Annexe de traitement des données


Cet addendum sur le traitement des données (“DPA”) est incorporé et est soumis aux termes et conditions de l’accord entre Digidly SNC (ci-après Digidly) et la partie identifiée comme client du Service (ou “vous”) dans le Accord (“Client”).

Tous les termes commençant par une majuscule non définis dans le présent DPA auront la signification indiquée dans l’accord. Pour éviter toute ambiguïté, toutes les références à l ‘«Accord» doivent inclure cette DPA (y compris les CSC, tels que définis dans ce document).

1. Définitions

«Affilié» désigne une entité qui contrôle directement ou indirectement, est contrôlée par ou est sous le contrôle commun d’une entité.

«Accord» désigne les Conditions générales de service de Digidly ou d’autres accords écrits ou électroniques régissant la fourniture du Service au Client, car ces termes ou accords peuvent être périodiquement mis à jour.

«Contrôle» désigne un bien, une notation ou un intérêt similaire qui représente cinquante pour cent (50%) ou plus du total des intérêts en circulation de l’entité alors en existence. Le terme “contrôlé” doit être interprété en conséquence.

«Données client» désigne toutes les données personnelles que Digidly traite pour le compte du client en tant que processeur lors de la fourniture du service, comme décrit plus spécifiquement dans le présent DPA.

«Lois sur la protection des données» désigne toutes les lois sur la protection des données et la vie privée applicables au traitement des données personnelles en vertu de l’accord, y compris, le cas échéant, la législation de l’UE sur la protection des données.

“Loi de l’UE sur la protection des données”: i) le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et de la libre circulation de ces données (règlement général sur la protection des données) données) (“GDPR”); (ii) la directive 2002/58 / CE relative au traitement des données à caractère personnel et à la protection de la vie privée dans le secteur des communications électroniques; et (iii) les mises en œuvre nationales applicables des points (i) et (ii) (ou en ce qui concerne le Royaume-Uni, toute législation nationale applicable qui remplace ou convertit le RGPD ou toute autre loi sur les données et la vie privée en droit national en conséquence de le Royaume-Uni quittant l’Union européenne); en tout cas, comment il peut être modifié, remplacé ou remplacé.

“VOIR” signifie, aux fins du présent APD, l’Union européenne, l’Espace économique européen et / ou leurs États membres, la Suisse et / ou le Royaume-Uni.

“Bouclier de protection des données” désigne les États-Unis et les États-Unis. Bouclier de protection des données et Swiss-U.S. Programme d’autocertification du Privacy Shield Framework géré par le Département du commerce des États-Unis et approuvé par la Commission européenne en vertu de la décision C (2016) 4176 du 12 juillet 2016 et du Conseil fédéral suisse respectivement le 11 janvier 2017.

«Principes du bouclier de protection des données» désigne les principes du bouclier de protection des données (complétés par des principes supplémentaires) contenus dans l’annexe II de la décision C (2016) 4176 de la Commission européenne du 12 juillet 2016 (qui peuvent être modifiés, remplacés ou remplacés. ).

«SCC» désigne les clauses contractuelles standard pour les processeurs approuvées par la Commission européenne ou la Federal Data Protection Authority (le cas échéant).

“Incident de sécurité” désigne toute violation de sécurité non autorisée ou illégale entraînant une destruction, une perte ou une altération accidentelle ou illégale, ou la divulgation ou l’accès non autorisé aux Données du Client sur des systèmes gérés ou autrement contrôlés par Digidly.

“Données sensibles”: a) le numéro de sécurité sociale, le numéro de passeport, le numéro de permis de conduire ou une identification similaire (ou une partie de celui-ci); (b) numéro de carte de crédit ou de débit (autre que le numéro tronqué (quatre derniers chiffres) d’une carte de crédit ou de débit); c) les informations sur l’emploi, les informations financières, génétiques, biométriques ou sanitaires; d) l’appartenance raciale, ethnique, politique ou religieuse, l’appartenance à un syndicat ou des informations sur la vie ou l’orientation sexuelle; (e) mot de passe du compte; ou (f) d’autres informations qui relèvent de la définition de “catégories spéciales de données” en vertu du RGPD ou de toute autre loi applicable sur la protection des données.

