Contrat de traitement des données PageMind (DPA)
Dernière mise à jour : 2025-12-08
(DPA – RGPD ARTICLE 28)
Le présent accord de traitement des données (« DPA ») fait partie et est intégré au contrat-cadre d'abonnement, aux conditions de service, au bon de commande ou à tout autre accord écrit régissant la fourniture du service PageMind entre les parties (l'« accord principal »).
ENTRE :
Le client identifié comme tel dans le Contrat Principal (« Client » ou « Responsable du traitement ») ; et
INAI, société par actions simplifiée à associé unique (SASU) ayant son siège social au 142 rue d'Iéna, app. 21, 59000 Lille, France (« inAi », « Sous-traitant », « nous », « notre »),
chacun une « Partie » et ensemble les « Parties ».
CONSIDÉRANT QUE :
(A) Le Client agit en tant que responsable du traitement (ou, le cas échéant, en tant que sous-traitant pour le compte d'un responsable du traitement tiers) de certaines Données personnelles ; (B) Le Sous-traitant fournit le logiciel en tant que service PageMind ainsi que les services d'assistance et professionnels associés, dans le cadre desquels le Sous-traitant traitera les Données personnelles au nom du Client ; et (C) Les parties cherchent à mettre en œuvre un accord de traitement de données qui satisfait aux exigences de l'article 28 du RGPD et des autres lois applicables sur la protection des données.
PAR CONSÉQUENT, les parties conviennent de ce qui suit.
1. DÉFINITIONS ET INTERPRÉTATION
1.1 Dans le présent DPA, les termes suivants auront la signification indiquée ci-dessous :
(a) « Loi applicable sur la protection des données » désigne toutes les lois et réglementations sur la protection des données et la confidentialité applicables au traitement effectué dans le cadre du présent DPA, y compris, le cas échéant, le RGPD et toute législation nationale d'application ou supplémentaire, telle que modifiée de temps à autre.
(b) « Responsable du traitement », « Sous-traitant », « Données personnelles », « Personne concernée », « Traitement », « Violation de données à caractère personnel », « Autorité de contrôle » et « Pays tiers » ont la signification qui leur est donnée dans le RGPD.
(c) ** « Données personnelles du client » ** désigne toutes les données à caractère personnel sous forme électronique qui sont téléchargées, soumises, fournies ou mises à disposition par ou au nom du client au sous-traitant, ou autrement traitées par le sous-traitant au nom du client, en relation avec le service PageMind en vertu de l'accord principal.
(d) « EEE » désigne l'Espace économique européen (à savoir les États membres de l'Union européenne de temps à autre, ainsi que l'Islande, le Liechtenstein et la Norvège).
(e) « Service PageMind » désigne l'automatisation des opérations de catalogue et l'offre de logiciel en tant que service associée de marque « PageMind » (y compris le module de conformité Verify.UE et toute autre fonctionnalité de marque PageMind) fournie par le Sous-traitant au Client dans le cadre du Contrat principal, y compris le support et la maintenance associés.
(f) « Sous-traitant secondaire » désigne un autre sous-traitant engagé par le Sous-traitant pour effectuer des activités de traitement spécifiques au nom du Client dans le cadre du Service PageMind.
(g) « Clauses contractuelles types » désigne les clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 adopté par la Commission européenne dans la décision d'exécution (UE) 2021/914 du 4 juin 2021 (y compris toute décision qui lui succède), tel que modifié, remplacé ou remplacé de temps à autre.
(h) « Mesures techniques et organisationnelles » désigne les mesures techniques et organisationnelles mises en œuvre par le sous-traitant pour protéger les données à caractère personnel du client conformément à la clause 7 et à l'annexe 2 du présent DPA.
1.2 Les termes en majuscules non définis autrement dans le présent DPA auront le sens qui leur est donné dans l'accord principal.
1.3 En cas de conflit ou d'ambiguïté entre une disposition du présent DPA et toute disposition de l'accord principal, la disposition du présent DPA prévaudra dans la mesure de ce conflit en ce qui concerne le traitement des données à caractère personnel du client.
1.4 Les références à une loi ou à une disposition statutaire incluent toutes les lois et directives subordonnées formulées en vertu de cette loi ou de cette disposition, ainsi que toutes les modifications ou remplacements de celles-ci de temps à autre.
2. PORTÉE, OBJET ET DURÉE
2.1 Le présent DPA régit le traitement par le sous-traitant des données à caractère personnel du client au nom du client dans le cadre de la fourniture du service PageMind en vertu de l'accord principal.2.2 L'objet du traitement est les données à caractère personnel du client décrites à l'article 4 et à l'annexe 1 du présent DPA.
2.3 La durée du traitement sera la durée de l'accord principal, sauf disposition contraire de la loi applicable sur la protection des données ou expressément convenue par écrit par les parties, et comprendra toute période de conservation limitée après la résiliation spécifiée à la clause 12 et à l'annexe 2 pour les sauvegardes et les journaux.
2.4 Rôles. Ce DPA s'applique uniquement au traitement dans lequel le sous-traitant agit en tant que sous-traitant (ou sous-traitant secondaire) au nom du client. Cela inclut le traitement du contenu des données client (par exemple, les fichiers des fournisseurs, les attributs des produits) pour la fourniture du service PageMind.
Statut de responsable du traitement indépendant : Le sous-traitant agit en tant que responsable du traitement indépendant uniquement en ce qui concerne : (a) Gestion des comptes, facturation et administration des contrats ; et (b) Le traitement des Données de service (telles que définies dans le Contrat principal), telles que les journaux techniques, la télémétrie et les mesures d'utilisation, à des fins de sécurité, de prévention de la fraude et d'amélioration des produits.
Pour éviter tout doute, le sous-traitant n'agira pas en tant que responsable du traitement concernant le contenu des données client à moins que ces données n'aient été entièrement anonymisées de sorte qu'elles ne constituent plus des données à caractère personnel.
3. NATURE ET FINALITES DU TRAITEMENT
3.1 Le Sous-traitant doit traiter les données à caractère personnel du client uniquement aux fins suivantes, dans la mesure strictement nécessaire :
(a) fournir, exploiter et maintenir le service PageMind au client conformément au contrat principal, notamment :
(i) ingérer et lire des fichiers fournis par ou au nom du Client ; (ii) extraire, structurer, transformer, traduire, normaliser et autrement traiter les informations contenues dans ces fichiers ; (iii) générer des résultats structurés prêts à être catalogués, des fichiers d'assurance qualité, des listes de nouvelles tentatives et des packs de conformité/preuves ; et (iv) fournir des tableaux de bord, des journaux et des rapports associés ;
(b) pour fournir des services d'assistance, répondre aux incidents, résoudre les bogues et résoudre les problèmes de performances liés au service PageMind ;
(c) mettre en œuvre, surveiller et améliorer la sécurité de l'information, y compris la détection et la prévention des abus, des menaces ou des incidents de sécurité ;
(d) générer et utiliser des statistiques et mesures agrégées dérivées du traitement des données à caractère personnel des clients à des fins statistiques, analytiques, d'amélioration du service, d'analyse comparative et de recherche, à condition que : (i) ces sorties sont anonymisées de manière irréversible, de sorte qu'elles ne constituent plus des données à caractère personnel ; et (ii) Le sous-traitant n'utilise pas les données à caractère personnel du client pour former ou améliorer les capacités de génération de contenu de tout modèle AI partagé avec des tiers ou d'autres clients ; et
(e) pour se conformer aux obligations légales auxquelles le Sous-traitant est soumis et pour répondre aux demandes légales des autorités publiques, lorsque ces obligations ou demandes concernent le Traitement en vertu du présent DPA.
3.2 La nature du traitement des données à caractère personnel du client par le sous-traitant comprend, le cas échéant : la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, l'alignement ou la combinaison, l'analyse, la traduction, la pseudonymisation, la restriction, l'effacement et la destruction, si nécessaire pour atteindre les objectifs décrits à la clause 3.1.
3.3 Le sous-traitant ne doit pas traiter les données à caractère personnel du client à des fins autres que celles autorisées par le présent DPA, sauf si la loi de l'Union ou d'un État membre l'exige ; dans un tel cas, le Sous-traitant informera le Client de cette exigence légale avant le Traitement, à moins que cette loi n'interdise de telles informations pour des motifs importants d'intérêt public.
4. CATÉGORIES DE PERSONNES CONCERNÉES ET DONNÉES PERSONNELLES
4.1 Les catégories de personnes concernées dont les données à caractère personnel peuvent être traitées dans le cadre du présent DPA comprennent généralement, dans la mesure où elles sont incluses dans les fichiers ou les données que le client fournit au service PageMind :(a) les employés, sous-traitants, représentants ou personnes de contact du Client ; (b) les employés, sous-traitants, représentants ou personnes de contact des fournisseurs, marques, fabricants, distributeurs et autres partenaires commerciaux du Client ; (c) les personnes dont les noms ou coordonnées peuvent apparaître incidemment dans les documents fournis à PageMind (par exemple, auteurs, signataires ou points de contact sur les fiches produits ou les contrats) ; et (d) toute autre personne concernée dont le client choisit d'inclure les données à caractère personnel dans les documents téléchargés ou autrement mis à disposition sur le service PageMind.
4.2 Les types de données à caractère personnel du client traitées dans le cadre du présent DPA peuvent inclure, dans la mesure contenues dans les documents d'entrée du client :
(a) les données d'identification et de contact (telles que le nom, le titre du poste, le rôle, l'employeur, l'adresse e-mail professionnelle, le numéro de téléphone professionnel, l'adresse postale) ; (b) les données organisationnelles (telles que le département, la région, l'unité commerciale, le rôle au sein de l'organisation du fournisseur ou du client) ; (c) les identifiants électroniques intégrés dans les documents (tels que les noms d'utilisateur, les identifiants internes, les métadonnées de fichiers, les horodatages) ; et (d) toute autre donnée personnelle que le client choisit de soumettre au service PageMind dans des champs de texte libre, des contenus de fichiers ou des modèles.
4.3 Les Parties ne prévoient pas que le Client soumettra délibérément des Catégories particulières de Données personnelles (telles que des données révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, les données génétiques, les données biométriques permettant d'identifier de manière unique une personne physique, les données concernant la santé ou les données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique) ni les Données personnelles relatives aux condamnations pénales et aux infractions liées au Service PageMind.
