Accord Génération de leads
La présente annexe sur le Traitement des données ("DPA") fait partie intégrante de l’Accord de Services.
CONSIDÉRANT
Quadient, en son nom propre et au nom de ses sociétés affiliées ("Quadient") et la contrepartie acceptant le présent addendum relatif à la protection des données ("Société") ont conclu un accord et/ou signé un bon de commande pour la fourniture des Services, tel que modifié de temps à autre (le "Contrat"). Le présent addendum relatif à la protection des données ("DPA") vise à garantir le respect des obligations des parties en vertu des Lois sur la protection des données en ce qui concerne le Traitement des Données personnelles conformément au Contrat. Quadient et l’Entreprise sont désignés individuellement comme une "Partie" ou collectivement comme les "Parties". En cas de conflit entre le présent DPA et le Contrat, le présent DPA prévaudra.
1. DÉFINITIONS.
a. "Pays adéquat" désigne un pays ou un territoire reconnu par les Lois européenne sur la protection des données comme offrant une protection adéquate des Données personnel ;
b. "Affilié" désigne une entité qui contrôle directement ou indirectement Quadient, est contrôlée par Quadient ou est sous contrôle commun avec Quadient. Aux fins de la présente définition, le terme "contrôle" désigne la propriété ou le contrôle direct ou indirect de 50 % ou plus des droits de vote de l'entité concernée ou la capacité de diriger ou de contrôler les décisions de gestion de cette entité.
c. "Traitement assisté par l'IA" désigne les activités de Traitement effectuées par le Fournisseur de Services dans le cadre des Services qui impliquent un système d'intelligence artificielle, y compris l'apprentissage automatique, la prise de décision automatisée ou l'IA générative.
d. "Système d'intelligence artificielle" désigne un système automatisé conçu pour fonctionner avec différents niveaux d'autonomie et susceptible de générer des résultats tels que des prévisions, des recommandations, des classifications ou des contenus pouvant influencer des environnements physiques ou virtuels, tel que défini dans les lois et réglementations applicables en matière d'intelligence artificielle, y compris la loi européenne sur l'intelligence artificielle, le cas échéant.
e. "Entreprise" ou "Responsable du traitement" désigne (i) la personne ou l'entité qui détermine les finalités et les moyens du traitement des Données personnel, et (ii) une personne ou une entité définie comme "Responsable du traitement", "Entreprise" ou tout autre terme similaire en vertu des Lois sur la protection des données.
f. "Lois sur la protection des données" désigne toutes les lois applicables régissant le Traitement des Données personnel, y compris, sans s'y limiter, (le règlement (CE) n° 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ("RGPD") et la directive européenne sur la vie privée et les communications électroniques (directive 2002/58/CE) (la "directive e-Privacy").
g. Le RGPD britannique désigne le règlement général sur la protection des données du Royaume-Uni de 2018, la loi sur la protection des données de 1998 (collectivement, la "Lois européenne sur la protection des données") ; la législation locale du ou des lieux où le Traitement par une Partie et son personnel a lieu ; la loi californienne sur la protection de la vie privée des consommateurs de 2018 ("CCPA") ; la loi californienne sur les droits à la vie privée (la "CPRA"), dans chaque cas, toutes les dispositions susmentionnées, telles qu'applicables et telles que modifiées, remplacées ou complétées de temps à autre, ainsi que toutes les législations subordonnées adoptées en vertu de celles-ci, ainsi que tous les codes de pratique, règlements ou autres directives publiés par les gouvernements, agences, autorités de contrôle de la protection des données ou autres autorités des pays ou juridictions concernés.
h. "Data Privacy framework" désigne le cadre de protection des données UE-États-Unis, tel que défini par la décision (UE) 2023/1795 de la Commission européenne, et le cadre de protection des données Suisse-États-Unis, tel que défini par la loi fédérale sur la protection des données (LPD), RS 235.1, et la décision du Conseil fédéral suisse du 14 août 2024.
i. "EEE" désigne l'Espace économique européen.
j. "Données personnelles du responsable du traitement" désigne toutes les données personnelles fournies ou mises à disposition par une Partie à l'autre Partie dans le cadre du Contrat principal en rapport avec la fourniture ou l'utilisation (selon le cas) des Services par la Partie fournissant ces données.
k. "Services" désigne les services décrits dans le Contrat principal.
l. "Personne concernée" désigne une personne physique à laquelle se rapportent les Données personnelles du responsable du traitement.
m. "Traiter, Traitement et Traité" désigne toute opération ou ensemble d'opérations effectuées sur des Données personnelles du responsable du traitement ou sur des sous-ensembles de celles-ci, par des moyens automatisés ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.
n. "Données personnelles" ou "informations personnelles" équivalentes désigne toute information se rapportant, directement ou indirectement, à une personne physique identifiée ou identifiable ou autrement telle que définie dans les lois applicables en matière de protection des données.
o. "Violation des données personnelles" désigne l'accès, la perte ou la divulgation non autorisés, le Traitements accidentels ou illégaux Des données personnelles du responsable du traitement.
p. "Personnel" désigne tous les dirigeants, administrateurs et employés, entrepreneurs indépendants ou prestataires de services d'une Partie ou de ses Affiliés.
q. "Prestataire de services" ou "Sous-traitant" désigne une entité qui traite des Données personnelles pour le compte d'une Entreprise ou d'un Responsable du traitement.
r. "Tiers" a la signification qui lui est attribuée dans les Lois sur la protection des données.