“Sous-traitant secondaire” désigne tout sous-traitant nommé par Digidly ou ses sociétés affiliées pour l’aider à remplir ses obligations dans le cadre de la fourniture du Service en vertu du Contrat ou du présent DPA. Les sous-traitants peuvent inclure des tiers ou des affiliés Digidly mais doivent exclure les employés ou consultants Digidly.

Les termes “données personnelles”, “responsable du traitement”, “responsable du traitement” et “traitement” doivent avoir le sens qui leur est attribué dans le règlement général sur la protection des données et “traitement”, “processus” et “traitement” doivent être interprétés Par conséquent.

2. Rôles et responsabilités

2.1 Rôles des parties. Entre Digidly et le client, le client est responsable du traitement des données client et Digidly ne traitera les données client qu’en tant que processeur agissant pour le compte du client, comme décrit à l’annexe A (Détails sur le traitement des données) de la présente DPA.

2.2 Limitation de l’objet. Digidly traitera les données client uniquement aux fins décrites dans le présent DPA et conformément aux instructions légales documentées du client, sauf indication contraire de la loi applicable. Les parties conviennent que l’accord établit les instructions complètes et finales du client à Digidly en ce qui concerne le traitement des données client et le traitement en dehors du champ d’application de ces instructions (le cas échéant) nécessite un accord écrit préalable entre les parties. .

2.3 Données interdites. Le Client ne fournira pas (ni ne provoquera la fourniture) de Données sensibles Digidly pour le traitement dans le cadre du Contrat et Digidly n’aura aucune responsabilité pour les Données sensibles, que ce soit en rapport avec un incident de sécurité ou autrement. Pour éviter tout doute, cette DPA ne s’applique pas aux données sensibles.

2.4 Conformité du client. Le Client déclare et garantit (i) qu’il a respecté et continuera de se conformer à toutes les lois applicables en matière de protection des données en ce qui concerne son traitement des Données du Client et les instructions de traitement qu’il transmet à Digidly; et (ii) a fourni et continuera de fournir toutes les communications et a obtenu et continuera d’obtenir tous les consentements et droits nécessaires en vertu des lois sur la protection des données pour que Digidly traite les données des clients aux fins décrites dans l’accord. Le Client sera seul responsable de l’exactitude, de la qualité et de la légalité des Données du Client et des moyens par lesquels le Client a acquis les Données du Client. Sans préjudice de la généralité de ce qui précède, le Client accepte d’être responsable du respect de toutes les lois (y compris les lois sur la protection des données) applicables à tout e-mail ou autre contenu créé, envoyé ou géré via le Service, y compris ceux liés obtenir le consentement (le cas échéant) pour envoyer des courriels, le contenu des courriels et les pratiques de distribution de courriels connexes.

2.5 Obligations de notification relatives aux instructions du client. Digidly informera rapidement le Client par écrit, sauf interdiction par les lois sur la protection des données, s’il prend connaissance ou pense que toute instruction de traitement des données du client viole les lois sur la protection des données.

3. Traitement secondaire

3.1 Sous-processeurs autorisés. Le client accepte que Digidly puisse engager des sous-traitants à traiter les données client au nom du client.