4.4 Le client est seul responsable de s'assurer que :
(a) Le Client n'inclut pas intentionnellement des catégories spéciales de données à caractère personnel ou des données de condamnation pénale dans les documents téléchargés sur le service PageMind, sauf lorsque cela est strictement nécessaire et sous réserve de garanties appropriées et d'un accord documenté entre les parties ;
(b) L'utilisation par le Client du Service PageMind est configurée de manière à éviter l'inclusion inutile de Données personnelles (par exemple, en supprimant ou en supprimant les blocs de contacts personnels des documents du fournisseur lorsque cela est possible) ; et
(c) lorsque le Client soumet néanmoins des Catégories Spéciales de Données Personnelles ou des données de condamnation pénale, le Client a établi une base juridique appropriée et se conforme à toutes les exigences supplémentaires en vertu de la Loi Applicable sur la Protection des Données ; et
(d) Les politiques et procédures internes du Client sont conçues pour empêcher l'inclusion de catégories spéciales de données à caractère personnel ou de données de condamnation pénale dans les documents du fournisseur et d'autres entrées dans le service PageMind, sauf lorsque cela est strictement nécessaire et sous réserve d'un accord documenté distinct comme décrit dans la clause 4.3, et le client doit informer rapidement le sous-traitant par écrit s'il se rend compte que ces données sont traitées sur une base plus qu'accessoire.
4.5 Le sous-traitant peut, et dans les cas appropriés doit, supprimer, pseudonymiser ou restreindre le traitement de toutes les données à caractère personnel du client qu'il estime raisonnablement être excessives, non pertinentes ou illégalement soumises au service PageMind, en particulier lorsque ces données semblent inclure des catégories spéciales de données à caractère personnel ou des données de condamnation pénale contrairement à la présente clause 4.
5. INSTRUCTIONS ET RESPONSABILITÉS DES PARTIES
5.1 Instructions documentées. Le sous-traitant doit traiter les données à caractère personnel du client uniquement :
(a) selon les instructions documentées du Client telles qu'énoncées dans le présent DPA et le Contrat principal ; et
(b) sur toute instruction documentée supplémentaire que le Client peut raisonnablement donner de temps à autre lorsque ces instructions sont conformes au Contrat principal et au présent DPA et sont techniquement réalisables.
Les Parties conviennent que la configuration et l'utilisation par le Client du Service PageMind (y compris la sélection des dossiers d'entrée, des modèles, des langues et des flux de travail) constituent des instructions documentées aux fins de ce DPA.5.2 Notification d'instructions illégales. Si le Sous-traitant considère qu'une instruction donnée par le Client enfreint la loi applicable en matière de protection des données, le Sous-traitant doit en informer le Client sans délai injustifié. Le sous-traitant n'est pas tenu de fournir des conseils juridiques. En attendant la résolution, le Sous-traitant peut suspendre le Traitement concerné. Le Client reste seul responsable de la légalité de ses instructions.
5.3 Responsabilités du client en tant que responsable du traitement. Le client sera seul responsable de :
(a) déterminer les finalités légales et bases juridiques du traitement des données à caractère personnel des clients et garantir que ce traitement est équitable, licite et transparent, y compris en ce qui concerne les transferts internationaux ;
(b) fournir toutes les notifications nécessaires aux personnes concernées et, le cas échéant, obtenir tous les consentements nécessaires ou satisfaire à d'autres conditions pour le traitement licite des données à caractère personnel du client, y compris leur transfert au sous-traitant et leurs transferts ultérieurs aux sous-traitants ultérieurs ;
(c) s'assurer que le contenu, l'exactitude, la qualité et la licéité des données à caractère personnel du client et des moyens par lesquels le client a acquis ces données à caractère personnel sont conformes à la loi applicable en matière de protection des données ;
(d) s'assurer que l'utilisation par le client du service PageMind et les instructions du client au sous-traitant ne placent pas le sous-traitant en violation de la loi applicable sur la protection des données ; et
(e) lorsque le Client agit en tant que sous-traitant pour le compte d'un responsable du traitement tiers, en s'assurant qu'il est autorisé, en vertu de son accord avec ce responsable du traitement et en vertu de la loi applicable sur la protection des données, à conclure le présent DPA et à donner les instructions contenues dans le présent document.
5.4 Aucun contrôle conjoint. Les parties reconnaissent et conviennent que, en ce qui concerne le traitement des données à caractère personnel du client dans le cadre du service PageMind, le client est le responsable du traitement (ou, le cas échéant, un sous-traitant agissant pour le compte d'un responsable du traitement tiers) et le sous-traitant est un sous-traitant uniquement. Rien dans le présent DPA ou dans l'accord principal n'est destiné à créer, ou ne doit être interprété comme créant, une relation de contrôle conjoint entre les parties.
5.5 Confiance du sous-traitant. Le sous-traitant a le droit de se fier aux déclarations et garanties données par le client dans le présent DPA et dans l'accord principal. Le Sous-traitant n'assume aucune responsabilité (dans la mesure maximale permise par la loi et sous réserve de toute limitation convenue dans le Contrat principal) pour tout Traitement effectué conformément aux instructions du Client qui entraîne une violation de la loi applicable en matière de protection des données, dans la mesure où cette violation est imputable aux actes ou omissions du Client, y compris le non-respect par le Client de la Clause 5.3.
- OBLIGATIONS DU PROCESSUER
6.1 Conformité aux instructions documentées. Le sous-traitant doit traiter les données à caractère personnel du client uniquement sur les instructions documentées du client, comme indiqué dans le présent DPA, l'accord principal et toute instruction écrite supplémentaire que le client peut raisonnablement émettre de temps à autre conformément à la clause 5.1, sauf lorsque le traitement est requis par le droit de l'Union ou de l'État membre auquel le sous-traitant est soumis. Dans un tel cas, le Sous-traitant informera le Client de cette exigence légale avant le Traitement, à moins que cette loi n'interdise de telles informations pour des motifs importants d'intérêt public.
6.2 ** Aucune autre utilisation. ** Le sous-traitant ne doit pas utiliser les données à caractère personnel du client à ses propres fins ou à celles d'un tiers, sauf : (a) dans la mesure strictement nécessaire pour exécuter le service PageMind et le support associé conformément au présent DPA et à l'accord principal ; (b) pour se conformer aux obligations légales ; ou (c) comme indiqué dans la Clause 3.1(d) en ce qui concerne les statistiques et mesures agrégées dérivées du traitement des données à caractère personnel du client qui ne permettent pas l'identification d'une personne concernée par le client ou un tiers et ne divulguent pas les secrets commerciaux du client.
6.3 Confidentialité. Le sous-traitant doit garantir que toute personne agissant sous son autorité et ayant accès aux données à caractère personnel du client, y compris les employés, agents, sous-traitants et sous-traitants :(a) est tenu à une obligation appropriée de confidentialité (qu’elle soit légale, professionnelle ou contractuelle) ; et (b) Traite les données à caractère personnel du client uniquement sur instructions du sous-traitant et, à son tour, uniquement conformément aux instructions documentées du client telles que décrites dans le présent DPA.
6.4 Enregistrements du traitement. Le sous-traitant doit conserver des enregistrements des activités de traitement effectuées pour le compte du client comme l'exige l'article 30(2) RGPD (dans la mesure applicable) et doit mettre ces enregistrements à la disposition des autorités de contrôle compétentes sur demande, comme l'exige la loi applicable sur la protection des données. Sur demande écrite raisonnable du client, le sous-traitant fournira au client des informations récapitulatives concernant ces enregistrements qui sont suffisantes pour démontrer la conformité du sous-traitant au présent DPA, sous réserve des protections de confidentialité appropriées.
6.5 Protection des données dès la conception et par défaut. Compte tenu de l'état de la technique, du coût de mise en œuvre, de la nature, de la portée, du contexte et des finalités du Traitement, ainsi que des risques plus ou moins probables et graves pour les droits et libertés des personnes physiques, le Sous-traitant mettra en œuvre des mesures techniques et organisationnelles appropriées conçues pour respecter les principes de protection des données dès la conception et par défaut, y compris des mesures visant à garantir que, par défaut, seules les Données personnelles nécessaires à chaque finalité spécifique du Traitement sont traitées.
6.6 Sécurité du traitement. Le sous-traitant doit mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque, y compris, le cas échéant, les mesures énumérées à l'annexe 2. En particulier, le sous-traitant doit :
(a) protéger les données à caractère personnel du client contre la destruction accidentelle ou illégale, la perte, l'altération, la divulgation non autorisée ou l'accès à ces données ; (b) garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement ; (c) restaurer la disponibilité et l'accès aux données à caractère personnel du client en temps opportun en cas d'incident physique ou technique, dans la mesure où ces données sont stockées par le sous-traitant ; et (d) tester, évaluer et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement.
6.7 Modifications des mesures. Le sous-traitant peut mettre à jour ou modifier les mesures techniques et organisationnelles de temps à autre, à condition que ces mises à jour ou modifications n'entraînent pas une dégradation matérielle du niveau global de sécurité et de protection accordé aux données à caractère personnel du client. Sur demande, le sous-traitant fournira une description des mesures alors en vigueur.
6.8 Utilisation de sous-traitants. Lorsque le sous-traitant engage des sous-traitants comme le permet la clause 7, le sous-traitant doit s'assurer que ces sous-traitants sont contractuellement tenus de se conformer aux obligations de protection des données qui ne sont pas moins protectrices des données à caractère personnel du client que celles imposées au sous-traitant en vertu du présent DPA, dans la mesure applicable à la nature des services fournis par le sous-traitant. Le Sous-traitant restera responsable envers le Client de la performance de ses Sous-traitants ultérieurs, comme indiqué à la Clause 7.
6.9 Assistance. Le Sous-traitant doit fournir une assistance raisonnable au Client, en tenant compte de la nature du Traitement et des informations dont il dispose, afin de permettre au Client de remplir ses obligations en vertu de la loi applicable sur la protection des données, y compris les obligations relatives à la sécurité des données, aux évaluations d'impact sur la protection des données, aux consultations préalables avec les autorités de contrôle et aux réponses aux demandes des personnes concernées, comme détaillé dans la Clause 10. Une telle assistance sera limitée à la fourniture d'informations, de documents et d'outils existants mis à disposition dans le cadre du PageMind et n'obligera pas le Sous-traitant à (i) mettre en œuvre des modifications au Service PageMind au profit d'un seul Client, (ii) effectuer des analyses manuelles ou des recherches disproportionnées dans les fichiers client non structurés, ou (iii) fournir des conseils juridiques ou réglementaires.
