Conditions générales > CDW | Addenda au traitement des données

Addenda au traitement des données

This Data Processing Agreement (“DPA”) is hereby incorporated into and governed by the current Terms and Conditions of SOW Services or the Terms and Conditions of Sales and Service Projects, each as available on Seller’s website at CDW.ca, unless Customer has entered into a separate written agreement with Seller covering Customer’s purchase of services, as applicable (the “Agreement”) and applies to the extent that Seller processes Personal Data (as defined herein) on behalf of Customer in  the performance of Services thereunder.  Le présent addenda au traitement des données a pour but de définir les droits et les obligations des parties à l’égard des données personnelles traitées par le vendeur en tant que sous-traitant du traitement des données ou fournisseur de services en vertu de l’entente. S’il y a une incohérence ou un conflit entre les modalités de l’entente et le présent addenda au traitement des données en ce qui concerne le traitement des données personnelles par le vendeur au nom du client, le présent addenda au traitement des données a préséance.

1. Définitions :

  1. Les termes « contrôleur », « entreprise », « sous-traitant », « fournisseur de services », « personne concernée », « consommateur », « processus », « vente », « vendre », « but commercial » et « autorité de surveillance » (ou tout autre terme équivalent) ont le sens indiqué dans les lois sur la protection des données.

  2. « California Consumer Privacy Act » ou « CCPA » signifie le titre 1.81.5 California Consumer Privacy Act de 2018 (California Civil Code 1798,100-1798,199), tel qu’il est modifié par la California Privacy Rights Act de 2020, (loi de la Californie de 2020). Serv. Proposition 24, codifiée à Cal. Civ. Code 1798,100 et seq.) et ses règlements d’application, chacun modifié ou remplacé de temps à autre.

  3. « lois européennes sur la protection des données » signifie le Règlement (UE) 2016/679 du Parlement européen et du Conseil sur la protection des personnes physiques en ce qui concerne le traitement des données personnelles et sur la libre circulation de ces données, telles que modifiées ou remplacées de temps à autre (« RGPD de l’UE »); le RGPD de l’UE en tant que partie intégrante de la loi du Royaume-Uni en vertu de l’article 3 de la UK European Union (Withdrawal) Act 2018 du R.-U. et de la Data Protection Act 2018 du R.-U. (ensemble, « lois sur la protection des données au R.-U. »); et la loi fédérale suisse de 19/6/1992 sur la protection des données (LPD) et son ordonnance (« LPD suisse »).

  4. « lois sur la protection des données » désigne les lois applicables régissant la protection et la sécurité des données personnelles, y compris, le cas échéant, et sans s’y limiter, les lois canadiennes sur la protection des données, les lois européennes sur la protection des données ou la California Consumer Privacy Act of 2018 (la « CCPA »).

  5. « fins permises » désigne le traitement de données personnelles i) au besoin pour la prestation des services énoncés plus en détail à l’annexe 1; ii) ce qui est autrement autorisé par les lois sur la protection des données en lien avec les services; et iii) se conformer aux obligations juridiques qui ne sont pas en conflit avec les lois sur la protection des données.

  6. « données personnelles » désigne tout renseignement qui détermine ou décrit une personne ou un ménage particulier, ou qui s’y rapporte ou pourrait s’y rapporter ou que l’on peut raisonnablement associer à cette personne ou à ce ménage, directement ou indirectement, en rapport avec les services rendus au client, y compris et sans s’y limiter, tous les renseignements qui constituent des « renseignements personnels » ou des « données personnelles » en vertu des lois sur la protection des données qui s’appliquent au vendeur.

  7. « transfert restreint » signifie i) lorsque le RGPD de l’UE ou la LPD suisse s’applique, un transfert de données personnelles de l’espace économique européen (« EEE »), y compris de la Suisse, vers un pays situé en dehors de l’EEE, qui n’est pas soumis à une détermination de l’adéquation des fonds propres par la Commission européenne; ii) lorsque le RGPD du R.-U. s’applique, un transfert de données personnelles du Royaume-Uni vers tout pays qui n’est pas soumis à des règles relatives à l’adéquation des fonds propres en vertu de l’article 17A de la Data Protection Act du R.-U.; et iii) lorsque la loi 25 du Québec s’applique, un transfert de données personnelles à l’extérieur du Québec.

