes définis sont des termes définis, quel que soit leur format.

  • 1. Engagements concernant les données personnelles

    • Chaque partie accepte que les données personnelles soient traitées comme des informations confidentielles dans le cadre du présent DPA. En outre, chaque partie doit à tout moment respecter les lois applicables en matière de protection des données dans la juridiction concernée en ce qui concerne les données personnelles de l'autre partie.
    • Les données personnelles restent la propriété de la partie qui les divulgue. TaxDome reconnaît que le client est le contrôleur et conserve le contrôle des données personnelles de la personne concernée.
    • TaxDome ne traitera les données personnelles du client que dans la mesure strictement nécessaire à la fourniture des services conformément aux CGU et à toute autre instruction écrite du client convenue mutuellement par écrit. Les détails du traitement des données personnelles tel que requis par l'article 28(3) RGPD sont présentés à l'annexe B. TaxDome convient que :
      • il mettra en œuvre et maintiendra un programme de sécurité raisonnable et approprié comprenant des mesures de sécurité, techniques et organisationnelles adéquates pour se protéger contre le traitement, l'utilisation, l'effacement, la perte ou la destruction non autorisés, illégaux ou accidentels des données personnelles des clients, ou contre les dommages qui leur sont causés ;
      • il ne modifiera pas, n'altérera pas, ne supprimera pas, ne publiera pas et ne divulguera pas les données personnelles des clients à un tiers, ni ne permettra à un tiers de traiter ces données personnelles pour le compte de TaxDome, à moins que le tiers ne soit lié à des dispositions similaires en matière de confidentialité et de traitement des données ;
      • Il doit s'assurer que l'accès aux données personnelles est limité au personnel qui a besoin de cet accès pour exécuter ses obligations en vertu des CGU, et que son personnel engagé dans le traitement des données personnelles est informé de la nature confidentielle des données personnelles, a reçu une formation appropriée sur ses responsabilités et a signé des accords de confidentialité écrits. TaxDome doit s'assurer que ces obligations de confidentialité survivent à la fin de l'engagement du personnel ; et
      • elle ne traitera les données personnelles du client que dans la mesure nécessaire à l'exécution de ses obligations en vertu des CGU, sur instructions écrites du client (uniquement comme convenu mutuellement), et conformément aux lois applicables.
    • Lors de la résiliation de votre compte, TaxDome supprimera ou, à la demande du client, renverra toutes les données personnelles conformément à notre politique standard de sauvegarde et de conservation selon les CGU, normalement au plus tard 90 jours, sauf si nous sommes tenus de conserver les données personnelles en raison des lois de l'Union, des États membres ou des États-Unis ; dans ce cas, TaxDome se réserve le droit de conserver les données personnelles.
    • Les parties reconnaissent que les clients peuvent de temps à autre être en possession de données personnelles relatives au personnel de TaxDome dans le cadre de l'utilisation du Service TaxDome. TaxDome garantit qu'il a fourni à ce personnel toutes les notifications nécessaires et obtenu tous les consentements, autorisations, approbations et/ou accords requis par toute loi applicable afin de permettre : (i) la divulgation des données personnelles du personnel de TaxDome au client dans le cadre de l'utilisation du service TaxDome par le client ; et (ii) le traitement ultérieur de ces données personnelles de TaxDome par le client dans le but d'utiliser le service TaxDome.
  • 2. Engagements vis-à-vis des sous-traitants

    • Les parties reconnaissent que TaxDome peut engager des sous-traitants tiers dans le cadre des obligations des CGU. Pour tout sous-processeur avec lequel TaxDome s'engage, nous conclurons un accord écrit contenant des obligations de protection des données non moins protectrices que celles de cet amendement et comme requis pour protéger les données personnelles du client selon le standard requis par le RGPD
    • TaxDome mettra à la disposition des clients la liste actuelle des sous-traitants par publier cette liste en ligne à : https://www.taxdome.com/policies/sub-processors/.
    • Pour éviter toute ambiguïté, l'autorisation ci-dessus à l'engagement de sous-traitants constitue le consentement écrit préalable du client au sous-traitement par TaxDome aux fins de la clause 9 des Clauses Contractuelles Types.
  • 3. Engagements du client et assistance TaxDome

    • Le client garantit qu'il dispose de tous les droits nécessaires pour fournir à TaxDome les données personnelles en vue de leur traitement dans le cadre de la fourniture des Services TaxDome.
    • Dans la mesure où la loi applicable l'exige, le client est tenu de s'assurer que tous les consentements des personnes concernées qui peuvent être nécessaires à ce traitement sont obtenus, et de s'assurer qu'un registre de ces consentements est conservé, y compris tout consentement à l'utilisation de données personnelles obtenu auprès de tiers. Si un tel consentement est révoqué par une personne concernée, le client est responsable de la communication de cette révocation à TaxDome, et TaxDome reste responsable de la mise en œuvre de toute instruction du client concernant le traitement ultérieur de ces données personnelles, ou, le cas échéant, conformément à toute obligation légale de TaxDome.
    • Le client comprend, en tant que contrôleur, qu'il est responsable (entre le client et TaxDome) de :
      • déterminer la légalité de tout traitement, effectuer toute évaluation d'impact sur la protection des données requise, et rendre compte aux autorités de réglementation et aux personnes, le cas échéant ;
      • faire des efforts raisonnables pour vérifier le consentement parental lorsque des données sont collectées sur une personne concernée âgée de moins de 16 ans ;
      • fournir des avis de confidentialité pertinents aux personnes concernées, comme cela peut être exigé dans votre juridiction, y compris un avis sur leurs droits et fournir les mécanismes permettant aux individus d'exercer ces droits ;
      • répondre aux demandes des personnes concernant leurs données et le traitement de celles-ci, y compris les demandes de modification, de rectification ou d'effacement des données personnelles, et fournir des copies des données effectivement traitées ;
      • mettre en œuvre vos propres mesures techniques et organisationnelles appropriées pour assurer et démontrer le traitement conformément au présent ATD ;
      • notifier tout incident aux individus et à tout organisme de réglementation ou autorité compétente, comme l'exige la loi dans votre juridiction.
    • TaxDome aidera le client en mettant en œuvre des mesures techniques et organisationnelles appropriées, dans la mesure où cela est raisonnablement et commercialement possible, pour remplir les obligations du client de répondre aux demandes des individus d'exercer leurs droits en vertu du RGPD.
    • TaxDome assistera le client en mettant en œuvre les mesures techniques et organisationnelles appropriées, dans la mesure où cela est raisonnablement et commercialement possible, pour assurer le respect des articles 32 à 36 (inclus) du RGPD.
    • Chaque année, TaxDome fera réaliser un audit indépendant de sa base de code et de ses systèmes par des tiers indépendants afin de démontrer le respect de ses obligations en vertu du présent accord. À la demande du client, et sous réserve des obligations de confidentialité, TaxDome mettra à la disposition du client les informations raisonnablement nécessaires pour démontrer le respect des obligations de TaxDome en vertu du présent APD. Au minimum, sur demande écrite, TaxDome produira au client un résumé de tous les rapports d'audit de tiers concernant l'adéquation des mesures de sécurité technique de TaxDome telles que décrites dans la Politique de sécurité.
  • 4. Gestion des incidents