3.2 Objection aux sous-processeurs. Le client peut s’opposer par écrit à la nomination par Digidly d’un nouveau sous-traitant dans les cinq (5) jours civils suivant la réception de la notification conformément à la section 3.1 ci-dessus, à condition que cette objection soit fondée sur des motifs raisonnables relatifs à la protection de Les données. Dans l’affirmative, les parties discuteront de ces préoccupations de bonne foi afin de parvenir à une solution commercialement raisonnable. Si une telle résiliation ne peut être réalisée, Digidly, à sa seule discrétion, ne nommera pas un tel sous-traitant, ou ne permettra pas au client de suspendre ou de résilier le service concerné conformément aux dispositions de résiliation du contrat sans responsabilité pour les deux parties ( mais sans préjudice des commissions encourues par le Client avant suspension ou résiliation).

3.3 Obligations du sous-traitant. Digidly doit: (i) conclure un accord écrit avec chaque sous-processeur contenant des obligations de protection des données qui fournissent au moins le même niveau de protection des données client que celles contenues dans le présent DPA, dans la mesure applicable à la nature des services fournis par ce sous-processeur; et (ii) reste responsable de la conformité de ce sous-processeur avec les obligations de ce DPA et de tout acte ou omission de ce sous-processeur qui amène Digidly à violer l’une de ses obligations en vertu du présent DPA.

4. Sécurité

4.1 Mesures de sécurité. Digidly doit mettre en œuvre et maintenir des mesures de sécurité techniques et organisationnelles adéquates pour protéger les données des clients contre les incidents de sécurité

4.2 Confidentialité du traitement. Digidly garantit que toute personne autorisée par Digidly à traiter les données clients (y compris son personnel, ses agents et ses sous-traitants) est soumise à une obligation de confidentialité adéquate (qu’il s’agisse d’une obligation contractuelle ou statutaire).

4.3 Mises à jour des mesures de sécurité. Le Client est responsable de l’examen des informations mises à disposition par Digidly concernant la sécurité des données et de déterminer indépendamment si le Service répond aux exigences légales et aux obligations du Client en vertu des lois sur la protection des données. Le Client reconnaît que les Mesures de sécurité sont soumises à des progrès et développements techniques et que Digidly peut mettre à jour ou modifier les Mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications n’entraînent pas la dégradation de la sécurité globale du Service fourni au Client. .

4.4 Réponse aux incidents de sécurité. Lorsque Digidly prend connaissance d’un Incident de Sécurité, il doit: (i) informer le Client sans délai indu et, si possible, en tout cas au plus tard 48 heures après avoir pris connaissance de l’Incident de Sécurité; (ii) fournir en temps opportun des informations relatives à l’incident de sécurité dès que le client les connaît ou les demande raisonnablement; et (iii) prendre rapidement des mesures raisonnables pour contenir et enquêter sur tout incident de sécurité. La notification ou la réponse de Digidly à un incident de sécurité en vertu de la présente section 4.4 ne doit pas être interprétée comme une reconnaissance par Digidly de toute erreur ou responsabilité en relation avec l’incident de sécurité.

4.5 Responsabilité du client. Nonobstant ce qui précède, le Client accepte que, sauf disposition contraire de la présente DPA, le Client est responsable de l’utilisation sécurisée du Service, y compris la protection de ses informations d’authentification de compte, la protection de la sécurité des Données du Client pendant la transit vers et depuis le Service et en prenant toutes les mesures appropriées pour crypter ou sauvegarder en toute sécurité toutes les données client téléchargées sur le service.

5. Rapports et audits de sécurité

5.1 Droits de contrôle. Digidly mettra à la disposition du Client toutes les informations raisonnablement nécessaires pour démontrer la conformité à cette DPA et pour permettre et contribuer aux audits, y compris les inspections par le Client afin d’évaluer la conformité à cette DPA. Le Client reconnaît et accepte d’exercer ses droits d’audit en vertu de la présente DPA (y compris la présente Section 5.1 et, le cas échéant, les CSC), enjoignant Digidly de se conformer aux mesures d’audit décrites dans les sections 5.2 et 5.3 ci-dessous.