  8. « atteinte à la sécurité » signifie une violation de la sécurité entraînant la divulgation non autorisée de données personnelles en la possession, sous la garde ou sous le contrôle du vendeur ou leur accès non autorisé.

  9. « données sensibles » signifie a) le numéro de sécurité sociale, le numéro de dossier fiscal, le numéro de passeport, le numéro de permis de conduire ou un numéro d’identification semblable (ou une partie de ce numéro); b) le numéro decarte de crédit ou de débit (autre que le numéro tronqué [les quatre derniers chiffres] d’une carte de crédit ou de débit); c) les renseignements sur l’emploi, les finances, le crédit, la génétique, la biométrie ou la santé; d) les origines raciales ou ethniques, l’appartenance politique ou religieuse, l’appartenance à un syndicat, des renseignements sur la vie sexuelle, l’orientation sexuelle ou le casier judiciaire; e) les mots de passe des comptes; ou f) d’autres renseignements qui entrent dans la définition de « catégories spéciales de données », « données sensibles » ou « renseignements personnels non publics » en vertu des lois sur la protection des données ou des renseignements personnels applicables, selon leur définition dans les lois en matière de notification des atteintes à la protection des données.

  10. « Clauses contractuelles types » signifie : i) lorsque le RGPD de l’UE s’applique, les clauses contractuelles annexées à la décision de mise en œuvre 2021/914 du 4 juin 2021 de la Commission européenne sur les clauses contractuelles types concernant le transfert de données personnelles vers des pays tiers en vertu du RGPD de l’UE (« clauses contractuelles types de l’UE »); et ii) lorsque les lois britanniques sur la protection des données s’appliquent, l’addenda britannique aux clauses contractuelles types de l’UE publiées par le Information Commissioner’s Office en vertu du paragraphe 119A(1) de la Data Protection Act 2018 (l’« addenda britannique »).

2. Portée de l’addenda au traitement des données

  1. Le présent addenda au traitement des données s’applique dans la mesure où le vendeur traite les données personnelles au nom du client dans la prestation de services en vertu de l’entente. Pour éviter le doute, lorsque les lois sur la protection des données applicables l’exigent, il est dans l’intention des parties que le vendeur soit un « fournisseur de service », un « sous-traitant » ou un « titulaire de licence » du client et que le client soit une « entreprise », un « contrôleur » ou un « concédant ». 

  2. Nonobstant ce qui précède, les parties reconnaissent et conviennent que le vendeur ne sera pas tenu de traiter des données sensibles au nom du client, sauf indication contraire expresse dans un énoncé des travaux; dans ce cas, le client indique les catégories et les types de données sensibles qui seront traitées dans l’énoncé des travaux pertinent.  À moins que les parties conviennent dans un énoncé des travaux que le vendeur traitera les données sensibles au nom du client, le client restreint l’accès du vendeur à toute donnée sensible en sa possession ou sous son contrôle.

  3. Si une loi sur la protection des données impose des obligations supplémentaires ou dérogatoires par rapport à celles énoncées dans le présent addenda au traitement des données concernant le traitement des données personnelles ou oblige le client et le vendeur à signer une entente supplémentaire, y compris des instruments d’exportation de données, à mettre en œuvre des mesures de sécurité ou de sécurité organisationnelle additionnelles pour traiter les données personnelles en vertu de l’addenda au traitement des données, le client doit s’assurer de se conformer à la loi sur la protection des données applicable avant de divulguer des données personnelles assujetties à cette loi et les parties conviennent de négocier ces obligations, ententes ou mesures de sécurité supplémentaires de bonne foi.

3. Obligations du client

  1. Les parties conviennent que le client est responsable d’obtenir tous les consentements requis par les lois applicables sur la protection des données, en plus de fournir et de garantir l’exactitude de tout avis exigé pour divulguer des données personnelles au vendeur, aux membres du groupe du vendeur ou aux sous-traitants du vendeur qui fournissent des services à des fins d’utilisation conformément à l’entente. En outre, le client garantit que toutes les données personnelles traitées par le vendeur conformément à ces modalités ont été obtenues par le vendeur et fournies à celui-ci conformément à toutes les lois applicables et s’est assuré qu’il y a des motifs légitimes pour le traitement de toute donnée personnelle par le vendeur, les membres du groupe du vendeur ou tout sous-traitant du vendeur qui fournissent des services à des fins d’utilisation conformément à l’entente. 