    • Lorsque l'une ou l'autre des parties prend connaissance d'un incident ayant un impact sur le traitement des données personnelles, il doit informer rapidement l'autre de l'incident et doit raisonnablement coopérer afin de permettre à l'autre partie d' effectuer une enquête approfondie sur l'incident, pour formuler une réponse correcte et prendre les mesures supplémentaires appropriées en respect de l'incident.
    • Les deux parties doivent à tout moment mettre en place des procédures écrites qui leur permettent de répondre rapidement à l'autre partie au sujet d'un incident. Si l'incident est raisonnablement susceptible de nécessiter la notification d'une violation de données en vertu des lois applicables, la partie responsable de l'incident notifiera l'autre partie sans délai excessif après avoir pris connaissance d'un tel incident.
    • Toute notification faite en vertu de la présente section est adressée à privacy@taxdome.com (lorsqu'elle est faite à TaxDome) et à notre point de contact avec vous (lorsqu'elle est faite au client), et contient : (i) une description de la nature de l'incident, y compris, si possible, les catégories et le nombre approximatif de personnes concernées et les catégories et le nombre approximatif d'enregistrements concernés ; (ii) le nom et les coordonnées du point de contact où il est possible d'obtenir davantage d'informations ; (iii) une description des conséquences probables de l'incident ; et (iv) une description des mesures prises ou proposées pour traiter l'incident, y compris, le cas échéant, des mesures visant à atténuer ses éventuels effets négatifs.
  • 5. Responsabilité et indemnisation

    • La responsabilité de chaque partie à l'égard de l'autre partie en vertu du présent DPA ou en relation avec celui-ci sera limitée conformément aux dispositions des conditions générales.
    • Le client reconnaît que TaxDome dépend du client pour savoir dans quelle mesure TaxDome est autorisé à traiter les données personnelles du client pour le compte du client dans le cadre de l'exécution des Services. Par conséquent, TaxDome ne sera pas responsable, en vertu des Cgu, de toute réclamation déposée par une personne concernée résultant d'une action ou d'une omission de TaxDome, dans la mesure où cette action ou cette omission résulte des instructions du client ou du non-respect par le client de ses obligations en vertu de la loi applicable sur la protection des données.
  • 6. Durée et résiliation

    • Le présent DPA entre en vigueur le 1er janvier 2022 et se poursuit jusqu'à sa modification ou sa résiliation conformément aux CGU.
    • La résiliation ou l'expiration de cet ATD ne libère pas les parties des obligations de confidentialité des présentes.
  • 7. Transferts internationaux de données

    • Emplacements des centres de données. Le client reconnaît que TaxDome peut transférer et traiter des données personnelles vers et aux États-Unis et partout ailleurs dans le monde où TaxDome, ses sociétés affiliées ou ses sous-traitants maintiennent des opérations de traitement des données. TaxDome s'assurera à tout moment que ces transferts sont effectués conformément aux exigences des lois sur la protection des données.
    • Transferts de données européennes. Dans la mesure où TaxDome est un destinataire de données personnelles protégées par les lois européennes sur la protection des données ("Données européennes"), les parties conviennent que TaxDome met à disposition les mécanismes énumérés ci-dessous :
      • CCT : TaxDome s'engage à respecter et à traiter les données de l'UE conformément aux CCAP, qui sont incorporés dans leur intégralité par référence et font partie intégrante du présent DPA. Aux fins des CCT :
        • TaxDome convient qu'il est «l'importateur de données» et que le client est «l'exportateur de données» en vertu des CSC (nonobstant le fait que le client peut lui-même être une entité située en dehors de l'UE) ;
        • Les parties conviennent en outre que les CCT s'appliqueront aux données à caractère personnel transférées par l'intermédiaire du Service de l'Europe vers l'extérieur de l'Europe, soit directement, soit par transfert ultérieur, vers tout pays ou destinataire : (a) non reconnu par la Commission européenne comme assurant un niveau de protection adéquat des données à caractère personnel (tel que décrit dans la loi de l'UE sur la protection des données)
      • Si et dans la mesure où les Clauses contractuelles types (le cas échéant) sont en contradiction avec une disposition du présent DPA, les Clauses contractuelles types prévaudront dans la mesure de cette contradiction.

Annexe A — Conditions spécifiques à la juridiction

Brésil

  • Dès l'entrée en vigueur de la loi générale brésilienne sur la protection des données, Lei Geral de Proteção de Dados («LGPD»), les dispositions suivantes s'appliqueront : chaque partie est responsable du respect de ses obligations respectives énoncées dans la LGPD, et le Client ne délivrera que des instructions de Traitement, comme indiqué à la Section 1 (Engagements concernant les données personnelles) du DPA, qui permettent à TaxDome de remplir ses obligations au titre de la LGPD. Aux fins de la Section 7 (Transferts internationaux de données), les Clauses contractuelles types seront utilisées pour les transferts vers des pays non adéquats conformément au RGPD.

