CONSIDÉRANT :
A. Le Client agit en tant que Contrôleur de Données.
B. Le Client souhaite sous-traiter certains Services, impliquant le traitement de données personnelles, à Zonos en tant que Processeur.
C. Les Parties cherchent à mettre en place une DPA conforme aux exigences du cadre juridique actuel en matière de traitement des données et au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la Directive 95/46/CE (Règlement Général sur la Protection des Données).
D. Les Parties souhaitent définir leurs droits et obligations.
Cette DPA inclut et intègre par référence les annexes et avenants mentionnés en bas de ce document. Tous les termes en majuscules non définis dans cette DPA auront la signification définie dans l'Accord Principal.
Les parties conviennent comme suit:
1. Définitions
Sauf définition contraire dans le présent accord de traitement des données (DPA), les termes et expressions en majuscules utilisés dans ce DPA auront la signification suivante :
-
"Sous-traitant contracté" signifie un sous-traitant ;
-
"Lois sur la protection des données" signifie les lois de l'Union européenne sur la protection des données et, dans la mesure où cela est applicable, les lois sur la protection des données ou la vie privée de tout autre pays ;
-
"Transfert de données" signifie :
- Un transfert de données personnelles du Client à un sous-traitant contracté ; ou
- Un transfert ultérieur de données personnelles d'un sous-traitant contracté à un sous-traitant sous-traité, ou entre deux établissements d'un sous-traitant contracté, dans chaque cas, lorsque ledit transfert serait interdit par les lois sur la protection des données (ou par les termes des accords de transfert de données mis en place pour répondre aux restrictions de transfert de données des lois sur la protection des données) ;
-
"DPA" signifie le présent accord de traitement des données et tous les annexes ;
-
"EEE" signifie l'Espace économique européen ;
-
"Lois de l'Union européenne sur la protection des données" signifie la directive 95/46/CE de l'Union européenne, telle que transposée dans la législation nationale de chaque État membre et telle que modifiée, remplacée ou abrogée de temps à autre, y compris par le RGPD et les lois mettant en œuvre ou complétant le RGPD ;
-
"RGPD" signifie le Règlement général sur la protection des données de l'Union européenne 2016/679 ;
-
"Données personnelles" signifie toutes les données personnelles traitées par un sous-traitant contracté pour le compte du Client en vertu de l'accord principal ou en relation avec celui-ci ;
-
"Services" signifie tout produit ou service fourni par Zonos au Client en vertu de l'accord principal et tel que plus particulièrement décrit dans l'accord principal ;
-
"Sous-traitant" signifie tout sous-traitant nommé par ou pour le compte de Zonos pour traiter des données personnelles pour le compte du Client dans le cadre du DPA.
-
Les termes "Responsable du traitement", "Personne concernée", "État membre", "Données personnelles", "Violation de données à caractère personnel" et "Traitement" ont la même signification que dans le RGPD et leurs termes apparentés seront interprétés en conséquence.
2. Obligations du Client
-
Conformité aux lois.
- Dans le cadre du DPA et dans l'utilisation des Services, le Client convient de se conformer à ses obligations en tant que Responsable du traitement en vertu des lois sur la protection des données dans le traitement des données personnelles et dans les instructions de traitement qu'il adresse à Zonos.
- Le Client a informé et obtenu (ou obtiendra) tous les consentements et droits nécessaires en vertu des lois sur la protection des données pour que Zonos traite les données personnelles et fournisse les Services conformément à l'accord principal et à ce DPA.
-
Instructions du Responsable du traitement. Les Parties conviennent que l'accord principal (y compris ce DPA), ainsi que l'utilisation par le Client des Services de Zonos conformément à l'accord principal, constituent les instructions complètes et définitives du Client à Zonos en ce qui concerne le traitement des données personnelles, et des instructions supplémentaires en dehors du champ des instructions nécessiteront un accord écrit préalable entre le Client et Zonos.
3. Obligations de Zonos
-
Conformité aux lois. Dans le cadre du DPA et dans l'utilisation des Services, Zonos doit :
- Être responsable de se conformer à toutes les lois applicables sur la protection des données en tant que sous-traitant dans le traitement des données personnelles ; et
- Ne pas traiter les données personnelles du Client autrement que sur les instructions documentées du Client.
-
Personnel de Zonos. Zonos doit prendre des mesures raisonnables pour garantir la fiabilité de tout employé, agent ou entrepreneur qui pourrait avoir accès aux données personnelles, en veillant dans chaque cas à ce que l'accès soit strictement limité aux personnes qui ont besoin de connaître / accéder aux données personnelles pertinentes, strictement nécessaire aux fins de l'accord principal, et pour se conformer aux lois applicables dans le cadre des obligations de ce personnel envers le sous-traitant contracté, en veillant à ce que toutes ces personnes soient soumises à des engagements de confidentialité ou à des obligations de confidentialité professionnelles ou légales.
-
Sécurité.
- Compte tenu de l'état de l'art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, Zonos doit, en ce qui concerne les données personnelles, mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté à ce risque, y compris, le cas échéant, les mesures visées à l'article 32(1) du RGPD.
- En évaluant le niveau de sécurité approprié, Zonos doit tenir compte des risques présentés par le traitement, en particulier d'une violation de données à caractère personnel.
-
Sous-traitance. Zonos ne doit pas nommer (ou divulguer des données personnelles à) un sous-traitant sans que cela soit requis ou autorisé par le Client.
-
Droits des personnes concernées.
-
Compte tenu de la nature du traitement, Zonos doit aider le Client en mettant en œuvre des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l'accomplissement des obligations de Zonos, telles que raisonnablement comprises par Zonos, pour répondre aux demandes d'exercice des droits des personnes concernées en vertu des lois sur la protection des données.