  2. Le client est entièrement responsable de respecter les lois sur la protection des données. Si une collaboration supplémentaire du vendeur est nécessaire pour assurer cette conformité, les parties négocient de bonne foi pour établir les modalités de cette collaboration, y compris le remboursement au vendeur des coûts de ces services ou ce soutien supplémentaires à cet égard.

4. Obligations du vendeur

  1. Le vendeur doit traiter uniquement les données personnelles aux fins permises et conformément aux directives du client. Le client reconnaît que le vendeur se fie aux directives qu’il lui donne pour que le vendeur sache dans quelle mesure il a le droit d’utiliser et de traiter ses données personnelles, et que le vendeur ne peut être tenu responsable de toute réclamation présentée par une personne concernée dans la mesure où cette réclamation découle des directives du client. Lorsqu’en vertu des lois sur la protection des données, le vendeur doit traiter les données personnelles selon des modalités autres que celles énoncées dans l’entente, le vendeur doit notifier rapidement le client de cette exigence juridique avant le traitement, à moins que les lois sur la protection des données n’interdisent une telle divulgation. Si les lois sur la protection des données l’exigent, le vendeur doit aussi avertir le client s’il détermine qu’une des directives du client enfreint les lois sur la protection des données applicables.

  2. La section B de l’annexe 1 aux présentes décrit l’objet du traitement, sa durée, sa nature et son but, ainsi que les catégories de données personnelles et types de personne concernée pertinents au traitement afin de réaliser les fins permises.  Si et dans la mesure où les parties acceptent, conformément à l’article 2b) des présentes, que le vendeur traite des données sensibles au nom du client, les parties indiquent les catégories supplémentaires de données personnelles et les types de personne concernée qui feront l’objet du traitement dans l’énoncé des travaux applicable, ainsi que toutes les restrictions ou mesures de sécurité supplémentaires qui doivent s’appliquer aux données sensibles, le cas échéant. 

5. Coopération

  1. Sur demande, le vendeur fournit une collaboration raisonnable et toute aide nécessaire au client comme suit : i) répondre à toute demande de renseignements, plainte ou autre communication requise par la loi concernant le traitement des données personnelles du client; ii) répondre à toute demande d’une personne concernée ou d’un consommateur pour exercer ses droits en vertu des lois sur la protection des données (y compris l’accès, la correction, la suppression et la portabilité des données, le cas échéant), y compris en l’aidant au moyen de mesures techniques et organisationnelles appropriées; iii) les obligations du client en vertu des lois sur la protection des données applicables, y compris en l’aidant à effectuer des évaluations d’impact des données le cas échéant, dans chaque cas dans la mesure du possible et en tenant compte de la nature du traitement fait par le vendeur et des données personnelles mises à sa disposition. Le vendeur est tenu de fournir cette assistance seulement dans la mesure où le client ne peut répondre seul à une telle demande.  Nonobstant toute disposition contraire dans l’entente, le client est tenu de rembourser au vendeur les dépenses personnelles que celui-ci a engagées dans le cadre de cette collaboration.  Ces dépenses sont facturées au client conformément à l’entente.

  2. Le vendeur doit informer rapidement le client de toute demande, plainte, réclamation ou autre communication qu’il a reçue ou qu’un sous-traitant d’un tiers a reçue concernant son traitement des données personnelles.

6. Atteinte à la sécurité

  • Le vendeur doit aviser rapidement le client s’il découvre une atteinte à la sécurité ou s’il en est informé. Le vendeur doit coopérer raisonnablement à l’enquête sur l’atteinte à la sécurité. Si et dans la mesure où la cause immédiate de l’atteinte à la sécurité est le défaut du vendeur de se conformer au présent addenda au traitement des données, le vendeur remboursera au client les dépenses raisonnables et documentées qu’il a engagées pour fournir les avis réglementaires requis aux personnes dont les données personnelles ont fait l’objet d’une atteinte à la sécurité, ou aux médias ou aux organismes de réglementation, le cas échéant.

7. Transferts restreints

  • Si et dans la mesure où l’exécution d’un service exige le transfert de données personnelles du client au vendeur, ce qui est un transfert restreint, les parties conviennent pour l’Europe que les modalités applicables jointes en tant qu’annexe 3 au présent addenda au traitement des données régissent ce transfert restreint. Le vendeur ne participera pas (et ne permettra pas à un sous-traitant de participer) à un autre transfert restreint, à moins que ce transfert ne soit effectué conformément aux lois sur la protection des données. Tout autre transfert de données personnelles par l’une ou l’autre des parties à l’extérieur du pays ou d’une province où les services sont fournis et qui n’est pas un transfert restreint est conforme aux lois sur la protection des données. 

