Addendum sur le transfert de données

Introduction

Le présent avenant au transfert de données (ci-après le " ATR ") entre ORGiD (le " Prestataire de services ") et le Client s'applique à tout transfert de Données personnelles soumises à la Loi sur la protection des données au Prestataire de services en dehors de l'EEE, de la Suisse ou du Royaume-Uni. Entre le Prestataire de services et le Client, ce DTA sera incorporé à l'Accord et à l'Addendum sur le traitement des données (" DPA "), le cas échéant. Les termes "données à caractère personnel", "personne concernée", "traitement", "responsable du traitement", "sous-traitant", "représentant" et "autorité de contrôle" ont la signification qui leur est donnée dans le GDPR ou le GDPR britannique, selon le cas, indépendamment du fait que la loi sur la protection des données s'applique ou non. En outre, d'autres termes utilisés dans la présente CDI peuvent être définis dans ces accords.

1. Définitions

"Transfert international de données" : une activité de traitement par laquelle des données à caractère personnel traitées conformément à la législation sur la protection des données sont transférées au prestataire de services (ou à nos locaux) dans un pays tiers autre que l'EEE, le Royaume-Uni, la Suisse ou un pays faisant l'objet d'une décision d'adéquation prise par la Commission européenne ou le secrétaire d'État britannique (selon le cas) conformément aux dispositions pertinentes de la législation sur la protection des données en vigueur.

" CCS " : les clauses contractuelles types approuvées par la Commission européenne dans la décision de la Commission 2021/914 du 4 juin 2021, pour les transferts de données à caractère personnel dans des pays qui ne sont pas autrement reconnus comme offrant un niveau de protection adéquat des données à caractère personnel par la Commission européenne (telles que modifiées et mises à jour de temps à autre).

On entend par "addenda à l'IDTA britannique" les clauses obligatoires de l'addenda B.1.0 publié par l'ICO et déposé devant le Parlement conformément à l'article 119A de la loi sur la protection des données de 2018 le 2 février 2022, tel qu'il est révisé en vertu de l'article 18 de ces clauses obligatoires.

2. Transferts de données de contrôleur à contrôleur

Données EEE / Suisse :

Lorsqu'un transfert international de données a lieu alors que plus d'une partie agit en tant que contrôleur et qu'une partie partage des données à caractère personnel de personnes concernées de l'EEE ou de la Suisse avec le prestataire de services également en tant que contrôleur en vertu de l'addendum sur le partage des données, alors : (i) tout Transfert international de données de ce type sera régi par les Clauses contractuelles types pour les transferts de données à caractère personnel entre contrôleurs de l'Union européenne ("CCS EEE C2C") ou les Clauses contractuelles types pour les transferts de données à caractère personnel entre contrôleurs de la Suisse ("CCS Suisse C2C"), qui sont incorporées dans le présent Addendum sur le transfert de données ; et (ii) les Annexes I et II de ces CCS seront complétées par les informations figurant dans les Annexes 1 et 2 de l'Addendum sur le traitement des données et de l'Addendum sur le partage des données, respectivement.

Données du Royaume-Uni : 

Lorsqu'un transfert international de données a lieu pour lequel plus d'une partie agit en tant que contrôleur et qu'une partie partage des données à caractère personnel de personnes concernées au Royaume-Uni avec le prestataire de services également en tant que contrôleur en vertu de l'accord de partage de données, tous les transferts de données qui ont lieu pour ces données sont régis par les CCN EEE C2C incorporant les annexes 1 et 2 de l'addendum sur le traitement du partage de données et l'accord international de transfert de données du Royaume-Uni ("addendum IDTA du Royaume-Uni"), qui est incorporé dans le présent addendum sur le transfert de données.

En outre, ces dispositions visent à se conformer au règlement général sur la protection des données (RGPD), à la loi fédérale suisse sur la protection des données (LPD) et à la loi britannique sur la protection des données de 2018, qui réglementent le transfert de données à caractère personnel en dehors de l'Espace économique européen (EEE), de la Suisse et du Royaume-Uni (RU), respectivement.