2. Rôle des Parties.
Chaque Partie est un Responsable du traitement indépendant des Données personnelles qu'elle collecte ou Traite conformément au Contrat. Chaque Partie est individuellement et séparément responsable du respect des obligations qui lui incombent en tant que Responsable du traitement en vertu des Lois sur la protection des données. Les Parties conviennent qu'elles ne sont pas des responsables conjoints du Traitement des Données personnelles du responsable du traitement. Chaque Partie déterminera individuellement les finalités et les moyens de son Traitement des Données personnel du responsable du traitement listé à l’Annexe 1. Aux fins de la CCPA et des autres Lois sur la protection des données applicables, chaque partie est considérée comme un Tiers.
3. Obligations des Parties.
a. Chaque Partie doit se conformer à toutes les exigences applicables des Lois sur la protection des données. Chaque Partie déclare et garantit à tout moment : (i) qu'elle dispose des droits et de l'autorité nécessaires pour conclure le présent DPA et pour exécuter ses obligations en vertu de celui-ci ; (ii) que l'exécution et la mise en œuvre du présent DPA et du Contrat ne violeront aucun accord auquel elle est partie ; (iii) et qu'elle a fourni toutes les informations requises aux Personnes concernées, y compris, le cas échéant, les Données personnelles qui peuvent être transmises à des Tiers aux fins du Contrat .
b. Sans limiter ce qui précède, chaque Partie maintiendra sur son site web une politique de confidentialité accessible au public et conforme aux Lois sur la protection des données.
c. Chaque Partie informera l'autre Partie par écrit de toute action ou instruction de l'autre Partie en vertu du présent DPA ou du Contrat qui, à son avis, enfreint les Lois sur la protection des données.
d. Sous réserve du présent DPA, chaque Partie, agissant en tant que Responsable du traitement, peut Traiter les Données personnelles du responsable du traitement conformément au Contrat et aux fins autorisées par celui-ci (les "Fins autorisées").
e. Une Partie qui a mis les Données personnelles du responsable du traitement à la disposition de l'autre Partie en vertu du Contrat ("Partie divulgatrice") aura le droit : (i) de prendre des mesures raisonnables et appropriées pour s'assurer que cette autre Partie («Partie réceptrice") utilise les Données personnelle du responsable du traitement d'une manière conforme aux obligations de la Partie divulgatrice en vertu des Lois sur la protection des données et comme l'exigent ces dernières, et (ii) après un préavis écrit raisonnable, prendre des mesures raisonnables et appropriées pour mettre fin à l'utilisation non autorisée desdites Données personnelle du responsable du traitement et y remédier, en vertu des Lois sur la protection des données et comme l'exigent ces dernières. La Partie réceptrice informera la Partie divulgatrice si elle estime ne plus être en mesure de respecter ses obligations en vertu des Lois sur la protection des données. La Partie réceptrice reconnaît et accepte qu'elle ne reçoit les Données personnelles du responsable du traitement qu'aux fins limitées et spécifiques énoncées dans le Contrat. La Partie réceptrice doit fournir un niveau de protection de la vie privée au moins équivalent à celui requis par les Lois sur la protection des données pour ces Données personnelles du responsable du traitement.
4. Sécurité et confidentialité.
Chaque Partie mettra en œuvre les mesures techniques et organisationnelles appropriées définies à l'annexe II afin de protéger les Données personnelles du responsable du traitement contre tout accès non autorisé, accidentel ou illégal, toute perte, divulgation ou destruction. Si une Partie subit une Violation des données personnelles, elle en informe l'autre Partie sans retard injustifié, mais en tout état de cause dans les soixante-douze (72) heures suivant la confirmation de cette Violation des données personnelles, et les deux Parties coopèrent de bonne foi pour convenir et prendre les mesures nécessaires afin d'atténuer ou de remédier aux effets de la Violation des données personnelles. Aucune disposition du présent Contrat n'interdit à l'une ou l'autre des Parties de notifier la Violation des données personnelles aux autorités réglementaires, comme l'exigent les Lois sur la protection des données, avant d'en informer l'autre Partie, à condition que la Partie notifiant en informe l'autre Partie sans délai injustifié. Chaque Partie veille à ce que tout son personnel ayant accès aux Données personnelles du responsable du traitement et/ou les traitant soit tenu de préserver la confidentialité des Données personnelles du responsable du traitement.