Californie

  • Les définitions de : «responsable du traitement» inclut «Entreprise» ; «sous-traitant» inclut «fournisseur de services» ; «personne concernée» inclut «consommateur» ; «données personnelles» inclut «informations personnelles» ; dans chaque cas, telles que définies par la CCPA.
  • «Traiter», «Traitée» ou «Traitement» signifie toute opération ou ensemble d'opérations qui sont effectuées sur des Informations personnelles, ou sur des ensembles d'Informations personnelles, que ce soit ou non par des moyens automatisés.
  • Les obligations de TaxDome concernant les demandes des personnes concernées, telles que décrites dans la section 3(d) et 3(e) (droits et coopération des personnes concernées) du présent DPA, s'appliquent aux droits du consommateur en vertu du CCPA.
  • Nonobstant toute disposition contraire, les renseignements personnels du client sont les renseignements personnels que TaxDome traite au nom du client en vertu du Contrat. TaxDome peut traiter les renseignements personnels du client dans le seul but d'exécuter ses obligations en vertu de l'Accord et ne doit pas utiliser les renseignements personnels du client à d'autres fins sans le consentement écrit exprès du client. En particulier, TaxDome ne doit pas : (i) vendre, tel que défini dans l'ACCP, les renseignements personnels du client ou partager les renseignements personnels du client avec un tiers sans la permission du client ; (ii) conserver, utiliser ou divulguer les renseignements personnels du client à des fins autres que celles spécifiées dans cet Accord, y compris la conservation, l'utilisation ou la divulgation des renseignements personnels du client à des fins commerciales autres que la prestation de ses services au client ; et (iii) conserver, utiliser ou divulguer les renseignements personnels du client en dehors de la relation d'affaires de TaxDome avec le client. Les parties reconnaissent que toute divulgation des informations personnelles du client en vertu de l'accord ne confère aucune valeur en vertu de l'accord.
  • TaxDome doit se conformer à toutes les exigences applicables de la LCAP dans l'exécution de ses obligations en vertu de l'Accord, y compris la mise en œuvre et le maintien de mesures de sécurité raisonnables et appropriées à la nature des renseignements personnels, afin de protéger les renseignements personnels du client contre tout accès, destruction, utilisation, modification ou divulgation non autorisés. TaxDome s'engage à réparer tout préjudice que pourrait subir toute personne en raison d'un Traitement effectué en violation de ses obligations légales, réglementaires et contractuelles, sauf si TaxDome prouve qu'il n'est pas responsable de ce préjudice.
  • TaxDome peut dépersonnaliser ou regrouper des données personnelles dans le cadre de l'exécution du service spécifié dans le présent APD et le contrat.
  • Lorsque des sous-traitants secondaires traitent les données personnelles de nos clients, TaxDome prend des mesures pour s'assurer que ces sous-traitants secondaires sont des fournisseurs de services au sens de l'ACCP avec lesquels TaxDome a conclu un contrat écrit comprenant des conditions substantiellement similaires au présent APD ou sont autrement exemptés de la définition de " vente " de l'ACCP. TaxDome effectue un contrôle préalable approprié sur ses sous-traitants secondaires.

Canada

  • TaxDome prend des mesures pour s'assurer que les sous-traitants secondaires de TaxDome, tels que décrits à la section 2 du DPA, sont des tiers au sens de la LPRPDE, avec lesquels TaxDome a conclu un contrat écrit comprenant des conditions substantiellement similaires au présent DPA. TaxDome effectue une diligence raisonnable appropriée sur ses sous-traitants secondaires.
  • TaxDome mettra en œuvre et maintiendra des mesures de sécurité raisonnables et adaptées à la nature des informations personnelles, comme indiqué à la section 1 du DPA.

Serbie

  • Loi sur la protection des données personnelles (Zakon o zaštiti podataka o ličnosti ; Journal officiel de la République de Serbie, n° 87/2018).

Royaume-Uni

  • Le règlement de 2019 sur la protection des données, la confidentialité et les communications électroniques (modifications, etc.) (sortie de l'UE), tel que modifié, annulé ou remplacé, une fois entré en vigueur, et la loi britannique de 2018 sur la protection des données.

Annexe B — Clauses contractuelles types (sous-traitants)

Section 1

Article 1

Objectif et portée

  • L'objectif de ces clauses contractuelles types est de garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) pour le transfert de données à caractère personnel vers un pays tiers.
  • Les parties :
    • la (les) personne(s) physique(s) ou morale(s), l'autorité/les autorités publiques, l'agence/les agences ou tout autre organisme (ci-après ‘entité(s)’) transférant les données à caractère personnel, telles qu'énumérées à l'annexe I.A (ci-après ‘exportateur de données’), et
    • l'entité/les entités d'un pays tiers recevant les données à caractère personnel de l'exportateur de données, directement ou indirectement par l'intermédiaire d'une autre entité également partie aux présentes clauses, telle qu'énumérée à l'annexe I.A (ci-après dénommée ‘importateur de données’)
  • ont accepté ces clauses contractuelles types (ci-après : ‘Clauses’).
  • Les présentes clauses s'appliquent au transfert de données à caractère personnel tel que spécifié à l'annexe I.B.
  • L'appendice aux présentes clauses contenant les annexes qui y sont mentionnées fait partie intégrante des présentes clauses.

Article 2

Effet et invariabilité des clauses

  • Les présentes Clauses établissent des garanties appropriées, y compris des droits exécutoires des personnes concernées et des recours juridiques efficaces, conformément à l'article 46, paragraphe 1, et à l'article 46, paragraphe 2 ©, du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des responsables du traitement aux sous-traitants et/ou des sous-traitants aux sous-traitants, des clauses contractuelles types conformément à l'article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu'elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l'annexe. Cela n'empêche pas les Parties d'inclure les clauses contractuelles types établies dans les présentes Clauses dans un contrat plus large et/ou d'ajouter d'autres clauses ou des garanties supplémentaires, à condition qu'elles ne contredisent pas, directement ou indirectement, les présentes Clauses ou ne portent pas atteinte aux droits ou libertés fondamentaux des personnes concernées.
  • Les présentes Clauses sont sans préjudice des obligations auxquelles l'exportateur de données est soumis en vertu du règlement (UE) 2016/679.