8. Sécurité

  1. Le vendeur doit mettre en œuvre et maintenir un programme de sécurité de l’information qui établit des mesures de protection techniques, organisationnelles et physiques raisonnables et appropriées conçues pour protéger les données personnelles qu’il contrôle ou possède, en tenant compte de la nature du traitement qu’il effectue. Une description du programme de sécurité de l’information du vendeur est jointe à titre d’annexe 2 du présent addenda au traitement des données.  Dans la mesure requise par les lois applicables sur la protection des données, le vendeur doit, sur demande, mettre à la disposition du client des informations raisonnablement nécessaires pour démontrer le respect de cette obligation.

  2. Les mesures techniques, organisationnelles et physiques énumérées à l’annexe 2 sont soumises à des processus technologiques et à des progrès. Par conséquent, le vendeur peut mettre en œuvre des mesures de rechange appropriées, qui respectent ou dépassent le niveau de sécurité des mesures décrites à l’annexe 2 et en avisera le client seulement si sa mise en œuvre de ces mesures de sécurité de rechange entraîne une diminution importante de la sécurité de l’ensemble du programme de sécurité de l’information du vendeur.

  3. Chaque année sur demande écrite du client, le vendeur fournit des documents destinés au client portant sur l’état actuel du programme de sécurité de l’information du vendeur ou une certification par un tiers ou les documents d’évaluation de la sécurité. 

9. Sous-traitants

  • Les parties conviennent que le vendeur peut, au besoin, sous-traiter ses obligations à des sous-traitants pour exécuter les services prévus en vertu de l’entente. Le vendeur demeure responsable de l’exécution des sous-traitants en vertu de l’entente et conclut avec les sous-traitants un accord qui impose substantiellement les mêmes obligations que celles stipulées dans le présent addenda au traitement des données. Le vendeur convient également que tout membre du personnel ou tout sous-traitant qui a accès à des données personnelles est tenu de traiter les données personnelles conformément aux directives du vendeur et est assujetti à l’obligation de maintenir la confidentialité.

10. Retour ou destruction

  • Nonobstant toute autre disposition contraire de l’entente, lors de la résiliation de l’entente ou par ailleurs à la demande écrite du client, le vendeur, sur instruction du client doit soit retourner, soit supprimer les données personnelles hébergées ou stockées dans ses systèmes relativement à la prestation des services, à moins qu’une loi, une règle ou un règlement l’exige, ou qu’une autorité judiciaire, administrative, gouvernementale ou réglementaire demande de conserver les données personnelles, ou si le retour ou la destruction demanderait des efforts disproportionnés dans les circonstances. Une fois que les données personnelles ont été supprimées des systèmes actifs du vendeur, elles peuvent continuer d’exister dans les sauvegardes et les journaux pendant une certaine période jusqu’à ce qu’elles soient écrasées dans le cours normal des affaires et conformément aux politiques de conservation et de destruction des données du vendeur.

 

Annexe 1

Description du traitement des données

A. Liste des parties

Exportateur(s) de données :
Nom :
Client ou membre du groupe du client indiqué dans l’énoncé des travaux pertinent.
Adresse :
Comme l’indique l’énoncé des travaux pertinent ou autrement fourni au vendeur
Le nom,
le poste et les coordonnées du contractuel
Comme l’indique l’énoncé des travaux pertinent ou autrement fourni au vendeur
Activités pertinentes pour les données transférées en vertu des présentes clauses :
Voir la section B
Rôle (contrôleur/sous-traitant) :
Contrôleur
Importateur(s) de données :
Nom :
CDW Canada Corp.
Adresse :
1700-185 The West Mall,
Etobicoke (ON) M9C 5L5
Le nom,
le poste et les coordonnées du contractuel
Administrateur – Avocat-conseil principal, Éthique mondiale et conformité
personaldatainquiry@cdw.com
Activités pertinentes pour les données transférées en vertu des présentes clauses :
Voir la section B
Rôle (contrôleur/sous-traitant) :
Sous-traitant
B. Description du traitement/transfert
Objet, nature et
but du traitement
Traitement dans une mesure aussi proportionné et raisonnable que possible pour exécuter les services au nom du client conformément à l’entente à des fins commerciales et en conformité avec l’addenda au traitement des données. Ce qui précède comprend les services professionnels et gérés par projet (y compris, mais sans s’y limiter, la configuration, la mise en œuvre,l’évaluation, l’augmentation du personnel, les communications unifiées, les services hébergés et de réseau) qui gèrent les comptes ou assurent leur service, fournissent du stockage et d’autres types de traitement des données personnelles, selon les besoins, pour fournir les services.
Catégories de personnes concernées
Les clients et leurs employés;
Types de données personnelles
Nom, adresse (physique), courriel, numéro de téléphone, adresse IP, accès au système, utilisation du système et données d’autorisation