6.10 Restrictions de divulgation. Le sous-traitant ne doit pas divulguer les données à caractère personnel du client à un tiers, sauf :(a) aux Sous-traitants ultérieurs conformément à la Clause 7 ; (b) selon les instructions ou autorisations du Client ; ou (c) lorsque le droit de l'Union ou de l'État membre auquel le Sous-traitant est soumis l'exige, auquel cas le Sous-traitant doit (dans la mesure où la loi le permet) informer le Client de cette exigence avant de procéder à toute divulgation.
- UTILISATION DE SOUS-TRAITANTS SOUS-TRAITANTS
7.1 Autorisation générale. Le client accorde par la présente au sous-traitant une autorisation écrite générale pour engager des sous-traitants ultérieurs pour le traitement des données à caractère personnel du client en relation avec le service PageMind, sous réserve des conditions énoncées dans la présente clause 7.
7.2 Sous-traitants actuels. À la date d'entrée en vigueur du présent DPA, le sous-traitant utilise les catégories de sous-traitants décrits à l'annexe 3 aux fins qui y sont énoncées. Les entités spécifiques du sous-traitant engagé par le sous-traitant de temps à autre (y compris leurs emplacements et leurs rôles) sont identifiées dans la liste des sous-traitants alors en vigueur du sous-traitant, qui est mise à la disposition du client sur demande ou par publication à une URL notifiée au client. L'Annexe 3 et la liste des sous-traitants ultérieurs font ensemble partie du présent DPA.
7.3 Ajout ou remplacement de sous-traitants ultérieurs. Le sous-traitant peut nommer de nouveaux sous-traitants ultérieurs ou remplacer les sous-traitants existants, à condition que :
(a) Le Sous-traitant informe le Client du changement prévu (y compris le nom, l'emplacement et le rôle du Sous-traitant ultérieur) à l'avance par e-mail ou via une notification intégrée au produit ou une mise à jour publique de la liste des sous-traitants ultérieurs ; et (b) Le Client a le droit de s'opposer à une telle modification pour des motifs raisonnables et documentés liés à la protection des données à caractère personnel du Client, dans le délai d'opposition spécifié dans l'avis (qui ne doit pas être inférieur à trente (30) jours à compter de la notification, à moins qu'un délai plus court ne soit requis pour des raisons opérationnelles urgentes).
7.4 Droit d'opposition du client. Si le client s'oppose à un sous-traitant ultérieur proposé dans le délai d'objection applicable, le client doit fournir au sous-traitant une explication écrite de ses motifs raisonnables d'objection. Les Parties discuteront de bonne foi pour résoudre l’objection, notamment en :
(a) Le sous-traitant propose des mesures alternatives pour répondre à l'objection ; (b) Le Client accepte d'utiliser le Service PageMind sans l'implication du Sous-traitant concerné (par exemple en désactivant une fonctionnalité particulière) ; ou (c) lorsqu'aucune résolution n'est possible dans un délai raisonnable et que l'objection du Client est basée sur des motifs raisonnables et documentés de protection des données conformément à la Clause 7.3(b), permettant au Client de mettre fin à la partie concernée du Service PageMind sur notification écrite. Dans ce cas, le Client aura droit, comme seul et unique recours, à un remboursement au prorata de tous les frais prépayés spécifiquement pour la partie résiliée du Service PageMind pour la période postérieure à la date effective de résiliation ; aucun remboursement ne sera dû au titre des prestations déjà effectuées.
Pour éviter tout doute, si l'opposition du client à un sous-traitant ultérieur n'est pas fondée sur des motifs raisonnables et documentés en matière de protection des données, tout droit de résiliation et de remboursement sera régi exclusivement par l'accord principal, et aucun remboursement ne sera effectué en vertu de la présente clause 7.4.
7.5 Aucune violation automatique. Le client reconnaît qu'une objection adressée à un sous-traitant ultérieur peut empêcher le sous-traitant de fournir tout ou partie des fonctionnalités du service PageMind. Le Sous-traitant ne sera pas considéré comme ayant violé le Contrat principal ou le présent DPA dans la mesure où toute inexécution est causée par l'objection du Client à l'égard d'un Sous-traitant ultérieur et par le respect par le Sous-traitant de cette objection.
7.6 Déroulement des obligations. Le sous-traitant conclura un accord écrit avec chaque sous-traitant ultérieur qui impose au sous-traitant ultérieur, en substance, les mêmes obligations de protection des données que celles énoncées dans le présent DPA, en fournissant notamment des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de telle manière que le traitement réponde aux exigences de la loi applicable sur la protection des données.7.7 Responsabilité des sous-traitants. Le sous-traitant restera responsable envers le client de l'exécution de ses obligations en vertu du présent DPA, y compris lorsque ces obligations sont exécutées par un sous-traitant ultérieur, sauf dans la mesure où toute défaillance est directement imputable au client ou à des limitations imposées par le client (telles qu'une objection à un sous-traitant qui entraîne une fonctionnalité restreinte).
- TRANSFERTS INTERNATIONAUX
8.1 Lieux de traitement principaux. Le sous-traitant traitera les données à caractère personnel du client principalement dans des centres de données situés dans l’EEE et/ou dans d'autres juridictions officiellement reconnues par la Commission européenne comme offrant un niveau adéquat de protection des données en vertu de l'article 45 RGPD, dans la mesure où cela est compatible avec l'architecture du service PageMind et l'infrastructure du sous-traitant.
8.2 Transferts vers des pays tiers. Lorsque le traitement des données à caractère personnel du client implique un transfert vers un pays tiers (que ce soit par le sous-traitant ou un sous-traitant ultérieur), le sous-traitant doit veiller à ce que ce transfert ait lieu uniquement :
(a) vers un Pays tiers à l'égard duquel la Commission européenne a adopté une décision d'adéquation conformément à l'article 45 RGPD ; ou (b) conformément aux garanties appropriées conformément à l'article 46 RGPD, telles que les clauses contractuelles types, y compris toutes mesures supplémentaires qui peuvent être requises à la lumière de la jurisprudence de la Cour de justice de l'Union européenne et des orientations des autorités de contrôle ; ou (c) dans toute autre circonstance permise par le chapitre V RGPD.
8.3 Mise en œuvre de mécanismes de transfert. Lorsque les clauses contractuelles types ou d'autres garanties appropriées sont utilisées :
(a) Le Sous-traitant doit s'assurer que les Sous-traitants concernés concluent le(s) module(s) applicable(s) des Clauses contractuelles types avec le Sous-traitant ou, le cas échéant, directement avec le Client ; (b) dans la mesure où les clauses contractuelles types sont incorporées par référence dans le présent DPA ou dans l'accord principal, elles en feront partie intégrante et prévaudront en cas de conflit avec les termes du présent DPA ou de l'accord principal relatifs aux transferts internationaux ; et (c) Le sous-traitant doit, sur demande raisonnable du client, fournir des copies des mécanismes de transfert pertinents, expurgées si nécessaire pour protéger les secrets commerciaux ou autres informations confidentielles.
8.4 Modifications du cadre juridique. Si une modification légale ou réglementaire, une décision de justice ou une décision d'une autorité compétente entraîne que les mécanismes invoqués en vertu de la clause 8.2 ne garantissent plus un transfert licite des données à caractère personnel du client vers un pays tiers, le sous-traitant doit :
(a) informer rapidement le Client ; (b) déployer des efforts commercialement raisonnables pour mettre en œuvre d’autres mécanismes de transfert légaux ou des mesures supplémentaires ; et (c) lorsqu'aucune solution appropriée ne peut être mise en œuvre dans un délai raisonnable, avoir le droit de suspendre ou de mettre fin au traitement concerné et/ou à la partie concernée du service PageMind, sans que cela constitue une violation de l'accord principal ou du présent DPA. Dans ce cas, le client aura droit à un remboursement au prorata de tous les frais prépayés inutilisés pour la partie concernée comme son seul et unique recours, sans préjudice de tout droit légal obligatoire.
8.5 Instructions du client. Le client ne doit pas demander au sous-traitant de transférer les données à caractère personnel du client vers un pays tiers sans avoir au préalable vérifié que des garanties ou des dérogations appropriées sont en place en vertu de la loi applicable sur la protection des données. Dans la mesure où le Client demande au Sous-traitant de mettre en œuvre des mécanismes de transfert spécifiques ou des mesures supplémentaires au-delà de celles habituellement utilisées par le Sous-traitant, ces exigences supplémentaires doivent être convenues par écrit et peuvent être soumises à des frais supplémentaires.
- MESURES DE SÉCURITÉ ET TECHNIQUES ET ORGANISATIONNELLES9.1 Mesures de sécurité. Le sous-traitant doit mettre en œuvre et maintenir les mesures techniques et organisationnelles décrites à l'annexe 2 et toute autre mesure que le sous-traitant juge appropriée de temps à autre à la lumière de la nature du traitement, des informations traitées et des risques identifiés. Ces mesures visent à protéger les Données Personnelles des Clients contre la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés, accidentels ou illicites, et à garantir un niveau de sécurité adapté au risque.
9.2 Portée des mesures. Les mesures techniques et organisationnelles doivent inclure, le cas échéant :
(a) les contrôles d'accès physiques et logiques aux systèmes et installations de traitement ; (b) les procédures de gestion des accès, d'authentification et d'autorisation basées sur les rôles ; (c) le cryptage des données à caractère personnel du client en transit sur les réseaux publics et au repos, le cas échéant ; (d) les contrôles de sécurité du réseau, y compris la segmentation, les pare-feu et les mesures de détection ou de prévention des intrusions ; (e) la journalisation et la surveillance des accès et des actions de traitement clés, y compris les journaux d'exécution et les ensembles de preuves PageMind ; (f) les mesures de sauvegarde, de reprise après sinistre et de continuité des activités, y compris les sauvegardes régulières, les tests des procédures de restauration et les objectifs de temps de récupération définis ; (g) des procédures pour des tests et une évaluation réguliers de l'efficacité des mesures de sécurité ; et (h) des mesures visant à garantir l'intégrité et la traçabilité du traitement PageMind, y compris les empreintes digitales de configuration, le hachage des entrées et des sorties et les signatures d'environnement pour prendre en charge les audits et la reproductibilité.
9.3 Responsabilités du client en matière de sécurité. Le client est responsable de :
(a) configurer et utiliser correctement le Service PageMind, y compris la gestion des comptes d'utilisateurs, des droits d'accès et des mécanismes d'authentification (tels que les mots de passe, les clés API ou le SSO) ; (b) sécuriser les appareils, réseaux et systèmes qu'il utilise pour se connecter au Service PageMind ; (c) protéger ses propres copies des données à caractère personnel du client, qu'elles soient stockées localement, dans ses propres systèmes ou dans des systèmes tiers hors du contrôle du sous-traitant ; et (d) garantir que toute transmission de données à caractère personnel du client au sous-traitant a lieu via des canaux sécurisés et conformément aux propres politiques du client et à la loi applicable en matière de protection des données.