5.2 Rapports de sécurité. Le Client reconnaît que Digidly est régulièrement audité conformément aux normes SSAE 16 et PCI par des auditeurs indépendants et des auditeurs internes respectivement. Sur demande écrite, Digidly fournira (à titre confidentiel) une copie récapitulative de ses rapports d’audit les plus récents (“Rapport”) au Client, afin que le Client puisse vérifier la conformité de Digidly avec les normes d’audit par rapport auxquelles il a été évalué et ce DPA.

5.3 Diligence raisonnable en matière de sécurité. En plus du rapport, Digidly répondra à toutes les demandes raisonnables d’informations faites par le client pour confirmer la conformité de Digidly à cette DPA, y compris les réponses de sécurité de l’information, la diligence raisonnable et les questionnaires d’audit, mettant à disposition des informations supplémentaires concernant son programme. sécurité des informations clients demande écrite à [email protected], à condition que le client n’exerce pas ce droit plus d’une fois par année civile.

6. Transferts internationaux

6.1 Emplacement des centres de données. Digidly peut transférer et traiter les données des clients vers et en Europe et dans toute autre partie du monde où Digidly, ses filiales ou sous-traitants effectuent des opérations de traitement de données. Digidly veillera à tout moment à ce que ces transferts soient effectués conformément aux exigences des lois sur la protection des données.

6.2 Transfert des données SEE. Dans la mesure où Digidly est destinataire de données client protégées par les lois de protection des données de l’EEE (“données EEE”), les parties conviennent que Digidly met à disposition les mécanismes énumérés ci-dessous, pour tout transfert de données SEE vers ou à un pays qui n’offre pas un niveau adéquat de protection des données personnelles (comme décrit dans les lois applicables sur la protection des données) :

(a) Bouclier de protection des données: si Digidly est auto-certifié pour le Bouclier de protection des données: (i) les parties reconnaissent et conviennent que Digidly sera réputé capable de fournir une protection adéquate (en vertu des lois applicables sur la protection des données) pour VOIR les données en vertu de l’auto-certification de sa conformité avec Privacy Shield; (ii) accepte Digidly de traiter les données de l’EEE conformément aux principes du bouclier de protection des données; et (iii) si Digidly n’est pas en mesure de satisfaire à cette exigence, Digidly informera le Client.
(b) SCC: dans la mesure où le mécanisme de transfert identifié à la section 6.2 (a) ci-dessus ne s’applique pas au transfert et / ou est invalidé, Digidly s’engage à respecter et à traiter les données de l’EEE conformément au SCC qui sont entièrement intégrés par référence et font partie intégrante de la présente APD. Aux fins des CSC: (i) accepte numériquement qu’il est l ‘”importateur de données” et que le client est l’ “exportateur de données” au sens du CSC (bien que le client puisse être une entité située en dehors de la en dehors de l’EEE); (ii) Les annexes A et B de la présente DPA remplaceront respectivement les annexes 1 et 2 du CCN; et (iii) l’annexe C constitue l’appendice 3 du CCN.

7. Retour ou suppression des données

7.1 Annulation à la fin. À la résiliation ou à l’expiration du Contrat, Digidly doit (lors de l’élection du Client) annuler ou retourner au Client toutes les Données du Client (y compris les copies) en sa possession ou sous son contrôle, sauf si cette exigence s’applique dans la mesure où Digidly il est requis par la loi applicable de conserver tout ou partie des données client, ou des données client que vous avez stockées sur des systèmes de sauvegarde, que les données client Digidly doivent isoler en toute sécurité, protéger de tout traitement ultérieur et éventuellement supprimer conformément avec les politiques d’annulation de Digidly, sauf dans la mesure requise par la loi applicable.