Autres données non sensibles 

On ne prévoit pas de traitement de données sensibles ou de catégories spéciales; mais si et dans la mesure où le traitement de données de cette nature est nécessaire en vertu d’un énoncé des travaux particulier, les parties mettent à jour l’énoncé des travaux pertinent.  Le client est entièrement responsable de déterminer un tel traitement et les restrictions supplémentaires ou mesures de sécurité (le cas échéant) qui doivent être appliquées aux données sensibles transmises par le client, et d’en avertir le vendeur.
Durée
Continue pendant la durée de l’entente et pendant la période limitée suivant sa résiliation, conformément à l’article 10.

Annexe 2

Énoncé sur la sécurité des données

Lorsque cela s’applique aux services fournis et à sa propre infrastructure, le vendeur met en œuvre des mesures de protection techniques, organisationnelles et physiques raisonnables et appropriées afin de protéger les données personnelles des clients sous sa garde ou sou son contrôle contre le traitement non autorisé (comme l’accès, la collecte, l’utilisation, la copie, la modification, l’élimination ou la divulgation, la perte, la destruction, l’acquisition ou le dommage non autorisés, illégaux ou accidentels).

  1. Normes de sécurité. Le vendeur harmonise des parties pertinentes de ses opérations avec diverses normes de sécurité des données, par exemple les exigences de sécurité des données suivantes : i) Loi Sarbanes-Oxley; ii) la Health Insurance Portability and Accountability Act des États-Unis; iii) normes de sécurité sur les données de l'industrie des cartes de paiement; iv) le Règlement général sur la protection des données (RGPD) de l’UE; v) Loi sur la protection des renseignements personnels et les documents électroniques; vi) Norme internationale sur la sécurité de l’information ISO/IEC 27001; et vii) l’énoncé sur la Norme canadienne des missions d’attestation no 18.
  2. Politiques de sécurité. Le vendeur met en œuvre, tient à jour et surveille en tout temps un programme de sécurité de l’information complet, écrit et harmonisé avec les normes du secteur et qui contient des mesures de protection administratives, techniques et physiques appropriées visant à protéger la sécurité, la confidentialité ou l’intégrité des données personnelles sous la garde ou sous le contrôle du vendeur (le « programme de sécurité de l’information ») qui respecte ou dépasse les exigences de ces normes et des lois applicables.  Les renseignements sommaires de ce programme de sécurité de l’information sont disponibles pour examen par le client, à sa demande.  Le vendeur examine et, au besoin, révise son programme de sécurité de l’information au moins une fois par année et informe les clients si des changements apportés au programme ont une incidence négative le niveau de sécurité fourni.
  3. Contrôles d’accès. Le vendeur tient à jour des contrôles d’accès appropriés visant à restreindre l’accès physique et logique aux données personnelles sous sa garde ou sous son contrôle aux seules personnes qui sont nécessaires pour la prestation des services. Les contrôles d’accès comprennent, entre autres :

    • la surveillance et la journalisation de l’accès physique et logique aux systèmes du vendeur qui contiennent des données personnelles;
    • l’examen des tentatives d’accès réussies ou rejetées aux systèmes contenant des données personnelles afin de déceler les activités potentiellement malveillantes;
    • s’assurer que le personnel qui a accès aux systèmes qui stockent des données personnelles utilise des identifiants d’accès individuels uniques qui répondent aux normes du secteur relatives à la force du mot de passe; et
    • le maintien d’un programme officiel concernant l’examen périodique de l’accès et de la suppression de l’accès pour les employés qui n’ont plus besoin de l’accès.
  4. Infrastructure sûre. Le vendeur maintient une topologie d’infrastructure sûre qui respecte les normes du secteur en ce qui concerne :