9.4 Incidents de sécurité et vulnérabilités. Le sous-traitant doit maintenir des processus pour détecter, répondre et atténuer les incidents de sécurité et les vulnérabilités qui peuvent affecter les données à caractère personnel du client. Lorsque le Sous-traitant prend connaissance d'une violation de données à caractère personnel affectant les données à caractère personnel du Client, le Sous-traitant doit gérer cette violation conformément à la Clause 11.
9.5 Aucune garantie de sécurité absolue. Bien que le Sous-traitant mette en œuvre et maintienne les mesures techniques et organisationnelles décrites dans le présent DPA, le Client reconnaît qu'aucun système d'information ne peut être garanti comme étant sécurisé à 100 %. À condition que le sous-traitant ait respecté ses obligations en vertu du présent DPA, le sous-traitant ne sera pas responsable de tout dommage résultant uniquement d'incidents de sécurité ou de vulnérabilités qui n'étaient pas raisonnablement évitables compte tenu de l'état de la technique, sauf disposition contraire dans l'accord principal ou requis par la loi impérative.
- DROITS ET ASSISTANCE DES PERSONNES CONCERNÉES
10.1 Demandes de la personne concernée. Compte tenu de la nature du traitement et des informations et outils dont dispose le sous-traitant, le sous-traitant assistera le client, dans la mesure où cela est raisonnablement possible, par des mesures techniques et organisationnelles appropriées pour remplir les obligations du client de répondre aux demandes d'exercice des droits de la personne concernée énoncés au chapitre III du RGPD (y compris les droits d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité des données, d'opposition et de ne pas faire l'objet de prise de décision individuelle), principalement en mettant à disposition les fonctionnalités de libre-service, les journaux et la documentation décrits dans le présent article 10.
10.2 Transmission des demandes. Si une personne concernée ou un tiers contacte directement le sous-traitant pour toute demande ou plainte relative aux données à caractère personnel du client, le sous-traitant ne répondra pas à cette demande ou plainte, sauf :(a) pour confirmer que la demande concerne le Client et que le Sous-traitant n'est pas autorisé à répondre directement ; ou (b) lorsque le Sous-traitant est tenu de répondre par la loi applicable sur la protection des données, auquel cas le Sous-traitant doit, dans la mesure légalement permise, informer le Client de cette exigence et fournir une copie de toute réponse.
Le sous-traitant transmettra rapidement toute demande ou plainte de ce type au client, sans retard injustifié.
10.3 Responsabilité du client. Le client sera responsable de :
(a) évaluer si et comment répondre à toute demande de la personne concernée relative aux données à caractère personnel du client ; (b) fournir, le cas échéant, la réponse à la personne concernée ; et (c) s'assurer que toute réponse est conforme à la loi applicable en matière de protection des données.
10.4 Assistance aux réponses. À la demande écrite du Client, le Sous-traitant fournira une assistance raisonnable au Client, dans la mesure où cela est possible et en tenant compte de la nature du Traitement et des informations dont dispose le Sous-traitant, en :
(a) mettre à disposition et expliquer les outils en libre-service et les options de configuration que le Client peut utiliser pour rechercher, récupérer, corriger ou supprimer les Données personnelles du Client au sein du Service PageMind ;
(b) fournir des informations de haut niveau sur les catégories de données à caractère personnel du client traitées par le sous-traitant et sur les systèmes, emplacements et périodes de conservation pertinents ; et
(c) fournir des copies de journaux ou d'autres enregistrements existants qui se rapportent spécifiquement à l'utilisation du service PageMind par le client et qui sont raisonnablement nécessaires pour soutenir la réponse du client à une demande particulière de la personne concernée,
à condition que le Sous-traitant ne soit pas tenu de (i) créer de nouveaux outils, interfaces ou rapports, (ii) effectuer un examen manuel, fichier par fichier des documents du fournisseur ou d'autres contenus non structurés, ou (iii) reconstruire l'historique du traitement au-delà de ce qui est disponible dans les journaux, rapports et sauvegardes existants. Afin d'éviter toute ambiguïté, le Sous-traitant ne sera pas tenu d'effectuer un examen manuel, fichier par fichier, des Documents du Fournisseur ou d'autres contenus client non structurés, de développer des outils ou des interfaces sur mesure, ou d'entreprendre toute activité qui équivaudrait à un conseil ou à des services professionnels au-delà de ce qui est expressément convenu et, le cas échéant, rémunéré séparément.
10.5 Assistance pour les DPIA et les consultations. Le Sous-traitant doit fournir une assistance raisonnable au Client, sur demande écrite, en ce qui concerne :
(a) toute évaluation d'impact sur la protection des données (« DPIA ») que le Client est tenu d'effectuer en relation avec le Traitement des Données Personnelles du Client via le Service PageMind ; et (b) toute consultation préalable avec une autorité de contrôle concernant ce traitement, dans la mesure requise par la loi applicable en matière de protection des données.
Cette assistance se limitera à fournir des informations disponibles sur le traitement effectué par le sous-traitant, les mesures techniques et organisationnelles et les sous-traitants ultérieurs utilisés. Toute assistance au titre de la présente Clause 10.5 qui va au-delà de la sécurité standard du Sous-traitant et de la documentation produit peut être soumise à des frais supplémentaires conformément à la Clause 10.6.
10.6 Coûts de l'assistance. Dans la mesure où l'assistance au titre de la présente Clause 10 nécessite que le Sous-traitant consacre beaucoup de temps ou de ressources au-delà de ce qui est raisonnablement inclus dans les frais standard du Service PageMind (par exemple, des extractions de données complexes, une documentation sur mesure ou la participation à des consultations réglementaires approfondies initiées par le Client), le Sous-traitant peut facturer au Client une telle assistance aux tarifs de services professionnels alors en vigueur, à condition que le Sous-traitant en informe le Client à l'avance et que le Client approuve le travail supplémentaire.
- NOTIFICATION DE VIOLATION DE DONNÉES PERSONNELLES
11.1 Notification de violation de données à caractère personnel. En cas de violation de données à caractère personnel affectant les données à caractère personnel du client, le sous-traitant doit en informer le client sans délai injustifié après avoir pris connaissance de la violation de données à caractère personnel. Le sous-traitant déploiera des efforts commercialement raisonnables pour fournir une telle notification dans les soixante-douze (72) heures suivant la prise de conscience de la violation, sous réserve de la disponibilité d'informations suffisantes pour confirmer qu'une violation de données à caractère personnel a eu lieu.11.2 Contenu de la notification. La notification mentionnée à la clause 11.1 doit, dans la mesure où ces informations sont disponibles pour le sous-traitant au moment de la notification, inclure :
(a) une description de la nature de la violation des données à caractère personnel, y compris, lorsque cela est possible, les catégories et le nombre approximatif de personnes concernées ainsi que les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ; (b) le nom et les coordonnées du contact pour la protection des données ou de tout autre point de contact auprès duquel de plus amples informations peuvent être obtenues ; (c) une description des conséquences probables de la violation des données à caractère personnel ; et (d) une description des mesures prises ou proposées par le sous-traitant pour remédier à la violation des données à caractère personnel, y compris, le cas échéant, des mesures visant à atténuer ses éventuels effets négatifs.
Lorsqu'il n'est pas possible de fournir toutes les informations en même temps, le sous-traitant peut fournir les informations par étapes sans plus de retard injustifié, à mesure qu'elles deviennent disponibles.
11.3 Responsabilité du client en matière de notifications. Le client est responsable de déterminer s'il est tenu, en vertu de la loi applicable sur la protection des données, d'informer les autorités de contrôle compétentes et/ou les personnes concernées de la violation des données à caractère personnel. Le sous-traitant ne fera pas de telles notifications au nom du client, sauf instruction expresse écrite du client ou exigence de la loi applicable sur la protection des données.
11.4 Coopération. Le sous-traitant doit coopérer avec le client et prendre des mesures commerciales raisonnables selon les instructions du client pour aider à l'enquête, à l'atténuation et à la correction de toute violation de données à caractère personnel, notamment en fournissant des journaux, des enregistrements et des informations techniques pertinents, sous réserve de limitations raisonnables liées à la sécurité et à la confidentialité.
11.5 Aucun aveu de responsabilité. Toute notification ou communication du Sous-traitant au Client ou à une Autorité de contrôle ou à un autre tiers en relation avec une Violation de Données Personnelles ne doit pas être interprétée comme un aveu par le Sous-traitant d'une faute ou d'une responsabilité en ce qui concerne la Violation de Données Personnelles ou l'incident sous-jacent.
- RETOUR ET SUPPRESSION DES DONNÉES PERSONNELLES
12.1 Retour ou suppression à la fin du traitement. À la résiliation ou à l'expiration du contrat principal ou à la résiliation de la fourniture du service PageMind en tout ou en partie, le sous-traitant doit, au choix du client (communiqué au sous-traitant par écrit dans les trente (30) jours suivant la résiliation ou l'expiration) :
(a) restituer au Client toutes les Données personnelles du Client traitées au nom du Client sous la forme d'exportations standard mises à disposition via le Service PageMind ou par d'autres moyens raisonnables ; ou (b) supprimer ces données à caractère personnel du client conformément à la clause 12.3.
Si le client ne fournit pas d'instructions dans ce délai de trente (30) jours, le sous-traitant peut supprimer les données à caractère personnel du client conformément à la clause 12.3.
12.2 Récupération des données du client. Pendant la durée du contrat principal, le client est responsable de l'exportation ou de la récupération de ses données à caractère personnel client à partir du service PageMind, selon les besoins. Le sous-traitant n'a pas l'obligation de conserver les données à caractère personnel du client au-delà des périodes de conservation décrites dans le présent DPA et l'accord principal.
12.3 Suppression des systèmes actifs. Sous réserve des clauses 12.4 et 12.5, le sous-traitant doit supprimer les données à caractère personnel du client de ses systèmes actifs et bases de données de production dans un délai commercialement raisonnable suivant (a) la demande écrite de suppression du client, ou (b) la date effective de résiliation ou d'expiration du contrat principal, ou (c) la fin de tout délai de grâce applicable décrit à la clause 12.1, selon la date la plus tardive. La suppression doit être effectuée de telle manière que les données à caractère personnel du client ne puissent pas raisonnablement être reconstruites ou lues.