8. Droits et coopération de l’intéressé

8.1 Demandes de l’intéressé. Le Service fournit au Client une série de contrôles que le Client peut utiliser pour récupérer, corriger, supprimer ou limiter les Données du Client, que le Client peut utiliser pour l’aider dans le cadre de ses obligations en vertu du RGPD, y compris ses obligations relatives à la réponse aux demandes de personnes concernées ou d’autorités compétentes en matière de protection des données. Dans la mesure où le Client n’est pas en mesure d’accéder indépendamment aux Données Client pertinentes au sein du Service, Digidly fournira (aux frais du Client) une coopération raisonnable pour aider le Client à répondre à toute demande de les personnes ou les autorités de protection des données applicables concernant le traitement des données client conformément à l’accord. Dans le cas où une telle demande est adressée directement à Digidly, Digidly ne répondra pas directement à une telle communication, sauf le cas échéant (par exemple, pour obliger l’intéressé à contacter le Client) ou légalement demandé, sans l’autorisation préalable du Client. Si Digidly est tenu de répondre à une telle demande, Digidly informera rapidement le Client et lui fournira une copie de la demande, sauf si Digidly est légalement interdit. Pour éviter tout doute, rien dans l’accord (y compris le présent DPA) ne limitera ni n’empêchera Digidly de répondre à toute demande de la personne concernée ou de l’autorité de protection des données concernant les données personnelles pour lesquelles Digidly est responsable du traitement.

8.2 Citations et ordonnances judiciaires. Si une autorité chargée de l’application des lois envoie une demande de données client à Digidly (par exemple, par une citation à comparaître ou une ordonnance d’un tribunal), Digidly tentera de rediriger l’autorité chargée de l’application des lois pour demander ces données directement au client. Dans le cadre de cet effort, Digidly peut fournir les coordonnées de base du Client à l’autorité chargée de l’application des lois. S’il est obligé de divulguer les Données du Client à une autorité chargée de l’application des lois, Digidly donnera au Client un avis raisonnable de la demande pour lui permettre de demander une ordonnance de protection ou tout autre recours approprié, à moins que Digidly ne soit légalement interdit.

8.3 Évaluation de l’impact sur la protection des données. Dans la mesure requise par les lois applicables en matière de protection des données, Digidly doit (aux frais du client) fournir toutes les informations raisonnablement requises concernant le service pour permettre au client d’effectuer des évaluations d’impact sur la protection des données ou des consultations préalables avec les autorités de protection des données. protection des données, comme requis par la loi.

9. Clause de non-responsabilité

9.1 Les responsabilités de chaque partie et de toutes ses sociétés affiliées assumées ensemble dans l’ensemble dérivant de ou liées à la présente DPA (y compris la CSC) seront soumises aux exclusions et limitations de responsabilité établies dans le contrat.

9.2 Toute plainte contre Digidly ou ses sociétés affiliées en vertu de ou en relation avec cette DPA (y compris, le cas échéant, la CSC) doit être déposée exclusivement contre l’entité qui fait partie de l’Accord.

9.3 En aucun cas, une partie ne peut limiter sa responsabilité en ce qui concerne les droits de protection des données personnelles prévus par cette DPA ou autre.

10. Relation avec l’accord

10.1 Ce DPA restera en vigueur aussi longtemps que Digidly effectue des opérations de traitement des données client au nom du client ou jusqu’à la résiliation du Contrat (et toutes les données client ont été retournées ou supprimées conformément à la section 7.1 ci-dessus) .

10.2 Les parties conviennent que le présent DPA remplacera tout accord de traitement des données existant ou document similaire que les parties peuvent avoir préalablement signé en relation avec le Service.

10.3 En cas de conflit ou d’incohérence entre le présent DPA et les conditions générales d’utilisation de Digidly, les dispositions des documents suivants prévaudront (par ordre de priorité): (a) CCN; par conséquent (b) ce DPA; et donc (c) les Conditions Générales d’Utilisation Digidly.

10.4 À l’exception de toute modification apportée par la présente DPA, le contrat reste inchangé et en vigueur à toutes fins.