Article 3

Tiers bénéficiaires

  • Les personnes concernées peuvent invoquer et appliquer ces clauses, en tant que tiers bénéficiaires, contre l'exportateur et/ou l'importateur de données, avec les exceptions suivantes :
    • Article 1, Article 2, Article 3, Article 6, Article 7 ;
    • Article 8.1(b), 8.9(a), ©, (d) et (e) ;
    • Clause 9(a), ©, (d) et (e) ;
    • Clause 12(a), (d) et (f);
    • Article 13;
    • Article 15.1©, (d) et (e);
    • Article 16(e) ;
    • Article 18(a) et (b).
  • Le paragraphe (a) est sans préjudice des droits des données sujets visés par le règlement (UE) 2016/679.

Article 4

Interprétation

  • Lorsque ces clauses utilisent des termes définis dans le règlement (UE) 2016/679, ces termes ont la même signification que > dans ce règlement.
  • Ces clauses doivent être lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.
  • Ces clauses ne doivent pas être interprétées d'une manière a qui entre en conflit avec les droits et obligations prévus dans le règlement (UE) 2016/679.

Article 5

Hiérarchie

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties, existant au moment où les présentes clauses sont convenues ou conclues par la suite, les présentes clauses prévaudront.

Article 6

Description du/des transfer(s)

Les détails du/des transfer(s), et en particulier les catégories des données personnelles qui sont transférées et le but de leur transfer, sont spécifiés dans l'Annexe I.B.

Article 7 - Facultatif

Clause d'adhésion

  • Une entité qui n'est pas une Partie concernée par ces Clauses peut, avec l'accord des Parties, adhérer à ces Clauses à tout moment, soit en tant qu'exportateur de données, soit en tant qu'importateur de données, en complétant l'appendice et en signant l'annexe I.A.
  • Une fois qu'elle aura rempli l'appendice et signé l'annexe I.A, l'entité adhérente deviendra Partie aux présentes clauses et aura les droits et obligations d'un exportateur de données ou d'un importateur de données conformément à sa désignation à l'annexe I.A.
  • L'entité adhérente n'a aucun droit ou obligation découlant des présentes clauses pour la période antérieure à son adhésion.

Section 2— Obligations des Parties

Article 8

Garanties de protection des données

L'exportateur de données garantit qu'il a déployé des efforts raisonnables pour déterminer que l'importateur de données est en mesure, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire à ses obligations en vertu des présentes clauses.

    • Instructions

      • L'importateur de données traite les données personnelles uniquement sur instructions documentées de l'exportateur de données. L'exportateur de données peut donner de telles instructions pendant toute la durée du contrat.
      • L'importateur de données informe immédiatement l'exportateur de données s'il n'est pas en mesure de suivre ces instructions.
    • Limitation de l'objectif

      L'importateur de données traite les données à caractère personnel uniquement aux fins spécifiques du transfert, telles que définies à l'annexe I.B, sauf instructions supplémentaires de l'exportateur de données.

    • Transparence

      Sur demande, l'exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, y compris l'appendice tel que complété par les parties. Dans la mesure où cela est nécessaire pour protéger les secrets d'affaires ou d'autres informations confidentielles, y compris les mesures décrites à l'annexe II, ainsi que les données à caractère personnel, l'exportateur de données peut expurger une partie du texte de l'appendice des présentes clauses avant d'en communiquer une copie, mais il doit fournir un résumé significatif lorsque la personne concernée ne serait pas en mesure de comprendre son contenu ou d'exercer ses droits. Sur demande, les parties fournissent à la personne concernée les raisons des suppressions, dans la mesure du possible sans révéler les informations supprimées. La présente clause est sans préjudice des obligations de l'exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.

    • Précision

      Si l'importateur de données se rend compte que les données à caractère personnel qu'il a reçues sont inexactes ou périmées, il en informe l'exportateur de données dans les meilleurs délais. Dans ce cas, l'importateur de données coopère avec l'exportateur de données pour effacer ou rectifier les données.

    • Durée de traitement et effacement ou retour de données

      Le traitement par l'importateur de données n'a lieu que pour la durée spécifiée à l'annexe I.B. Après la fin de la prestation des services de traitement, l'importateur de données, au choix de l'exportateur de données, supprime toutes les données à caractère personnel traitées pour le compte de ce dernier et certifie à l'exportateur de données qu'il l'a fait, ou renvoie à l'exportateur de données toutes les données à caractère personnel traitées pour son compte et supprime les copies existantes. Jusqu'à ce que les données soient supprimées ou renvoyées, l'importateur de données doit continuer à assurer le respect des présentes clauses. En cas de lois locales applicables à l'importateur de données qui interdisent le retour ou la suppression des données à caractère personnel, l'importateur de données garantit qu'il continuera à assurer le respect des présentes clauses et ne les traitera que dans la mesure et pour la durée requises par cette loi locale. Ceci est sans préjudice de la clause 14, en particulier de l'obligation faite à l'importateur de données, en vertu de la clause 14(e), d'informer l'exportateur de données pendant toute la durée du contrat s'il a des raisons de croire qu'il est ou est devenu soumis à des lois ou des pratiques non conformes aux exigences de la clause 14(a).