12.4 Sauvegardes et archives. Le client reconnaît que les données à caractère personnel du client peuvent rester dans les systèmes de sauvegarde et d'archivage du sous-traitant pendant une période limitée après leur suppression des systèmes actifs, conformément aux politiques de sauvegarde et de reprise après sinistre du sous-traitant. Le sous-traitant doit s'assurer que :(a) ces sauvegardes sont conservées en toute sécurité et sont soumises à des mesures techniques et organisationnelles appropriées ; (b) l'accès aux sauvegardes contenant les données à caractère personnel du client est strictement limité au personnel qui a besoin d'un tel accès à des fins de sauvegarde et de récupération ; et (c) Les données à caractère personnel du client contenues dans les sauvegardes ne sont pas restaurées sur les systèmes actifs ni traitées d'une autre manière, sauf si cela est nécessaire pour la vérification de l'intégrité des sauvegardes, la reprise après sinistre ou si la loi l'exige.
Les données à caractère personnel du client contenues dans les sauvegardes seront écrasées et définitivement supprimées au cours du cours normal des cycles de sauvegarde du sous-traitant, généralement dans un délai n'excédant pas celui indiqué dans l'annexe 2 ou dans la documentation de sécurité alors en vigueur du sous-traitant.
12.5 Conservation requise par la loi. Le sous-traitant peut conserver les données à caractère personnel du client (ou une partie de celles-ci) lorsque le sous-traitant est tenu de le faire par le droit de l'Union ou de l'État membre auquel il est soumis, y compris pour l'établissement, l'exercice ou la défense de réclamations légales ou pour le respect des obligations légales de conservation. Dans de tels cas, le sous-traitant doit garantir que toutes les données à caractère personnel du client conservées sont traitées uniquement aux fins pour lesquelles elles sont requises en vertu de cette loi et sont soumises à des mesures techniques et organisationnelles appropriées.
12.6 Statistiques et mesures agrégées. Rien dans le présent DPA n'oblige le sous-traitant à supprimer ou à renvoyer des données qui ne constituent pas des données à caractère personnel. Le sous-traitant peut également générer, conserver et utiliser des statistiques et des mesures agrégées dérivées du traitement des données à caractère personnel du client à ses propres fins commerciales légitimes, notamment pour améliorer et développer ses services et à des fins de sécurité, de performance et d'analyse, à condition que ces résultats ne permettent pas l'identification d'une personne concernée par le client ou par un tiers et ne divulguent pas les secrets commerciaux du client.
- AUDITS ET INSPECTIONS
13.1 Informations et documentation. Le Sous-traitant doit mettre à la disposition du Client, sur demande écrite raisonnable, toutes les informations nécessaires pour démontrer le respect par le Sous-traitant de ses obligations en vertu du présent DPA et de l'article 28 du RGPD, y compris :
(a) des résumés des politiques et procédures relatives à la sécurité de l’information et à la protection des données ; (b) les descriptions des mesures techniques et organisationnelles ; (c) des informations concernant les sous-traitants ultérieurs et les mécanismes de transfert international ; et (d) les attestations, certifications, rapports d'audit ou résumés de ceux-ci (le cas échéant) de tiers que le Sous-traitant choisit de mettre à disposition ; et (e) des informations de haut niveau sur les clauses contractuelles types ou autres mécanismes de transfert utilisés pour les transferts internationaux impliquant des sous-traitants ultérieurs et, le cas échéant, des résumés ou des références aux certifications tierces pertinentes ou aux rapports d'audit de ces sous-traitants ultérieurs.
13.2 Droit d'audit. Sous réserve des clauses 13.3 à 13.7, le Client ou un auditeur tiers indépendant mandaté par le Client (qui n'est pas un concurrent du Sous-traitant et qui est lié par des obligations de confidentialité appropriées) aura le droit de mener un audit ou une inspection du traitement des données à caractère personnel du Client par le Sous-traitant, uniquement pour vérifier la conformité du Sous-traitant au présent DPA et à la loi applicable sur la protection des données en tant que sous-traitant.
13.3 Conditions de l'audit. Tout audit ou inspection doit être :
(a) effectué au maximum une fois au cours d'une période glissante de douze (12) mois, sauf lorsque cela est requis par une autorité de contrôle ou lorsqu'il existe des motifs raisonnables de soupçonner une violation substantielle du présent DPA ; (b) effectué avec un préavis écrit d'au moins trente (30) jours au Sous-traitant, à moins qu'un préavis plus court ne soit requis par une Autorité de Surveillance ; (c) entrepris pendant les heures normales de bureau du Sous-traitant et de manière à minimiser les perturbations des opérations commerciales du Sous-traitant ; et (d) limité dans sa portée aux systèmes, processus et documentation directement liés au traitement des données à caractère personnel du client.13.4 Utilisation des audits et certifications existants. Avant de lancer un audit sur site, le Client s'engage à examiner d'abord les informations et les rapports d'audit tiers ou les certifications mis à disposition par le Sous-traitant conformément à la Clause 13.1. Le Client accepte que ces documents, ainsi que toute réponse écrite fournie par le Sous-traitant, puissent satisfaire aux exigences d'audit du Client lorsqu'ils fournissent des preuves raisonnablement suffisantes de la conformité du Sous-traitant. Les inspections sur site des locaux ou des centres de données du Sous-traitant ne doivent être utilisées qu'en dernier recours et ne sont autorisées que lorsque, à la suite d'un tel examen et de toute mesure d'audit à distance raisonnablement proposée par le Sous-traitant, le Client peut démontrer qu'un audit à distance est objectivement insuffisant pour vérifier la conformité du Sous-traitant à la présente DPA.
13.5 Confidentialité. Le client doit s'assurer que toute personne effectuant un audit en son nom est liée par des obligations de confidentialité non moins strictes que celles contenues dans l'accord principal. Le Client ne doit pas, et doit veiller à ce que les auditeurs n'accèdent pas ou n'obtiennent pas d'informations relatives aux autres clients du Sous-traitant ou aux secrets commerciaux, aux informations exclusives ou aux détails de sécurité du Sous-traitant au-delà de ce qui est strictement nécessaire pour vérifier la conformité au présent DPA.
13.6 Coûts. Le client supportera tous les coûts et dépenses associés à tout audit ou inspection qu'il initie. Si un audit révèle une violation substantielle par le sous-traitant du présent DPA ou de la loi applicable sur la protection des données, le sous-traitant supportera ses propres frais de remédiation. Le Sous-traitant peut facturer au Client ses tarifs de services professionnels standard pour le temps passé par le personnel du Sous-traitant à soutenir un audit qui va au-delà de la fourniture de la documentation existante, à moins que l'audit ne soit mandaté par une Autorité de surveillance spécifiquement en raison d'une non-conformité présumée du Sous-traitant.
13.7 Audits réglementaires. Rien dans le présent DPA ne restreint ou ne limite les droits d'une autorité de contrôle d'accéder directement aux locaux ou aux systèmes du sous-traitant conformément à la loi applicable sur la protection des données. Le Sous-traitant informera rapidement le Client de tout audit réglementaire relatif au traitement des données à caractère personnel du Client, dans la mesure où cela est licite, et partagera les résultats non confidentiels pertinents pour le Client, le cas échéant.
- RESPONSABILITÉ ET RÉPARTITION DU RISQUE
14.0 Relation avec RGPD Article 82 Rien dans le présent DPA n'est destiné à, ou ne doit être interprété comme, limitant les droits des personnes concernées en vertu de l'article 82 RGPD ou les pouvoirs des autorités de contrôle compétentes. Toutes les limitations et répartitions de responsabilité convenues entre les parties dans la présente clause 14 s'appliquent uniquement entre les parties et n'affectent pas la capacité des personnes concernées ou des autorités de contrôle à intenter des réclamations directement contre l'une ou l'autre des parties en vertu de la loi applicable sur la protection des données.
14.1 Application de l'accord principal. Les limitations et exclusions de responsabilité énoncées dans l'accord principal (y compris les plafonds de responsabilité, les exclusions de dommages indirects ou consécutifs et toute indemnisation spécifique) s'appliqueront à toutes les réclamations découlant du présent DPA, y compris toute réclamation découlant de ou liée au traitement des données à caractère personnel du client, dans toute la mesure permise par la loi applicable sur la protection des données. Sans préjudice des droits des personnes concernées en vertu de la loi applicable sur la protection des données, les parties conviennent expressément que toute responsabilité contractuelle du sous-traitant envers le client découlant de ou en relation avec le présent DPA (y compris en ce qui concerne toute violation de données à caractère personnel, enquête réglementaire ou amende administrative imposée au client) sera soumise et limitée par les exclusions et les plafonds énoncés dans l'accord principal.
14.2 Aucun élargissement de la responsabilité. Rien dans le présent DPA n'est destiné à, ou ne doit être interprété comme, augmenter la responsabilité du sous-traitant ou les droits du client au-delà des limitations convenues dans l'accord principal, sauf dans la mesure limitée où ces limitations seraient nulles ou inapplicables en vertu de la loi obligatoire sur la protection des données applicable.
14.3 Responsabilité du client en matière de conformité légale. Le client reconnaît que :(a) Le Client, en tant que Responsable du traitement (ou en tant que sous-traitant agissant pour le compte d'un responsable du traitement tiers), est responsable de son propre respect de la loi applicable en matière de protection des données en ce qui concerne les Données personnelles du Client, y compris pour les décisions concernant l'utilisation du Service PageMind et la confiance dans ses résultats ; (b) Le sous-traitant n'a aucun contrôle sur le contenu, l'exactitude ou l'exhaustivité des données à caractère personnel du client ou sur la configuration et l'utilisation du service PageMind par le client ; et (c) Le Client reste seul responsable de la vérification de toutes les sorties générées par le Service PageMind (y compris, mais sans s'y limiter, les attributs du catalogue, les traductions, les informations sur l'étiquette énergétique et les champs de conformité) avant d'utiliser ces sorties dans les systèmes de production ou de les divulguer à des tiers.
14.4 Exclusions de la responsabilité du Sous-traitant. Sans préjudice des Clauses 14.1 et 14.2 et toujours sous réserve de toute limitation légale obligatoire, le Sous-traitant ne sera pas responsable de toute perte, dommage ou sanction réglementaire découlant de :
(a) Le non-respect par le Client de ses obligations en tant que Responsable du traitement en vertu de la loi applicable sur la protection des données ; (b) L'incapacité du Client à configurer ou à utiliser le Service PageMind conformément au Contrat Principal, au présent DPA ou à la documentation du Sous-traitant ; (c) La décision du Client de publier ou de s'appuyer d'une autre manière sur les résultats générés par le Service PageMind sans examen et validation humaine appropriés ; (d) toute instruction du Client que le Sous-traitant considère raisonnablement comme illégale ou que le Sous-traitant a notifiée comme potentiellement illégale conformément à la Clause 5.2, lorsque le Client insiste sur une telle instruction ; ou (e) Téléchargement par le client de données à caractère personnel excessives, non pertinentes ou appartenant à des catégories (telles que des catégories spéciales de données à caractère personnel ou des données de condamnation pénale) qui ne sont pas destinées à être traitées par le service PageMind.