10.5 Sans préjudice du contraire dans le Contrat (y compris le présent DPA), Digidly aura le droit de collecter, d’utiliser et de divulguer des données relatives à l’utilisation, au support et / ou au fonctionnement du Service (“Données de Service”) pour son propre compte. des objectifs commerciaux légitimes, tels que la facturation, la gestion des comptes, le support technique et le développement de produits. Dans la mesure où ces données de service sont considérées comme des données personnelles au sens des lois sur la protection des données, Digidly sera responsable et traitera ces données conformément à notre politique de confidentialité et à nos lois sur la protection des données. Pour éviter tout doute, ce DPA ne s’applique pas aux données de service.

10.6 Nul autre qu’une des parties à la présente DPA, ses successeurs et ayants droit autorisés n’ont le droit de faire valoir l’une quelconque de ses conditions.

10.7 Ce DPA sera réglementé et interprété conformément aux dispositions légales et aux juridictions de l’Accord, sauf indication contraire des lois applicables sur la protection des données.

Annexe A – Détails sur le traitement des données

(a) Objet : l’objet du traitement des données conformément au présent DPA est les données du client.

(b) Durée : entre Digidly et le Client, la durée du traitement des données conformément au présent DPA est jusqu’à l’expiration ou la résiliation du Contrat conformément à ses termes.

(c) Objet : Digidly ne traitera les données du client qu’aux fins suivantes: (i) le traitement pour exécuter le service conformément au contrat; (ii) le traitement initié par le Client lors de l’utilisation du Service; et (ii) le traitement pour se conformer à toute autre instruction raisonnable fournie par le client (par exemple par e-mail ou ticket d’assistance) qui est conforme aux termes de l’accord (individuellement et collectivement, le «but»).

(d) Nature du traitement : Digidly fournit un service de courrier électronique, une plate-forme d’automatisation et de marketing et d’autres services connexes, comme décrit notamment dans l’accord.

(E) Catégories de parties prenantes : (i) Membres; et (ii) des contacts, chacun tel que défini dans notre politique de confidentialité.

(f) Types de données client: le client peut télécharger, envoyer ou autrement fournir certaines données personnelles au service, dont l’étendue est généralement déterminée et contrôlée par le client à sa seule discrétion et peut inclure les types de données personnelles suivants :

Membres : identification et coordonnées (nom, adresse, titre, coordonnées, nom d’utilisateur); informations financières (détails de la carte de crédit, détails du compte, informations de paiement) ; détails sur l’emploi (employeur, titre professionnel, position géographique, zone de responsabilité) ;
Contacts : identification et coordonnées (nom, adresse, titre, coordonnées, y compris l’adresse e-mail), intérêts ou préférences personnelles (y compris l’historique des achats, les préférences marketing et les informations de profil des médias sociaux accessibles au public) ; Informations informatiques (adresses IP, données d’utilisation, données de cookies, données de navigation en ligne, données de position, données de navigateur); informations financières (détails de la carte de crédit, détails du compte, informations de paiement).

(g) Données sensibles: Digidly n’a pas l’intention, ou intentionnellement, de collecter ou de traiter des données sensibles en relation avec la fourniture du Service.

(h) Opérations de traitement: les données des clients seront traitées conformément à l’accord (y compris le présent DPA) et peuvent être soumises aux activités de traitement suivantes:

Stockage et autres traitements nécessaires pour fournir, maintenir et améliorer le Service fourni au Client conformément à l’Accord; et / ou
Divulgation conformément à l’Accord et / ou comme obligatoire par la loi applicable.

Annexe B

Tous les termes définis utilisés dans la présente annexe B ont la signification qui leur est attribuée dans le CCN, sauf indication contraire dans la présente annexe.

Annexe 3 aux clauses contractuelles types

Cette annexe fait partie des clauses et doit être complétée par les parties.

Cette annexe établit l’interprétation des parties de leurs obligations respectives conformément aux clauses spécifiques indiquées ci-dessous. Si une partie se conforme aux interprétations énoncées dans la présente annexe, l’autre partie sera réputée avoir respecté les engagements pris en vertu des clauses.