    • Sécurité du traitement

      • L'importateur de données et, lors de la transmission, également l'exportateur de données, mettent en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, y compris la protection contre une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à ces données de manière accidentelle ou illicite (ci-après dénommée "violation des données personnelles"). Pour évaluer le niveau de sécurité approprié, les parties tiennent dûment compte de l'état de l'art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement, ainsi que des risques que présente le traitement pour les personnes concernées. Les parties envisagent notamment de recourir au cryptage ou à la pseudonymisation, y compris pendant la transmission, lorsque la finalité du traitement peut être réalisée de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d'attribuer les données personnelles à une personne spécifique restent, dans la mesure du possible, sous le contrôle exclusif de l'exportateur de données. Pour se conformer aux obligations qui lui incombent en vertu du présent paragraphe, l'importateur de données met au moins en œuvre les mesures techniques et organisationnelles spécifiées à l'annexe II. L'importateur de données effectue des contrôles réguliers pour s'assurer que ces mesures continuent à fournir un niveau de sécurité approprié.
      • L'importateur de données n'accorde l'accès aux données personnelles aux membres de son personnel que dans la mesure strictement nécessaire à l'exécution, à la gestion et au suivi du contrat. Il s'assure que les personnes autorisées à traiter les données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée.
      • En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l'importateur de données en vertu des présentes clauses, l'importateur de données prend les mesures appropriées pour remédier à la violation, y compris des mesures visant à atténuer ses effets négatifs. L'importateur de données notifie également l'exportateur de données sans délai indu après avoir pris connaissance de la violation. Cette notification contient les coordonnées d'un point de contact où de plus amples informations peuvent être obtenues, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données à caractère personnel concernés), ses conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris, le cas échéant, les mesures visant à atténuer ses éventuels effets négatifs. Lorsque, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations alors disponibles et d'autres informations sont fournies par la suite, à mesure qu'elles deviennent disponibles, sans retard excessif.
      • L'importateur de données coopère avec l'exportateur de données et l'assiste pour lui permettre de se conformer à ses obligations au titre du règlement (UE) 2016/679, en particulier pour notifier l'autorité de contrôle compétente et les personnes concernées affectées, en tenant compte de la nature du traitement et des informations dont dispose l'importateur de données.
    • Données sensibles

      Lorsque le transfert concerne des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, des données génétiques ou des données biométriques permettant d'identifier une personne physique de manière unique, des données relatives à la santé, à la vie sexuelle ou à l'orientation sexuelle d'une personne, ou des données relatives aux condamnations pénales et aux infractions (ci-après dénommées "données sensibles"), l'importateur de données applique les restrictions spécifiques et/ou les garanties supplémentaires décrites à l'annexe I.B.

    • Transferts ultérieurs

      L'importateur de données ne divulgue les données personnelles à un tiers que sur instructions documentées de l'exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l'Union européenne (dans le même pays que l'importateur de données ou dans un autre pays tiers, ci-après dénommé "transfert ultérieur") que si le tiers est ou accepte d'être lié par les présentes Clauses, en vertu du Module approprié, ou si :

      • le transfert ultérieur est destiné à un pays bénéficiant d'une décision d'adéquation en vertu de l'article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur ;
      • le tiers assure par ailleurs des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question ;
      • le transfert ultérieur est nécessaire pour la constatation, l'exercice ou la défense de droits légaux dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou
      • le transfert ultérieur est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique.

      Tout transfert ultérieur est soumis au respect par l'importateur de données de toutes les autres garanties prévues par les présentes clauses, en particulier la limitation de la finalité.

    • Documentation et conformité

      • L'importateur de données doit traiter rapidement et de manière adéquate les demandes de l'exportateur de données concernant le traitement en vertu des présentes clauses.
      • Les Parties seront capables de démontrer le respect des présentes Clauses. En particulier , l'importateur de données doit conserver une documentation appropriée sur les activités de traitement effectuées sur au nom de l'exportateur de données.
      • L'importateur de données met à la disposition de l'exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses et, à la demande de l'exportateur de données, permet et contribue aux audits des activités de traitement couvertes par les présentes clauses, à intervalles raisonnables ou s'il existe des indications de non-conformité. En décidant d'un examen ou d'un audit, l'exportateur de données peut prendre en compte les certifications pertinentes détenues par l'importateur de données.
      • L'exportateur de données peut choisir de mener l'audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent inclure des inspections dans les locaux ou les installations physiques de l'importateur de données et doivent, le cas échéant, être effectués avec un préavis raisonnable.
      • Les Parties mettent les informations visées aux paragraphes b) et ©, y compris les résultats de tout audit, à la disposition de l'autorité de contrôle compétente, sur demande.

Article 9

Utilisation de sous-traitants

  • AUTORISATION GÉNÉRALE ÉCRITE L'importateur de données dispose de l'autorisation générale de l'exportateur de données pour l'engagement d'un ou de plusieurs sous-traitants ultérieurs figurant sur une liste convenue. L'importateur de données informe spécifiquement l'exportateur de données par écrit de toute modification prévue de cette liste par l'ajout ou le remplacement de sous-traitants secondaires au moins dix (10) jours à l'avance, donnant ainsi à l'exportateur de données suffisamment de temps pour pouvoir s'opposer à ces modifications avant l'engagement du ou des sous-traitants secondaires. L'importateur de données fournit à l'exportateur de données les informations nécessaires pour lui permettre d'exercer son droit d'opposition.
  • Lorsque l'importateur de données engage un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques (pour le compte de l'exportateur de données), il le fait par le biais d'un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l'importateur de données en vertu des présentes clauses ACTIF/110240378.1 7, y compris en termes de droits des tiers bénéficiaires pour les personnes concernées. 1 Les parties conviennent qu'en se conformant à cette clause, l'importateur de données remplit ses obligations en vertu de la clause 8.8. L'importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles l'importateur de données est soumis en vertu des présentes clauses.
  • L'importateur de données fournit, à la demande de l'exportateur de données, une copie d'un tel accord de sous-traitance et de toute modification ultérieure à l'exportateur de données. Dans la mesure où cela est nécessaire pour protéger des secrets d'affaires ou d'autres informations confidentielles, y compris des données à caractère personnel, l'importateur de données peut rédiger le texte de l'accord avant d'en partager une copie.
  • L'importateur de données reste pleinement responsable envers l'exportateur de données de l'exécution des obligations du sous-traitant ultérieur en vertu de son contrat avec l'importateur de données. L'importateur de données notifie à l'exportateur de données tout manquement du sous-traitant ultérieur à ses obligations en vertu de ce contrat.
  • L'importateur de données convient avec le sous-traitant ultérieur d'une clause de tiers bénéficiaire en vertu de laquelle - dans le cas où l'importateur de données a disparu dans les faits, a cessé d'exister en droit ou est devenu insolvable - l'exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de demander au sous-traitant ultérieur d'effacer ou de restituer les données à caractère personnel.