14.5 Indemnisation du client. Sous réserve toujours des limitations légales obligatoires en vertu de la loi applicable sur la protection des données, le client doit indemniser et dégager le sous-traitant de toute responsabilité contre toute réclamation, dommage, amende, pénalité ou coût (y compris les frais juridiques raisonnables) découlant de ou en relation avec :
(a) violation par le client du présent DPA ou de l'accord principal en relation avec les données à caractère personnel du client ; ou (b) le non-respect par le client de ses obligations en tant que responsable du traitement (ou en tant que sous-traitant agissant pour le compte d'un responsable du traitement) en vertu de la loi applicable sur la protection des données, y compris les obligations relatives à la transparence, à la base juridique, aux droits de la personne concernée, aux DPIA et aux transferts internationaux,
sauf dans la mesure où ces réclamations, dommages, amendes, pénalités ou coûts résultent de la propre violation par le sous-traitant du présent DPA ou de la loi applicable sur la protection des données. Cette indemnisation couvre, en particulier, tous les frais raisonnables d'enquête et de défense, ainsi que toutes amendes ou sanctions administratives imposées au Sous-traitant par une Autorité de contrôle, dans la mesure où ces mesures résultent principalement de la violation par le Client du présent DPA, de l'Accord principal ou de la loi applicable sur la protection des données, et sous réserve toujours de toute limitation légale obligatoire.
- DIVERS
15.1 Ordre de préséance. En cas d'incohérence entre le présent DPA et l'accord principal, la hiérarchie et l'ordre de préséance énoncés dans l'accord principal (y compris, le cas échéant, les conditions de service du PageMind) s'appliqueront, étant entendu que le présent DPA régit l'attribution des rôles et des obligations pour le traitement des données à caractère personnel du client. En cas d'incompatibilité entre le présent DPA et toute clause contractuelle type ou autre mécanisme de transfert exécuté entre les parties, les termes de ces clauses ou mécanismes prévaudront dans la mesure de l'incohérence par rapport aux transferts internationaux de données à caractère personnel.15.2 Modifications. Le sous-traitant peut proposer des mises à jour raisonnables de ce DPA de temps à autre pour refléter les changements dans la loi applicable sur la protection des données, le service PageMind, ou les sous-traitants du sous-traitant ou les mesures techniques et organisationnelles. Le sous-traitant doit informer le client de tout changement important et, lorsque la loi l'exige, obtenir le consentement du client. Si le Client n'accepte pas une mise à jour proposée qui est nécessaire au respect de la loi applicable sur la protection des données, le Sous-traitant peut, après des efforts de bonne foi pour parvenir à un accord, suspendre ou mettre fin au Traitement concerné et/ou à la partie concernée du Service PageMind sur notification écrite.
15.3 Divisibilité. Si une disposition du présent DPA est jugée invalide ou inapplicable par un tribunal compétent, cette disposition sera considérée comme modifiée dans la mesure minimale nécessaire pour la rendre valide et exécutoire, et les dispositions restantes resteront pleinement en vigueur.
15.4 Loi applicable et juridiction. Le présent DPA sera régi et interprété conformément à la loi applicable spécifiée dans l'accord principal. Tout litige découlant de ou en relation avec le présent DPA sera soumis à la juridiction exclusive ou non exclusive (selon le cas) spécifiée dans l'accord principal.
15.5 Contreparties et signatures électroniques. Le présent DPA peut être signé en un nombre quelconque de contreparties, dont chacune sera considérée comme un original mais qui constitueront toutes ensemble un seul et même instrument. Les signatures fournies par des moyens électroniques (y compris l'acceptation par clic, les plateformes de signature électronique ou les signatures numérisées) auront le même effet juridique que les signatures originales dans toute la mesure permise par la loi applicable sur la protection des données.
15.6 ** Intégralité de l'accord sur le traitement. ** Le présent DPA, ainsi que l'accord principal et toutes les clauses contractuelles types incorporées ou autres mécanismes de transfert applicables, constituent l'intégralité de l'accord entre les parties en ce qui concerne le traitement des données à caractère personnel du client dans le cadre du service PageMind et remplace tous les accords, ententes ou représentations antérieurs ou contemporains relatifs à ce traitement, sauf indication contraire expresse.
ANNEXE 1 – DESCRIPTION DES ACTIVITÉS DE TRAITEMENT (SERVICE PAGEMIND)
Objet du traitement Processor fournit le service PageMind, qui automatise les opérations de catalogue pour les clients de vente au détail et de commerce électronique en ingérant, analysant, transformant et structurant les informations relatives aux produits provenant des matériaux du fournisseur et d'autres entrées du client en sorties prêtes à être cataloguées, en artefacts d'assurance qualité et en packs de preuves. Le traitement couvre toutes les données à caractère personnel du client qui peuvent être incluses dans ces documents ou générées dans le cadre du fonctionnement du service PageMind.
Nature du traitement Les opérations de traitement effectuées par le Sous-traitant peuvent inclure, le cas échéant :
- Collecte et réception des matériaux du fournisseur et d'autres entrées du client (fichiers, flux de données, charges utiles API, entrées manuelles) ;
- Stockage et organisation de ces matériaux dans des espaces de travail, des projets, des lots ou des structures logiques équivalentes ;
- Lecture et analyse de documents, y compris OCR et extraction structurée/non structurée ;
- Traduction automatique et localisation d'éléments de texte ;
- Normalisation, enrichissement et mappage des attributs aux schémas et modèles définis par le client ;
- Comparaison et rapprochement des informations provenant de plusieurs sources (par exemple, les matériaux des fournisseurs par rapport aux registres officiels, y compris EPREL ou d'autres registres d'étiquettes énergétiques, lorsque cela est activé) ;
- Génération de sorties structurées (par exemple CSV, JSON, charges utiles API, ensembles de configuration) alignées sur les modèles de catalogue du client ;
- Génération de listes d'assurance qualité et de nouvelles tentatives, d'indicateurs de problèmes, de scores d'exhaustivité et d'artefacts similaires ;
- Génération de rapports d'exécution, de journaux d'audit, d'ensembles de preuves et d'empreintes digitales de configuration pour prendre en charge la traçabilité et la reproductibilité ;
- Stockage, indexation et interrogation des journaux et des métadonnées techniques relatifs aux exécutions, aux tâches, aux flux de travail, aux utilisateurs et aux espaces de travail ;
- Suppression, restriction, pseudonymisation et archivage, tels que configurés par le Client ou requis par la loi.
- Finalités du traitementLe sous-traitant traite les données à caractère personnel du client strictement aux fins suivantes, comme détaillé dans la clause 3 du DPA :
- Fourniture, exploitation et maintenance du Service PageMind ;
- Fourniture de support, réponse aux incidents et résolution de problèmes ;
- Surveillance de la sécurité, détection des menaces, prévention des abus et intégrité des services ;
- Qualité de service, suivi et optimisation des performances ;
- Création et utilisation de statistiques et de mesures agrégées dérivées du traitement des données à caractère personnel du client à des fins de sécurité, de surveillance des performances, d'amélioration des produits et d'analyse commerciale, sous réserve de l'interdiction stricte de former des modèles AI partagés à l'aide des données à caractère personnel du client telles que définies dans la clause 3.1 (d) du DPA ;
- Respect des obligations légales et réponses aux demandes légales.
- Types de données à caractère personnel des clients
En fonction de la configuration du Client et des éléments qu'il télécharge, le Service PageMind peut traiter les types de données à caractère personnel suivants :
Données d'identification et de contact :
- Nom, prénom ;
- Titre du poste, fonction ou rôle ;
- Nom de l'employeur ou de l'organisation ;
- Adresse e-mail professionnelle, numéro de téléphone professionnel, numéro de fax ; *Adresse postale professionnelle.
Données professionnelles et organisationnelles :
- Département ou équipe ;
- Responsabilité du pays, de la région ou du marché ;
- Relation avec le Client ou ses fournisseurs (ex : account manager,category manager, contact technique).
Identifiants électroniques et données techniques :
- Noms d'utilisateur, identifiants d'utilisateur internes ou identifiants d'espace de travail ;
- Horodatages et métadonnées intégrées aux documents (auteur, date de création, historique des modifications) ;
- Adresses IP et identifiants d'appareil capturés dans les journaux ;
- Identifiants de session et journaux d'activité.
Données liées au contenu :
- Noms, blocs de contact et autres informations personnelles pouvant être présentes dans les documents du fournisseur (par exemple, signatures, en-têtes, pieds de page d'e-mails, crédits d'auteur) ;
- Notes en texte libre saisies par les utilisateurs du Client pouvant contenir des Données personnelles.
Le Client doit s'assurer que les Données personnelles inutiles ne sont pas incluses dans les Documents du Fournisseur ou dans les entrées de texte libre lorsqu'une telle inclusion n'est pas requise aux fins du Service PageMind.
- Catégories de personnes concernées
Les Données Personnelles Client concernent notamment les catégories de Personnes Concernées suivantes :
- Employés, sous-traitants, consultants et représentants du Client qui utilisent le Service PageMind ou dont les coordonnées apparaissent dans les documents du Client ;
- Employés, sous-traitants, consultants et représentants des fournisseurs, marques, fabricants, distributeurs et autres partenaires commerciaux du Client dont les coordonnées sont incluses dans les Documents du fournisseur ;
- Autres personnes dont les noms ou les coordonnées peuvent apparaître accidentellement dans les documents ou données fournis au service PageMind par ou au nom du client.
- Durée du traitement
- Le sous-traitant traitera les données à caractère personnel du client pendant la durée du contrat principal, sous réserve des dispositions relatives au retour et à la suppression énoncées à l'article 12 du DPA.
- À la résiliation ou à l'expiration du Contrat principal, les Données personnelles du Client seront supprimées des systèmes actifs dans un délai commercialement raisonnable et conservées uniquement dans des sauvegardes et des archives pendant les périodes de conservation limitées définies à l'Annexe 2, à moins qu'une période de conservation plus longue ne soit requise par la loi ou expressément convenue par écrit entre les Parties.