Aux fins de la présente annexe, “DPA” désigne l’addendum sur le traitement des données en place entre l’importateur et l’exportateur de données et auquel ces clauses sont incorporées et “Accord” aura le sens qui lui est attribué dans la DPA.

Clause 5 (a) : suspension du transfert et de la résolution des données

Les parties reconnaissent que l’importateur de données ne peut traiter des données personnelles que pour le compte de l’exportateur de données et conformément à ses instructions fournies par l’exportateur de données et aux clauses.
Les parties reconnaissent que si l’importateur de données ne peut fournir une telle conformité pour quelque raison que ce soit, il s’engage à informer rapidement l’exportateur de données de son incapacité à se conformer, auquel cas l’exportateur de données a le droit de mettre fin au transfert. des données et / ou résoudre les clauses.
Si l’exportateur de données a l’intention de suspendre le transfert de données à caractère personnel et / ou de résilier ces clauses, il s’engage à communiquer avec l’importateur de données et à lui accorder un délai raisonnable pour prendre en charge le non-respect (“Période de se soucier “).
Si après la période de traitement, l’importateur de données ne résout pas ou ne peut pas remédier au non-respect, l’exportateur de données peut immédiatement suspendre ou arrêter le transfert de données personnelles. L’exportateur de données n’est pas tenu de fournir une telle notification s’il considère qu’il existe un risque substantiel de dommage pour les personnes concernées ou leurs données personnelles.

Clause 5 (f ): Vérification

L’exportateur de données reconnaît et accepte d’exercer son contrôle conformément à la clause 5 (f) en demandant à l’importateur de données de se conformer aux mesures d’audit décrites à la section 5 (Rapports de sécurité et d’audit) de la DPA.

Clause 5 (j) : divulgation des accords de sous-traitance

Les parties reconnaissent l’obligation pour l’importateur de données d’envoyer rapidement une copie de tout accord de sous-traitant ultérieur conclu en vertu des clauses à l’exportateur de données.
Les parties reconnaissent également que, sur la base des restrictions de confidentialité du sous-traitant, l’importateur de données peut être limité par la divulgation des accords de sous-processeur ultérieurs à l’exportateur de données. Néanmoins, l’importateur de données doit faire tous les efforts raisonnables pour exiger que tout sous-processeur désigné lui permette de divulguer l’accord du sous-processeur à l’exportateur de données.
Même si l’importateur de données n’est pas en mesure de divulguer un accord de sous-traitant à l’exportateur de données, les parties conviennent qu’à la demande de l’exportateur de données, l’importateur de données (à titre confidentiel) fournit toutes les informations raisonnablement possible dans le cadre de cet accord de sous-processus avec l’exportateur de données.

Cause 6: responsabilité

Toute réclamation faite en vertu des clauses sera soumise aux termes et conditions, y compris, sans limitation, les exclusions et limitations énoncées dans l’accord. En aucun cas, aucune partie ne peut limiter sa responsabilité vis-à-vis des droits de la personne concernée conformément à ces clauses.

Clause 11 : traitement ultérieur

Les parties reconnaissent que, sur la base de la question fréquemment posée II.1 de l’article 29 du document du groupe de travail WP 176 intitulé “Questions fréquemment posées afin de résoudre certaines questions soulevées par l’entrée en vigueur de la décision 2010/87 / UE de la Commission du 5 février 2010, concernant les clauses contractuelles relatives au transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers conformément à la directive 95/46 / CE “, l’exportateur de données peut donner son accord général au traitement ultérieur par de l’importateur de données.
En conséquence, l’exportateur de données donne son consentement général à l’importateur de données, conformément à la clause 11 de ces clauses, pour s’engager dans des sous-traitants. Ce consentement est soumis à la conformité de l’importateur de données avec les exigences énoncées à la section 3 (Traitement secondaire) de la DPA.