Article 10

Droits des personnes concernées

  • L'importateur de données informe rapidement l'exportateur de données de toute demande qu'il a reçue d'une personne concernée. Il ne répond pas lui-même à cette demande, sauf s'il a été autorisé à le faire par l'exportateur de données.
  • L'importateur de données aide l'exportateur de données à remplir ses obligations de réponse aux demandes des personnes concernées pour l'exercice de leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les parties définissent à l'annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, par lesquelles l'assistance est fournie, ainsi que la portée et l'étendue de l'assistance requise.
  • En remplissant ses obligations en vertu des paragraphes a) et b), l'importateur de données se conforme aux instructions de l'exportateur de données.

Article 11

Redresser

  • L'importateur de données informe les personnes concernées dans un format transparent et facilement accessible, par le biais d'un avis individuel ou sur son site web, d'un point de contact autorisé à traiter les plaintes. Il traite rapidement toute plainte qu'il reçoit d'une personne concernée.
  • En cas de litige entre une personne concernée et l'une des parties en ce qui concerne le respect des présentes clauses, cette partie fera ses meilleurs efforts pour résoudre le problème à l'amiable en temps voulu. Les parties se tiennent mutuellement informées de ces litiges et, le cas échéant, coopèrent à leur résolution.
    • déposer une plainte auprès de l'autorité de surveillance de l'État membre de sa résidence habituelle ou de son lieu de travail, ou auprès de l'autorité de surveillance compétente conformément à la clause 13 ;
    • soumettre le litige aux tribunaux compétents au sens de la clause 18.
  • Lorsque la personne concernée invoque un droit de tiers bénéficiaire conformément à la clause 3, l'importateur de données accepte la décision de la personne concernée de :
  • Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions prévues à l'article 80, paragraphe 1, du règlement (UE) 2016/679.
  • L'importateur de données doit se conformer à une décision qui est contraignante en vertu de la législation de l'UE ou de l'État membre applicable.
  • L'importateur de données convient que le choix effectué par la personne concernée ne portera pas atteinte à ses droits substantiels et procéduraux de demander des réparations conformément aux lois applicables.

Article 12

Responsabilité

  • Chaque Partie sera responsable envers l'autre Partie pour tout dommage qu'elle cause à l'autre Partie par toute violation de ces Clauses.
  • L'importateur de données est responsable envers la personne concernée, et la personne concernée a le droit d'être indemnisée, pour tout dommage matériel ou immatériel que l'importateur de données ou son sous-traitant ultérieur cause à la personne concernée en violant les droits du tiers bénéficiaire en vertu des présentes clauses.
  • Nonobstant le paragraphe (b), l'exportateur de données est responsable envers la personne concernée, et la personne concernée est en droit de recevoir une indemnisation, pour tout dommage matériel ou immatériel que l'exportateur de données ou l'importateur de données (ou son sous-traitant ultérieur) cause à la personne concernée en violant les droits du tiers bénéficiaire en vertu des présentes clauses. Ceci est sans préjudice de la responsabilité de l'exportateur de données et, lorsque l'exportateur de données est un sous-traitant agissant pour le compte d'un responsable du traitement, de la responsabilité du responsable du traitement en vertu du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas.
  • Les parties conviennent que si l'exportateur de données est tenu responsable, en vertu du paragraphe ©, des dommages causés par l'importateur de données (ou son sous-traitant ultérieur), il aura le droit de réclamer à l'importateur de données la partie de l'indemnisation correspondant à la responsabilité de l'importateur de données pour les dommages.
  • Lorsque plus d'une Partie est responsable de tout dommage causé à la personne concernée à la suite d'une violation des présentes clauses, toutes les parties responsables sont conjointement et solidairement responsables et la personne concernée a le droit d'intenter une action en justice contre l'une de ces parties.
  • Les Parties conviennent que si une Partie est tenue responsable en vertu du paragraphe (e), elle aura le droit de réclamer à l'autre/aux autres Partie(s) la partie de l'indemnisation correspondant à sa/leur responsabilité dans le dommage.
  • L'importateur de données ne peut pas invoquer la conduite d'un sous-traitant pour éviter sa propre responsabilité.

Article 13

Surveillance

  • Lorsque l'exportateur de données est établi dans un État membre de l'UE : L'autorité de contrôle chargée de garantir le respect par l'exportateur de données duRèglement (UE) 2016/679 en ce qui concerne le transfert de données, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente. L'importateur de données accepte de se soumettre à la juridiction de l'autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à assurer le respect des présentes clauses. En particulier, l'importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l'autorité de contrôle, y compris les mesures correctives et compensatoires. Il fournit à l'autorité de contrôle une confirmation écrite que les mesures nécessaires ont été prises.
  • L'importateur de données accepte de se soumettre à la juridiction de l'autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à assurer le respect des présentes clauses. En particulier, l'importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l'autorité de contrôle, y compris les mesures correctives et compensatoires. Il fournit à l'autorité de contrôle une confirmation écrite que les mesures nécessaires ont été prises.