- Catégories spéciales de données et données criminelles
- Les Parties ne prévoient pas de traitement de catégories particulières de données à caractère personnel ou de données relatives à des condamnations pénales et à des infractions.
- Dans la mesure où le Client télécharge néanmoins ces données en violation du DPA, le Sous-traitant peut restreindre ou supprimer ces données et ne sera pas responsable de toute perte ou dommage en résultant, sans préjudice de toute obligation obligatoire en vertu de la loi applicable sur la protection des données.
- Tout traitement délibéré de catégories particulières de données à caractère personnel ou de données criminelles nécessitera un accord écrit supplémentaire entre les parties et peut être soumis à des garanties et à des frais supplémentaires.
ANNEXE 2 – MESURES TECHNIQUES ET ORGANISATIONNELLESLes mesures techniques et organisationnelles suivantes (« TOMs ») sont mises en œuvre par le sous-traitant en relation avec le service PageMind et les données à caractère personnel du client. Le sous-traitant peut mettre à jour ou modifier ces TOMs de temps à autre, à condition que le niveau global de protection ne soit pas sensiblement réduit.
- Organisation de la sécurité de l'information
1.1 La sécurité des informations est gérée au niveau de l'entreprise, avec des responsabilités clairement attribuées et des voies de remontée des incidents de sécurité.
1.2 Le personnel ayant accès aux données à caractère personnel des clients est tenu à des obligations de confidentialité et reçoit une formation sur la sécurité des informations et la protection des données adaptée à son rôle.
1.3 Le sous-traitant maintient des politiques et procédures internes couvrant la sécurité des informations, le contrôle d'accès, l'utilisation acceptable, la réponse aux incidents, la sauvegarde et la récupération, la gestion des changements et la gestion des fournisseurs.
- Sécurité physique et environnementale
2.1 Les systèmes de production de PageMind sont hébergés dans des centres de données sécurisés exploités par des fournisseurs d'infrastructure réputés, avec des protections physiques conformes aux normes de l'industrie, notamment :
- Accès contrôlé aux installations (badges, gardiens, vidéosurveillance) ;
- Contrôles environnementaux (redondance électrique, suppression des incendies, contrôle climatique);
- Politiques d'enregistrement et d'escorte des visiteurs.
2.2 Le sous-traitant ne stocke généralement pas les données à caractère personnel du client dans ses propres locaux, sauf à des fins d'assistance ou administratives limitées ; lorsqu'un tel stockage a lieu, il est soumis à des contrôles de sécurité physique appropriés (bureaux fermés à clé, accès restreint).
- Sécurité du réseau et du système
3.1 Les systèmes de production sont déployés dans des environnements de cloud privé virtuel (VPC) isolés avec segmentation du réseau et pare-feu pour limiter le trafic entrant et sortant à ce qui est strictement nécessaire au fonctionnement du service PageMind.
3.2 L'accès aux interfaces de gestion et aux points de terminaison administratifs est restreint via des groupes de sécurité, un VPN, une liste d'autorisation IP et/ou d'autres mécanismes de contrôle d'accès.
3.3 Le sous-traitant utilise des protections standard de l'industrie (telles que TLS) pour crypter les données à caractère personnel du client en transit sur les réseaux publics.
3.4 Le sous-traitant utilise la surveillance et la journalisation du réseau pour détecter les activités anormales et les tentatives d'intrusion potentielles, sous réserve des exigences de proportionnalité et de confidentialité.
- Contrôle d'accès et authentification
4.1 L'accès aux données à caractère personnel du client dans PageMind est régi par un contrôle d'accès basé sur les rôles (RBAC). Chaque utilisateur se voit attribuer un ou plusieurs rôles définissant ses autorisations dans le(s) espace(s) de travail du Client.
4.2 L'authentification auprès du service PageMind est appliquée via des mécanismes sécurisés (par exemple, des mots de passe répondant aux règles de complexité minimale et/ou une authentification unique lorsqu'elle est intégrée).
4.3 L'accès administratif aux systèmes de production (y compris les bases de données, les couches d'orchestration et les outils de surveillance) est limité à un ensemble limité de personnel autorisé et est protégé par une authentification forte (par exemple, clés SSH, authentification multifacteur le cas échéant).
4.4 Les droits d'accès sont accordés en cas de besoin et sont périodiquement examinés et révoqués lorsqu'ils ne sont plus nécessaires (par exemple, lorsque le personnel change de rôle ou quitte son emploi).
- Stockage, cryptage et séparation des données
5.1 Les données à caractère personnel du client stockées dans des bases de données ou des magasins de fichiers gérés par le sous-traitant sont cryptées au repos à l'aide d'algorithmes de cryptage standard de l'industrie.
5.2 Une séparation logique est mise en œuvre entre les données des différents clients grâce à l'utilisation d'espaces de travail, de projets ou de mécanismes d'isolation équivalents distincts au niveau de l'application et/ou de la couche de base de données.
5.3 Des copies de travail temporaires des données (par exemple, des fichiers intermédiaires utilisés pendant le traitement) sont stockées dans des emplacements contrôlés et sont supprimées ou écrasées lorsqu'elles ne sont plus nécessaires.
- Journalisation, surveillance et traçabilité
6.1 PageMind conserve des journaux au niveau de l'application capturant les événements pertinents, notamment :
- Événements d'authentification et d'autorisation ;
- Création, modification et suppression d'espaces de travail, de projets et d'exécutions ;
- Actions et erreurs de traitement clés ;
- Actions administratives et de support prises par le personnel autorisé du sous-traitant.
6.2 Pour les exécutions de traitement PageMind, le service capture :* Identifiants et hachages d'entrée et de sortie ;
- Empreintes digitales de configuration (y compris les versions de modèle, les modèles, les règles de mappage et les identifiants d'environnement) ;
- Objets de preuve (tels que des extraits de documents ou des réponses de registre) liés à des champs spécifiques lorsqu'ils sont disponibles ;
- Horodatages et métadonnées d'exécution.
6.3 Les journaux sont protégés contre tout accès non autorisé et toute falsification et sont conservés pendant des périodes limitées nécessaires à la sécurité, au support, à la traçabilité et à l'audit, ne dépassant généralement pas douze (12) mois, sauf si une période plus longue est justifiée (par exemple, incident en cours, conservation légale ou exigence d'audit).
- Sauvegarde, continuité des activités et reprise après sinistre
7.1 Le sous-traitant maintient des sauvegardes régulières des bases de données de production clés et des volumes de stockage pouvant contenir des données à caractère personnel du client.
7.2 Les sauvegardes sont cryptées et stockées dans des emplacements sécurisés distincts des systèmes principaux, avec un accès limité au personnel autorisé.
7.3 Le sous-traitant maintient des procédures de restauration à partir des sauvegardes et teste périodiquement la restauration des sauvegardes dans le cadre de sa planification de continuité des activités.
7.4 Les données à caractère personnel du client dans les sauvegardes sont conservées uniquement pendant la durée du cycle de sauvegarde applicable, qui ne doit normalement pas dépasser trente (30) jours après la suppression des systèmes actifs, à moins qu'une période de conservation plus longue ne soit requise par la loi ou explicitement convenue avec le client.
- Gestion des vulnérabilités et gestion du changement
8.1 Le sous-traitant exploite un processus pour identifier, évaluer et traiter les vulnérabilités de sécurité, y compris l'évaluation des avis de sécurité des fournisseurs, les divulgations publiques de vulnérabilités et les conclusions internes.
8.2 Les correctifs et mises à jour des systèmes d'exploitation, des bases de données, des cadres et des composants d'application sont appliqués selon un calendrier basé sur les risques, en donnant la priorité aux vulnérabilités présentant une gravité élevée ou un impact exploitable.
8.3 Les modifications apportées aux systèmes de production sont soumises à des contrôles de gestion des modifications, notamment des tests, un examen par les pairs et une approbation, afin de réduire le risque d'introduction de défauts de sécurité.
- Détection et réponse aux incidents
9.1 Le sous-traitant maintient un processus de réponse aux incidents pour détecter, signaler et gérer les incidents de sécurité susceptibles d'affecter la confidentialité, l'intégrité ou la disponibilité des données à caractère personnel du client.
9.2 Les incidents sont triés, étudiés et résolus en fonction de leur gravité et de leur impact potentiel, avec des voies de remontée jusqu'à la haute direction pour les événements importants.
9.3 Les violations de données à caractère personnel sont traitées conformément à l'article 11 du DPA, y compris la notification au client et, le cas échéant, la prise en charge des propres obligations de notification du client.
- Confidentialité dès la conception et par défaut
10.1 Lors du développement ou de la modification du service PageMind, le sous-traitant prend en compte les principes de confidentialité et de protection des données dès la phase de conception, y compris la minimisation des données à caractère personnel traitées, la pseudonymisation lorsque cela est possible et la limitation de la conservation.
10.2 Les configurations de service par défaut sont conçues pour éviter le traitement inutile des données à caractère personnel lorsque cela est possible et pour donner au client le contrôle sur la conservation et l'exportation des données.
- Personnel et formation
11.1 Le Sous-traitant fournit aux employés et aux sous-traitants concernés une formation sur la sécurité des informations et la protection des données adaptée à leur rôle, y compris les obligations liées au traitement des données à caractère personnel du client.
11.2 L'accès aux données à caractère personnel du client par le personnel du sous-traitant est limité à ceux qui ont besoin d'un tel accès pour l'exécution de leurs tâches (par exemple, les ingénieurs d'assistance résolvant des problèmes spécifiques du client).
- Normes de gestion des incidents
12.1 Le sous-traitant maintient un plan documenté de réponse aux incidents qui comprend des procédures de détection, de triage, de confinement et de récupération.
12.2 Le sous-traitant teste ses capacités de réponse aux incidents au moins une fois par an (par exemple, via des exercices sur table ou des exercices techniques) pour garantir l'efficacité de ces mesures.
ANNEXE 3 – SOUS-TRAITANTS
- Général
1.1 Le sous-traitant utilise certains sous-traitants pour prendre en charge la fourniture du service PageMind, notamment les fournisseurs d'infrastructure, les fournisseurs AI/ML, les outils de surveillance et les outils de support.1.2 Le Sous-traitant tient à jour une liste des Sous-traitants ultérieurs (la « Liste des Sous-traitants secondaires »), qui est mise à la disposition du Client sur demande, jointe au présent DPA en tant qu'Annexe A (si fournie en copie papier), ou à une URL dédiée notifiée au Client.