    • la segmentation, pour s’assurer que les données personnelles sont séparées logiquement des données du vendeur et de celles des autres clients du vendeur;
    • un pare-feu et une architecture de réseau, y compris les considérations relatives aux communications internes et externes;
    • la détection et la prévention des intrusions;
    • le cryptage des données au repos et en mouvement;
    • le renforcement des dispositifs et la configuration standard, notamment l’élimination des défectuosités du système et des ports et services inutilisés;
    • la détection et la prévention des logiciels malveillants dans le but de protéger les systèmes du vendeur, entre autres ceux qui stockent des données personnelles ou se connectent à l’environnement des clients;
    • la surveillance des événements et des incidents de sécurité, notamment les alertes, l’intervention, les mesures correctives, et les procédures de protection et de rétention des journaux.
  5. Surveillance des menaces. Le vendeur met en œuvre des contrôles conformes aux normes du secteur afin de détecter les dispositifs non autorisés ou de les empêcher de se connecter au réseau qui fournit les services.  En outre, le vendeur met en œuvre des contrôles aux fins suivantes :

    • la sensibilisation à la vulnérabilité, notamment la sensibilisation du secteur, ainsi que des analyses de vulnérabilité et tests de pénétration réguliers;
    • la gestion de la vulnérabilité, notamment la gestion des correctifs;
    • les plans d’intervention en cas d’incident de sécurité à des fins de dépistage, de recours hiérarchique, d’atténuation et de résolution des incidents de sécurité soupçonnés. 
  6. Formation.  Seller requires its employees to attend and complete periodic information security education and awareness training.

Annexe 3

Clauses contractuelles normalisées et modalités supplémentaires applicables

  1. Incorporation des clauses contractuelles normalisées de l’UE 
    Les parties conviennent que les clauses contractuelles normalisées de l’UE sont par les présentes incorporées par renvoi au présent addenda au traitement des données, conformément aux modalités ci-dessous.

    Module 2 : Le module « responsable du traitement vers sous-traitant » s’applique lorsque le client est l’exportateur de données provenant de l’EEE et que le responsable du traitement et le vendeur sont l’importateur et le responsable du traitement des données.

  2. Dispositions facultatives relatives aux clauses contractuelles normalisées de l’UE 
    Lorsque les clauses contractuelles normalisées de l’UE stipulent des dispositions facultatives (ou des dispositions comportant plusieurs options), les règles suivantes s’appliquent ainsi :
    1. la clause 7 (clause d’accueil) s’applique;
    2. à la clause 9a) (Utilisation de sous-traitants), l’option 2 s’applique;
    3. à la clause 11a) (Recours), la disposition facultative ne s’applique PAS;
    4. aux fins de la clause 13, l’Autorité néerlandaise de protection des données (Autoriteit Persoonsgevens, AP) est réputée être l’autorité de surveillance compétente;
    5. à la clause 17 (Loi applicable), les lois des Pays-Bas s’appliquent; et
    6. à la clause 18 (Choix du forum et de la compétence), les tribunaux compétents sont ceux des Pays-Bas.
    7. Il faut remplir l’annexe I aux clauses contractuelles normalisées de l’UE en indiquant les renseignements énoncés à l’Annexe 1 de l’addenda au traitement des données.
    8. Il faut remplir l’annexe II aux clauses contractuelles normalisées de l’UE en indiquant les renseignements énoncés à l’Annexe 2 de l’addenda au traitement des données (Énoncé sur la sécurité des données).
  3. Modalités supplémentaires aux clauses contractuelles normalisées 
    1. Documents et conformité. Aux fins de la clause 8.9b), les dispositions de l’entente et de l’addenda au traitement des données relatives à l’examen et à la vérification s’appliquent.
    2. Avis et transparence.
      1. Les parties reconnaissent et conviennent que le vendeur, s’il est tenu, en vertu des clauses contractuelles normalisées de l’UE, d’aviser l’autorité de surveillance compétente, doit d’abord informer le client des détails de l’avis, permettant ainsi au client d’être préalablement informé par écrit de l’avis pertinent s’il le souhaite, et cela sans retarder indûment la date de l’avis. 
      2. Aux fins de la clause 8,3 – Module 2 et de la clause 15.1a), les parties conviennent et reconnaissent que le vendeur ne sera peut-être pas en mesure d’effectuer les communications appropriées aux personnes concernées et qu’en conséquence, le client (après avoir été avisé par l’importateur de données) doit avoir l’option d’être la partie qui fait une communication à la personne concernée, et le vendeur doit fournir le niveau d’aide énoncé dans l’addenda au traitement des données.
    3. Responsabilité. Aux fins de la clause 12a), la responsabilité des parties est limitée conformément aux dispositions de l’entente relatives à la limitation de responsabilité.
    4. Signatures. Nonobstant le fait que le RGPD de l’UE est incorporé par renvoi aux présentes sans être directement signé, le vendeur et le client conviennent chacun que leur signature de l’entente est réputée constituer la signature du RGPD de l’UE à la date de l’entente, et que chacun d’eux est dûment autorisé à le faire au nom de l’exportateur de données ou de l’importateur de données (selon le cas) et qu’en conséquence, leur signature lie ces derniers.
  4. Dispositions des lois suisses 
    En ce qui concerne les données personnelles transférées à partir de la Suisse et régies par la loi suisse :