Section 3- Lois et obligations locales en cas d'accès par les autorités publiques

Article 14

Lois et pratiques locales affectant le respect des Clauses

  • Les Parties garantissent qu'elles n'ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l'importateur de données, y compris les exigences de divulgation des données à caractère personnel ou les mesures autorisant l'accès par les autorités publiques, empêchent l'importateur de données de remplir ses obligations en vertu des présentes Clauses. Il est entendu que les lois et pratiques qui respectent l'essence des droits et libertés fondamentaux et n'excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l'un des objectifs énumérés à l'article 23, paragraphe 1, du règlement (UE) 2016/679, ne sont pas en contradiction avec les présentes Clauses.
  • Les Parties déclarent qu'en fournissant la garantie prévue au paragraphe (a), elles ont dûment tenu compte, en particulier, des éléments suivants :
    • les circonstances spécifiques du transfert, y compris la longueur de la chaîne de traitement, le nombre d'acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données personnelles transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées ;
    • les lois et pratiques du pays tiers de destination - y compris celles qui exigent la divulgation des données aux autorités publiques ou qui autorisent l'accès par ces autorités - pertinentes à la lumière des circonstances spécifiques du transfert, et les limitations et garanties applicables ;
    • les lois et pratiques du pays tiers de destination - y compris celles qui exigent la divulgation des données aux autorités publiques ou qui autorisent l'accès par ces autorités - pertinentes à la lumière des circonstances spécifiques du transfert, et les limitations et garanties applicables ;
  • L'importateur de données garantit que, dans le cadre de l'évaluation prévue au paragraphe b), il a fait de son mieux pour fournir à l'exportateur de données les informations pertinentes et accepte de continuer à coopérer avec l'exportateur de données pour assurer le respect des présentes clauses
  • Les parties conviennent de documenter l'évaluation prévue au paragraphe b) et de la mettre à la disposition de l'autorité de surveillance compétente sur demande.
  • L'importateur de données accepte d'informer rapidement l'exportateur de données si, après avoir accepté les présentes clauses et pendant la durée du contrat, il a des raisons de croire qu'il est ou est devenu soumis à des lois ou des pratiques non conformes aux exigences du paragraphe a), y compris à la suite d'un changement dans les lois du pays tiers ou d'une mesure (telle qu'une demande de divulgation) indiquant une application de ces lois dans la pratique qui n'est pas conforme aux exigences du paragraphe a).
  • À la suite d'une notification en vertu du paragraphe (e), ou si l'exportateur de données a d'autres raisons de croire que l'importateur de données ne peut plus remplir ses obligations en vertu des présentes clauses, l'exportateur de données identifie rapidement les mesures appropriées (par exemple, des mesures techniques ou organisationnelles pour garantir la sécurité et la confidentialité) à adopter par l'exportateur de données et/ou l'importateur de données pour remédier à la situation. L'exportateur de données suspend le transfert de données s'il considère qu'aucune garantie appropriée pour ce transfert ne peut être assurée, ou si l'autorité de contrôle compétente lui a demandé de le faire. Dans ce cas, l'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement des données à caractère personnel en vertu des présentes clauses. Si le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, sauf si les parties en ont convenu autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 16, points d) et e), s'applique.

Article 15

Obligations de l'importateur de données en cas d'accès par les autorités publiques

    • Notification

      • L'importateur de données accepte de notifier rapidement (si nécessaire avec l'aide de l'exportateur de données) à l'exportateur de données et, si possible, à la personne concernée, s'il :
        • reçoit une demande juridiquement contraignante d'une autorité publique, y compris les autorités judiciaires, en vertu des lois du pays de destination pour la divulgation de données à caractère personnel transférées conformément aux présentes clauses ; cette notification comprendra des informations sur les données à caractère personnel demandées, l'autorité requérante, la base juridique de la demande et la réponse fournie ; ou
        • a connaissance d'un accès direct des autorités publiques aux données à caractère personnel transférées en vertu des présentes clauses conformément aux lois du pays de destination ; cette notification doit inclure toutes les informations dont dispose l'importateur.
      • S'il est interdit à l'importateur de données de notifier l'exportateur de données et/ou la personne concernée en vertu des lois du pays de destination, l'importateur de données accepte de faire ses meilleurs efforts pour obtenir une dérogation à l'interdiction, en vue de communiquer autant d'informations que possible, dans les meilleurs délais. L'importateur de données accepte de documenter ses meilleurs efforts afin d'être en mesure de les démontrer sur demande de l'exportateur de données
      • Lorsque les lois du pays de destination le permettent, l'importateur de données accepte de fournir à l'exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d'informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, la ou les autorités requérantes, si les demandes ont été contestées et l'issue de ces contestations, etc.).
      • L'importateur de données accepte de conserver les informations visées aux paragraphes a) à © pendant toute la durée du contrat et de les mettre à la disposition de l'autorité de contrôle compétente sur demande.
      • Les paragraphes (a) à © sont sans préjudice de l'obligation de l'importateur de données, en vertu de la clause 14(e) et de la clause 16, d'informer rapidement l'exportateur de données lorsqu'il n'est pas en mesure de se conformer à ces clauses.
    • Examen de légalité et minimisation des données

      • L'importateur de données accepte d'examiner la légalité de la demande de divulgation, en particulier si elle reste dans les limites des pouvoirs accordés à l'autorité publique requérante, et de contester la demande si, après une évaluation minutieuse, il conclut qu'il existe des motifs raisonnables de considérer que la demande est illégale au regard des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L'importateur de données doit, dans les mêmes conditions, exercer des voies de recours. Lorsqu'il conteste une demande, l'importateur de données demande des mesures provisoires en vue de suspendre les effets de la demande jusqu'à ce que l'autorité judiciaire compétente ait statué sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu'il n'est pas tenu de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations de l'importateur de données en vertu de la clause 14, point e).
      • L'importateur de données accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure où les lois du pays de destination le permettent, de mettre cette documentation à la disposition de l'exportateur de données. Il la met également à la disposition de l'autorité de contrôle compétente sur demande.
      • L'importateur de données accepte de fournir la quantité minimale d'informations autorisée lorsqu'il répond à une demande de divulgation, sur la base d'une interprétation raisonnable de la demande.