1.3 Pour chaque Sous-traitant ultérieur, la Liste des Sous-traitants ultérieurs indique :
- Nom et identité visuelle du sous-traitant ultérieur ;
- Emplacement(s) où le traitement est effectué ;
- Description des activités de traitement réalisées ;
- Mécanisme de transfert applicable lorsque le traitement implique des transferts vers des pays tiers.
- Sous-traitants actuels
À la date d'entrée en vigueur du présent DPA, le sous-traitant utilise les catégories de sous-traitants ultérieurs définies ci-dessous. Les entités spécifiques au sein de chaque catégorie, ainsi que leurs emplacements et rôles, sont répertoriées dans la liste des sous-traitants ultérieurs mentionnée à la section 1.2 de la présente annexe 3 :
- Fournisseur(s) d'infrastructure Cloud : hébergement de serveurs d'applications, de bases de données, de volumes de stockage et de composants réseau prenant en charge le Service PageMind.
- Services de bases de données et de stockage gérés : fourniture de bases de données gérées, relationnelles ou non relationnelles, de stockage blob et de services associés.
- Fournisseurs de journalisation et de surveillance : collecte et analyse de journaux et de télémétrie à des fins de performances, de fiabilité et de sécurité.
- Fournisseurs de courrier électronique et de communication : envoi de notifications par courrier électronique et de communications clients liées au Service PageMind.
- Fournisseurs AI/ML et OCR : fourniture de grands modèles linguistiques, de moteurs de traduction, de moteurs OCR et d'autres fonctionnalités AI/ML utilisées par le service PageMind pour analyser et transformer le contenu.
- Systèmes d'assistance et de ticketing : gestion des demandes d'assistance client, y compris le traitement limité des coordonnées et des descriptions des problèmes.
- Notification des modifications
3.1 Le sous-traitant informera le client de tout ajout ou remplacement prévu d'un sous-traitant secondaire en mettant à jour la liste des sous-traitants secondaires et/ou en envoyant un avis à l'adresse e-mail associée au compte du client, conformément à la clause 7 du DPA.
3.2 Le client peut s'opposer à la nomination d'un nouveau sous-traitant ultérieur dans le délai spécifié dans cet avis, pour des motifs raisonnables et documentés en matière de protection des données uniquement.
- Accords et garanties des sous-traitants
4.1 Le Sous-traitant conclut des accords écrits avec les Sous-traitants ultérieurs qui :
- imposer au sous-traitant des obligations qui ne sont pas moins protectrices des données à caractère personnel du client que celles imposées au sous-traitant en vertu du présent DPA, dans la mesure applicable ;
- exiger du Sous-traitant ultérieur qu'il mette en œuvre des mesures techniques et organisationnelles appropriées ; et
- traiter les transferts internationaux en utilisant des mécanismes juridiquement valables lorsque cela est nécessaire.
4.2 Le Sous-traitant reste responsable envers le Client de la performance de ses Sous-traitants ultérieurs conformément à la Clause 7 du DPA.
ANNEXE 4 – MÉCANISMES DE TRANSFERT INTERNATIONAL
- Décisions d'adéquation
Lorsque les données à caractère personnel du client sont transférées vers un pays ou un territoire reconnu par la Commission européenne comme offrant un niveau adéquat de protection des données à caractère personnel en vertu de l'article 45 RGPD, ce transfert ne nécessitera pas de garanties supplémentaires en vertu du chapitre V RGPD.
- Clauses contractuelles types et autres garanties appropriées
2.1 Pour les transferts de données à caractère personnel du client vers des pays tiers qui ne sont pas soumis à une décision d'adéquation, le sous-traitant (ou son sous-traitant concerné) doit mettre en œuvre des garanties appropriées conformément à l'article 46 RGPD. Celles-ci peuvent inclure l'exécution des clauses contractuelles types adoptées par la Commission européenne, ou de clauses ou mécanismes équivalents approuvés par une autorité compétente.
2.2 Lorsque les clauses contractuelles types sont utilisées, les principes suivants s'appliquent :* Les parties (et/ou le sous-traitant et les sous-traitants concernés) doivent exécuter le(s) module(s) approprié(s) des clauses contractuelles types (par exemple, du responsable du traitement au sous-traitant ou du sous-traitant au sous-traitant), selon les besoins.
- Les clauses contractuelles types seront réputées incorporées par référence dans le présent DPA et, le cas échéant, dans l'accord principal.
- En cas de conflit entre les clauses contractuelles types et toute disposition du présent DPA ou de l'accord principal relative aux transferts internationaux, les clauses contractuelles types prévaudront.
2.3 Le sous-traitant évaluera, le cas échéant, si des mesures supplémentaires sont nécessaires pour garantir que les transferts offrent un niveau de protection essentiellement équivalent à celui garanti dans l’EEE, en tenant compte des lois applicables dans le pays de destination et des directives de la Cour de justice de l'Union européenne et des autorités de contrôle.
- Documentation et divulgation
3.1 Sur demande écrite raisonnable du client, le sous-traitant doit fournir des informations de haut niveau sur les mécanismes de transfert sur lesquels il s'appuie pour des sous-traitants spécifiques ou des catégories de transferts, sous réserve de la suppression des détails confidentiels ou commercialement sensibles.
3.2 Le sous-traitant n'est pas obligé de divulguer des copies complètes des accords du sous-traitant ultérieur ou de la documentation détaillée sur l'architecture de sécurité, à condition que suffisamment d'informations soient mises à disposition pour permettre au client d'évaluer la conformité à la loi applicable en matière de protection des données.
ANNEXE 5 – PROCÉDURE D’AUDIT (RÉSUMÉ)
Cette annexe complète l'article 13 du DPA et définit une procédure standard non exhaustive pour mener des audits de conformité du sous-traitant avec ce DPA.
- Demande d'audit
1.1 Le client soumet une demande d'audit écrite précisant :
- La base légale ou contractuelle de l'audit ;
- Les objectifs et la portée (par exemple, contrôles de sécurité, enregistrements de traitement, gestion des sous-traitants) ;
- Les dates et durées proposées.
1.2 Le sous-traitant et le client doivent convenir d'un calendrier et d'une portée mutuellement acceptables, en tenant compte des opérations en cours et des contraintes de ressources.
- Examen des informations préalables à l'audit
2.1 Avant tout audit sur site ou approfondi, le Client doit examiner :
- Documentation et informations fournies par le sous-traitant en vertu de la clause 13.1 ;
- Toutes les certifications, attestations ou résumés tiers disponibles (par exemple, rapports SOC, certifications ISO ou équivalents) ;
- Liste des sous-traitants du sous-traitant et aperçu de la sécurité.
2.2 Si, après avoir examiné ces documents, le Client conclut raisonnablement qu'une vérification supplémentaire est requise, un audit sur site ou à distance peut être planifié.
- Conduite de l'audit
3.1 Les audits doivent être effectués :
- Par le Client ou par un auditeur indépendant nommé par le Client et approuvé par le Sous-traitant (cette approbation ne doit pas être refusée de manière déraisonnable lorsque l'auditeur est dûment qualifié et n'est pas un concurrent du Sous-traitant) ;
- Conformément aux normes professionnelles;
- D'une manière qui minimise la perturbation des activités commerciales normales du sous-traitant.
3.2 Les auditeurs peuvent :
- Interviewer le personnel du sous-traitant concerné responsable de la sécurité des informations, des opérations et de la conformité ;
- Examiner les politiques, procédures et dossiers pertinents ;
- Inspecter les systèmes et les installations qui traitent les données à caractère personnel des clients, sous réserve des limitations de sécurité ;
- Testez les contrôles sélectionnés lorsque cela peut être effectué en toute sécurité et sans impact sur les autres clients ou opérations.
3.3 Les auditeurs ne doivent pas :
- Accéder aux données appartenant à d'autres clients ;
- Accéder au code source ou aux schémas de réseau détaillés sauf lorsque cela est strictement nécessaire et convenu au préalable ;
- Retirez tout document physique ou numérique des locaux du sous-traitant (des copies peuvent être fournies le cas échéant et sous réserve de rédaction).
- Rapports et mesures correctives
4.1 À la suite d'un audit, le client (ou son auditeur) doit fournir au sous-traitant un rapport récapitulatif mettant en évidence toutes les conclusions pertinentes pour la conformité du sous-traitant avec le présent DPA.
4.2 Si l'audit identifie une non-conformité importante au présent DPA, les parties conviennent d'un plan de remédiation, comprenant des délais raisonnables pour la remédiation. Le sous-traitant doit mettre en œuvre les mesures correctives convenues dans ces délais, en tenant compte de la gravité et de l'impact des problèmes identifiés.4.3 Tous les rapports et conclusions d'audit seront traités comme des informations confidentielles du sous-traitant et seront utilisés uniquement dans le but de vérifier la conformité au présent DPA et à la loi applicable sur la protection des données.
- Coûts et fréquence
5.1 La fréquence et la répartition des coûts des audits sont régies par l'article 13 du DPA.
5.2 Sauf disposition contraire d'une autorité de surveillance ou mandaté par la loi, les audits de suivi visant à vérifier les mesures correctives doivent se limiter à confirmer que les problèmes spécifiques identifiés lors d'un audit précédent ont été traités de manière adéquate.
ANNEXE 6 – CATÉGORIES SPÉCIALES DE DONNÉES (FACULTATIVES)
- Position par défaut
1.1 Par défaut, les parties conviennent que le client ne fournira pas intentionnellement des catégories spéciales de données à caractère personnel ou des données à caractère personnel relatives aux condamnations pénales et aux infractions au service PageMind.
1.2 Tout traitement accidentel de ces données (par exemple, lorsque ces données sont incluses par inadvertance dans les documents du fournisseur) n'est pas intentionnel, et le client reste responsable de veiller à ce qu'une telle inclusion soit minimisée ou empêchée lorsque cela est raisonnablement possible.
- Accord supplémentaire facultatif
2.1 Si le client demande au sous-traitant de traiter des catégories particulières de données à caractère personnel ou des données à caractère personnel relatives à des condamnations pénales et à des infractions dans le cadre du service PageMind, les parties concluront un accord écrit distinct ou un addendum à la présente annexe spécifiant :
- Les catégories spécifiques de catégories spéciales ou de données criminelles à traiter ;
- Les finalités pour lesquelles ces données seront traitées ;
- Les bases juridiques invoquées par le Client ;
- Toute mesure technique et organisationnelle supplémentaire mise en œuvre pour protéger ces données ; et
- Toute limitation ou instruction supplémentaire applicable à un tel traitement.
2.2 Aucun traitement de ce type n'aura lieu tant que l'accord supplémentaire n'aura pas été signé par les deux parties.