    1. les références à l’UE, aux États membres et au RGPD dans les clauses contractuelles types de l’UE sont modifiées mutatis mutandis pour désigner la Suisse, la LPD suisse (qui peut être mise à jour ou remplacée de temps à autre) et le commissaire fédéral à la protection des données et à l'accès à l'information de la Suisse; et
    2. à la clause 17 (Loi applicable), les lois de la Suisse s’appliquent, et à la clause 18 (Choix du forum et de la compétence), les tribunaux compétents sont ceux de la Suisse.
  5. Addenda du Royaume-Uni 
    En ce qui concerne les données personnelles transférées à partir du Royaume-Uni et régies par les lois sur la protection des données du Royaume-Uni :

    1. L’information requise par les tableaux 1 à 3 du modèle d’addenda international sur le transfert de données publié par l’ICO et déposé au Parlement le 2 février 2022, conformément à l’article 119A de la Data Protection Act 2018 du Royaume-Uni, loi qui peut être révisée de temps à autre (le « modèle d’addenda du Royaume-Uni ») est fournie dans l’entente, l’addenda au traitement des données et le ou les énoncés des travaux.
    2. Les références à l’UE, aux États membres et au RGPD dans les clauses contractuelles types de l’UE sont modifiées mutatis mutandis pour désigner le Royaume-Uni, la Data Protection Act 2018 du Royaume-Uni (loi qui peut être mise à jour ou remplacée de temps à autre) et le Information Commissioner’s Office (l’ « ICO ») du Royaume-Uni; et
    3. à la clause 17 (Loi applicable), les lois de l’Angleterre et du Pays de Galles s’appliquent, et à la clause 18 (Choix du forum et de la compétence), les tribunaux compétents sont ceux de Londres en Angleterre. Une personne concernée peut aussi intenter une poursuite contre l’exportateur ou l’importateur de données devant les tribunaux appropriés en Angleterre et au Pays de Galles.
    4. En cas d’incohérence ou de conflit entre les lois sur la protection des données du Royaume-Uni (y compris le modèle d’addenda du Royaume-Uni) et les clauses contractuelles types de l’UE, y compris le présent addenda du Royaume-Uni, les lois sur la protection des données du Royaume-Uni, y compris le modèle d’addenda du Royaume-Uni, régiront les transferts de données à partir du Royaume-Uni. Dans la mesure requise par les lois britanniques sur la protection des données, le modèle d’addenda du Royaume-Uni est incorporé aux présentes.
    5. Si le sens d’une disposition des clauses contractuelles types de l’UE, y compris la présente section, n’est pas clair ou comporte plusieurs sens, le sens qui est le plus rapproché de celui des lois sur la protection des données du R.-U. s’applique.
    6. Toute référence à une loi (ou à une disposition particulière de la loi) signifie la loi (ou la disposition particulière) dans sa version modifiée au fil du temps. Cela comprend les cas où cette loi (ou cette disposition particulière) a été regroupée, adoptée de nouveau ou remplacée après la conclusion du présent addenda.
    7. Bien que la clause 5 des clauses contractuelles types de l’UE stipule que les clauses contractuelles types de l’UE l’emportent sur tous les accords connexes conclus entre les parties, les parties conviennent que le présent addenda du Royaume-Uni a préséance sur les autres dispositions des clauses contractuelles types de l’UE à l’égard des transferts de données à partir du Royaume-Uni.

Date de la version : 09-11-2025