Section 4 — Dispositions finales

Article 16

Non-respect des Clauses et résiliation

  • L'importateur de données informe immédiatement l'exportateur de données s'il n'est pas en mesure de suivre ces instructions.
  • Si l'importateur de données ne respecte pas les présentes clauses ou n'est pas en mesure de les respecter, l'exportateur de données suspendra le transfert de données à caractère personnel à l'importateur de données jusqu'à ce que la conformité soit à nouveau assurée ou que le contrat soit résilié. Cette disposition est sans préjudice de la clause 14 (f)
  • L'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement des données personnelles en vertu des présentes clauses, lorsque :
    • L'importateur de données informe immédiatement l'exportateur de données s'il n'est pas en mesure de suivre ces instructions.
    • Si l'importateur de données ne respecte pas les présentes clauses ou n'est pas en mesure de les respecter, l'exportateur de données suspendra le transfert de données à caractère personnel à l'importateur de données jusqu'à ce que la conformité soit à nouveau assurée ou que le contrat soit résilié. Cette disposition est sans préjudice de la clause 14 (f)
    • L'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement des données personnelles en vertu des présentes clauses, lorsque :
  • Dans ces cas, il informe l'autorité de contrôle compétente de ce non-respect. Lorsque le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, sauf si les parties en ont convenu autrement.
  • Les données personnelles qui ont été transférées avant la résiliation du contrat conformément au paragraphe © doivent, au choix de l'exportateur de données, être immédiatement restituées à l'exportateur de données ou supprimées dans leur intégralité. Il en va de même pour toute copie des données. L'importateur de données certifie la suppression des données à l'exportateur de données. Jusqu'à ce que les données soient supprimées ou renvoyées, l'importateur de données continuera de veiller au respect des présentes clauses. En cas de lois locales applicables à l'importateur de données qui interdisent la restitution ou la suppression des données personnelles transférées, l'importateur de données garantit qu'il continuera à assurer le respect des présentes clauses et ne traitera les données que dans la mesure et pour la durée requises par cette loi locale.
  • Chaque partie peut révoquer son accord d'être liée par les présentes clauses lorsque (i) la Commission européenne adopte une décision conformément à l'article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s'appliquent ; ou (ii) le règlement (UE) 2016/679 devient partie intégrante du cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations s'appliquant au traitement en question en vertu du Règlement (UE) 2016/679.

Article 17

Loi gouvernementale

Ces clauses sont régies par la loi de l'un des États membres de l'UE, à condition que cette législation autorise les droits de tiers bénéficiaires. Les parties conviennent que ce sera la loi irlandaise.

Article 18

Choix de forum et juridiction

  • Tout litige découlant des présentes clauses sera résolu par les tribunaux d'un État membre de l'UE
  • Les Parties conviennent qu'il s'agira des tribunaux en Irlande.
  • Une personne concernée peut également intenter une action en justice contre l'exportateur de données et/ou l'importateur de données devant les tribunaux de l'État membre dans lequel elle a sa résidence habituelle.
  • Les Parties conviennent de se soumettre à la juridiction de tel tribunaux

Annexe

Annexe I

A. Liste des parties

EXPORTATEUR DE DONNÉES (CLIENT)
IMPORTATEUR DE DONNÉES (TAXDOME)
NOM DE L'ENTREPRISE
TaxDome, LLC
ADRESSE
1178 Broadway, New York, NY 10001
NOM DE LA PERSONNE DE CONTACT,
POSTE ET COORDONNÉES
Victor Radzinsky, PDG
dpo@taxdome.com
SIGNATURE ET DATE :
RÔLE:
Contrôleur
Processeur

Activités pertinentes pour les données transférées en vertu des présentes clauses : Voir annexe I.B

B. DESCRIPTION DU TRANSFERT 

Catégories de personnes dont les données personnelles sont transférées

Les données personnelles concernent les utilisateurs finaux de nos clients.

Catégories de données personnelles transférées

La plateforme TaxDome s'adresse à une large base de clients et d'utilisateurs qui couvre l'ensemble des secteurs d'activité. TaxDome ne contrôle ni ne limite les sujets que les utilisateurs finaux de nos clients soumettent par le biais de notre outil. Compte tenu de cela, de la nature du produit et du rôle de TaxDome en tant que processeur, il n'est pas possible de dresser une liste absolue des catégories de données ingérées et traitées.

Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme par exemple une stricte limitation de la finalité, des restrictions d'accès (y compris l'accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre des accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.

TaxDome traite des données qui peuvent inclure, sans s'y limiter, les catégories particulières de données suivantes : données relatives à la santé, données génétiques, origine raciale et ethnique, orientation et/ou habitudes sexuelles, opinions politiques, affiliation ou croyances religieuses, appartenance à des organisations non politiques ou non syndicales, condamnations pénales et délits.

La fréquence du transfert (par exemple, si les données sont transférées sur sur une base ponctuelle ou continue).

Les données personnelles sont ingérées de manière continue.

Nature du traitement

Les données personnelles sont ingérées par l'utilisation quotidienne de la plateforme. Les données peuvent être saisies manuellement par les clients de TaxDome ou de manière automatisée par les collectes de logs sur la plateforme. Les données sont stockées dans la base de données de production de TaxDome.

Finalité(s) du transfert et du traitement ultérieur des données

Les données personnelles sont traitées dans le but de fournir le service TaxDome et de soutenir le site web TaxDome et les services de la plateforme.

La période pendant laquelle les données personnelles seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période

L'objet et la durée du traitement des données personnelles sont définis dans les Conditions d'utilisation.

Pour les transferts aux (sous-)traitants, précisez également l'objet, la nature et la durée du traitement

TaxDome fait appel à des sous-traitants en ligne à l'adresse https://www.taxdome.com/policies/sub-processors/ pour fournir des services à ses clients. La liste précise l'objet et la nature des activités de traitement effectuées par les sous-traitants de TaxDome et le mécanisme de transfert de données applicable.

C. AUTORITÉ DE SURVEILLANCE COMPÉTENTE

Identifier l'autorité ou les autorités de surveillance compétentes conformément à la clause 13

Emplacement de l'exportateur de données/du représentant de l'exportateur de données dans l'UE/Emplacement de la plus grande base de clients de l'exportateur de données

Annexe II

MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES POUR ASSURER LA SÉCURITÉ DES DONNÉES

Description des mesures techniques et organisationnelles mises en œuvre par le ou les importateurs de données (y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

Les mesures techniques et organisationnelles prises par TaxDome pour protéger les données personnelles transférées en dehors de l'EEE vers un pays non adéquat sont publiées et disponibles à l'adresse suivante : https://www.taxdome.com/policies/security/