3. Transferts de données du contrôleur au sous-traitant

Données EEE / Suisse : 

Lorsque le contrôleur transfère des données personnelles de personnes concernées de l'EEE ou de la Suisse au prestataire de services agissant en tant que sous-traitant dans le cadre de l'avenant sur le traitement des données, tout transfert international de données de ce type doit être conforme aux CCAP entre le contrôleur et le sous-traitant de l'EEE, qui sont incorporées dans la présente CDI avec les modifications suivantes : (i) le sous-traitant doit informer le responsable du traitement de toute modification prévue de la liste des sous-traitants secondaires en la mettant à jour en ligne ; et (ii) les annexes I et II des CCAP entre responsables du traitement et sous-traitants de l'EEE doivent être complétées par les informations spécifiées dans les appendices 1 et 2 de l'addendum sur le traitement des données, respectivement.

Données du Royaume-Uni : 

Lorsque le contrôleur transfère des données à caractère personnel de personnes concernées au Royaume-Uni au prestataire de services agissant en tant que sous-traitant en vertu de l'addendum sur le traitement des données, tout transfert international de ces données doit être conforme aux CCAP entre le contrôleur et le sous-traitant de l'EEE incorporant les annexes 1 et 2 de l'addendum sur le traitement des données, ainsi qu'à l'addendum IDTA du Royaume-Uni.

Les lois qui régissent les transferts internationaux de données sont les suivantes

Le règlement général sur la protection des données (RGPD) de l'UE et la loi britannique sur la protection des données de 2018.

4. Mesures complémentaires 

En ce qui concerne les transferts internationaux de données, les mesures complémentaires suivantes s'appliquent :

(a) le Processeur déclare et garantit qu'au moment du transfert, il n'a reçu aucune demande légale formelle de la part d'un service/agence gouvernemental(e) de renseignement ou de sécurité dans le pays vers lequel les Données à caractère personnel concernées sont exportées, pour accéder à (ou pour obtenir des copies de) Données à caractère personnel qui ont été transférées au Processeur en vertu du présent Accord ("Demandes d'agences gouvernementales") ; et

(b) si, pendant la durée de la présente CDI, le sous-traitant reçoit des demandes d'une agence gouvernementale, il en informera (sauf si le droit applicable l'interdit) le contrôleur par écrit dès que possible et les parties discuteront et détermineront (dès que possible) si tout ou partie des transferts de données à caractère personnel en vertu du présent accord doit être suspendu à la lumière de ces demandes d'une agence gouvernementale.

5. Assurance complémentaire

(a) Si la législation sur la protection des données exige la signature de CCAP ou d'un addendum de l'IDTA britannique pour un transfert spécifique de données à caractère personnel au sous-traitant dans le cadre d'un accord distinct, le sous-traitant signe rapidement ces CCAP ou addendum de l'IDTA britannique sur demande, avec toutes les modifications nécessaires pour refléter les exigences applicables de la législation sur la protection des données en question.

(b) Si l'un des moyens de légitimer les transferts de données à caractère personnel en dehors des pays de l'EEE, de la Suisse ou du Royaume-Uni mentionnés dans la présente CDI cesse d'être valable, ou si une autorité de contrôle exige la suspension des transferts de données à caractère personnel conformément à ces moyens, le sous-traitant peut modifier ou mettre en œuvre d'autres dispositions pour ces transferts, comme l'exige la loi sur la protection des données applicable. Le sous-traitant notifiera à l'autre partie la date d'entrée en vigueur de ces modifications.

6. Conflits

En cas de conflit ou d'incohérence entre une disposition de la présente CDI et tout autre accord applicable, l'ordre de préséance est le suivant : l'addenda IDTA britannique et les CCN concernés (le cas échéant), la présente CDI, l'addenda sur le traitement des données (le cas échéant) et l'accord.

7. Changements

Le prestataire de services peut mettre à jour tout ou partie des conditions de l'addendum si nécessaire pour se conformer à la législation sur la protection des données. Cette mise à jour entrera en vigueur et sera contraignante à la date de renouvellement du prochain abonnement au produit ou après accord écrit du client, si celui-ci intervient plus tôt. Si le présent addenda est incorporé par référence à l'URL d'une page web, la version mise à jour de l'addenda sera publiée à la même URL et le client en sera informé par écrit. Si le présent addenda est incorporé dans le cadre d'un accord commercial exécuté par les parties, la version actualisée de l'addenda sera communiquée au client pour approbation par écrit. Si le client n'est pas d'accord avec une mise à jour, il en informera le prestataire de services par écrit et l'addendum précédent restera en vigueur pendant que les parties collaborent de bonne foi à l'élaboration d'un nouvel addendum sur le transfert de données qui soit acceptable pour les deux parties.