-
Zonos s'engage à :
- Informer rapidement le Client s'il reçoit une demande d'une personne concernée en vertu de toute loi sur la protection des données concernant des données personnelles ; et
- Veiller à ne pas répondre à cette demande sauf sur les instructions documentées du Client ou si cela est requis par les lois applicables auxquelles Zonos est soumis, auquel cas Zonos informera le Client de cette exigence légale avant que le sous-traitant contracté ne réponde à la demande, dans la mesure permise par les lois applicables.
-
-
Violation de données à caractère personnel.
- Zonos doit informer le Client sans délai indu dès que Zonos a connaissance d'une violation de données à caractère personnel affectant des données personnelles, en fournissant au Client des informations suffisantes pour lui permettre de satisfaire à toute obligation de notification ou d'information des personnes concernées de la violation de données à caractère personnel en vertu des lois sur la protection des données.
- Zonos doit coopérer avec le Client et prendre des mesures commerciales raisonnables telles que dirigées par le Client pour aider à l'enquête, à l'atténuation et à la remédiation de chaque violation de données à caractère personnel.
-
Évaluation de l'impact sur la protection des données et consultation préalable. Zonos doit fournir une assistance raisonnable au Client pour toute évaluation de l'impact sur la protection des données et toute consultation préalable avec les autorités de contrôle ou autres autorités compétentes en matière de protection des données, que le Client considère raisonnablement comme étant nécessaire en vertu de l'article 35 ou 36 du RGPD ou des dispositions équivalentes de toute autre loi sur la protection des données, uniquement en relation avec le traitement des données personnelles par, et en tenant compte de la nature du traitement et des informations disponibles pour, les sous-traitants contractés.
-
Restitution ou suppression des données. À la désactivation ou à la résiliation des Services, toutes les données personnelles doivent être supprimées, sauf si Zonos est tenu par la loi applicable de conserver tout ou partie des données personnelles, ou s'il s'agit de données personnelles archivées sur des systèmes de sauvegarde, que Zonos isolera et protégera de tout traitement ultérieur, sauf dans la mesure requise par la loi applicable.
-
Rapports de sécurité. Zonos doit conserver des enregistrements de ses normes de sécurité. À la demande écrite du Client, Zonos doit fournir des réponses (de manière confidentielle) à toutes les demandes raisonnables d'informations formulées par le Client, y compris des réponses à des questionnaires sur la sécurité de l'information et les audits, que le Client (agissant de manière raisonnable) estime nécessaires pour confirmer la conformité de Zonos à ce DPA, à condition que le Client n'exerce pas ce droit plus d'une fois par an.
-
Transfert de données. Le Client reconnaît et accepte que Zonos peut accéder et traiter des données personnelles à l'échelle mondiale si nécessaire pour fournir les Services conformément à l'accord principal, et en particulier que les données personnelles seront transférées à Zonos aux États-Unis et dans d'autres juridictions où les sous-traitants de Zonos ont des activités. Zonos veillera à ce que de tels transferts soient effectués en conformité avec les exigences des lois sur la protection des données, y compris la conformité avec les clauses contractuelles types approuvées par l'UE pour le transfert de données personnelles.
-
Dispositions supplémentaires pour les informations personnelles de Californie.
-
Cette Section 11 s'appliquera uniquement aux informations personnelles de Californie.
-
Lors du traitement des informations personnelles de Californie conformément aux instructions du Client, les Parties reconnaissent et conviennent que le Client est une entreprise et que Zonos est un prestataire de services aux fins de la CCPA.
-
Les Parties conviennent que Zonos traitera les informations personnelles de Californie en tant que prestataire de services strictement dans le but d'exécuter les Services en vertu de l'accord principal. Zonos utilise les données de service à des fins légitimes propres conformément à la Politique de confidentialité de Zonos. Les Parties conviennent que Zonos ne doit pas faire ce qui suit :
- Vendre des informations personnelles de Californie (telles que définies dans la CCPA) ;
- Conserver, utiliser ou divulguer des informations personnelles de Californie à des fins commerciales autres que pour l'objectif commercial ou tel que permis par la CCPA ; ou
- Conserver, utiliser ou divulguer des informations personnelles de Californie en dehors de la relation commerciale directe entre le Client et Zonos.
-
Zonos certifie qu'il comprendra et se conformera aux restrictions énoncées à la Section 11(c).
-
4. Clauses générales
-
Confidentialité. Chaque Partie doit garder cet accord et les informations qu'elle reçoit sur l'autre Partie et son activité dans le cadre de ce DPA (« Informations confidentielles ») confidentielles et ne doit pas utiliser ou divulguer ces Informations confidentielles sans le consentement écrit préalable de l'autre Partie, sauf dans la mesure où :
- La divulgation est requise par la loi ;
- Les informations pertinentes sont déjà dans le domaine public.
-
Notifications. Toutes les notifications et communications données en vertu de ce DPA doivent être faites par écrit et seront remises en personne, envoyées par courrier ou par courrier électronique à l'adresse ou à l'adresse électronique indiquée en en-tête de ce DPA à une autre adresse notifiée de temps à autre par les Parties changeant d'adresse.
5. Droit applicable et juridiction
Ce DPA est régi par les lois et les dispositions de juridiction de l'accord principal, sauf disposition contraire des lois sur la protection des données.
Annexe A. Liste des sous-traitants de Zonos
Disponible sur demande
Annexe B. Mesures de sécurité
Disponible sur demande
Accord de Traitement des Données de Zonos
Cet Accord de Traitement des Données ("DPA") sert d'annexe aux Conditions de Service et à la Politique de Confidentialité de Zonos ("Accord Principal") entre iGlobal Exports, LLC, DBA Zonos ("Zonos") et le Client ("Client"), (ensemble les "Parties").