5. Transferts de données.
5.1 Lorsque les Services impliquent le stockage et/ou le Traitement de Données personnelles du responsable du traitement qui transfèrent des Données personnel du responsable du traitement hors de l'UE, de l'EEE, de la Suisse ou du Royaume-Uni vers une juridiction qui n'est pas un Pays adéquat, et que les Lois européennes sur la protection des données s'appliquent aux transferts de ces données ("Données personnelles transférées"), les deux Parties conviennent que ces transferts sont régis comme suit :
(a) pour les Personnes concernées situées dans l'EEE, par la version inchangée des clauses contractuelles types figurant dans la décision 2021/914/UE de la Commission (MODULE UN : Transfert de responsable du traitement à responsable du traitement)(les "CCT UE") ; Les Parties conviennent de s'appuyer sur des mécanismes de transfert de données appropriés, conformément aux Lois sur la protection des données, qui peuvent inclure le Data Privacy Framework, les clauses contractuelles types ou d'autres mécanismes légalement reconnus. Si une Partie n'est pas en mesure ou devient incapable de se conformer à ces exigences, les Données personnelles ne seront traitées que dans la mesure où les Lois sur la protection des données le permettent. Les Parties s'efforceront de mettre en œuvre un mécanisme de transfert de données dans la mesure requise par les Lois sur la protection des données en ce qui concerne les Données personnelles.
(b) Dans le cas où le Service serait couvert par plusieurs mécanismes de transfert, le transfert des Données personnelles sera soumis à un seul mécanisme de transfert, selon le cas, et conformément à l'ordre de priorité suivant : (i) le Data Privacy Framework ; (ii) les clauses contractuelles types applicables ; et, si aucun des deux précédents n'est applicable, alors (iii) d'autres mécanismes de transfert de données alternatifs autorisés par les Lois sur la protection des données applicables s'appliqueront. (c) Dans la mesure où Quadient traite des Données personnelles provenant de l'EEE, du Royaume-Uni ou de la Suisse, Quadient déclare être auto-certifié dans le cadre du Data Privacy Framework et adhérer aux principes de protection des données.
(d) Les deux Responsables du traitement conviennent que lorsque le transfert de Données personnelles a lieu entre deux Responsables du traitement au sens du chapitre V du règlement (UE) 2016/679 et du chapitre 12 de la loi britannique 2018, les Responsables du traitement doivent utiliser le Module 1 des clauses contractuelles types adoptées par la Commission européenne conformément à l'article 46, paragraphe 2, du règlement (UE) 2016/679, et l'addendum britannique relatif au transfert international de données aux clauses contractuelles types de la Commission européenne (2022), pour autant que les conditions d'utilisation de ces clauses contractuelles types soient remplies. Les clauses contractuelles types applicables et l'addendum britannique sont disponibles à l'adresse suivante : Clauses contractuelles types | Quadient.
6. Demandes des Personnes concernées.
Chaque Partie traitera ses propres demandes des Personnes concernées souhaitant exercer leurs droits. En ce qui concerne les demandes émanant des Personnes concernées ou en leur nom concernant le Traitement des Données personnelles partagées entre les Parties ( ), y compris les demandes de refus de la vente de Données personnelles conformément à la CCPA, les Parties collaboreront pour honorer ces objections ou demandes de refus.
7. Coopération en matière de conformité.
Les deux Parties conviennent de coopérer et de s'entraider de manière raisonnable dans le cadre de toute enquête réglementaire, plainte ou investigation concernant les Données personnelles du responsable du traitement partagées entre les Parties.
8. Répartition des coûts.
Chaque Partie s'acquittera de ses obligations en vertu du présent DPA à ses propres frais, sauf indication contraire dans les présentes.
9. Responsabilité.
La responsabilité des Parties en vertu du présent DPA ou en relation avec celui-ci sera soumise aux exclusions et limitations de responsabilité prévues dans le Contrat.
10. Divers.
Si une disposition ou une condition du présent DPA est jugée ou déclarée invalide, illégale ou inapplicable par une autorité compétente ou un tribunal, le reste du présent DPA restera valable. La disposition ou la condition concernée sera interprétée comme étant modifiée de manière à garantir sa validité, sa légalité et son applicabilité tout en préservant les intentions des Parties, ou, si cela n'est pas possible, comme si la partie invalide, illégale ou inapplicable n'avait jamais été incluse dans le présent DPA. Le présent DPA sera régi et interprété conformément aux lois régissant le Contrat, et tout litige sera résolu par les tribunaux désignés pour le règlement des litiges dans le cadre du Contrat.
ANNEXE I
A. LISTE DES PARTIES
1. Nom : Quadient
Adresse : tel que défini dans le Contrat
Nom, fonction et coordonnées de la personne à contacter : privacyteam@quadient.com
Rôle : Responsable du traitement (exportateur de données dans le cas où les CCT et l'addendum britannique s'appliquent)
2. Nom : Entreprise
Adresse : tel que défini dans le Contrat
Nom, fonction et coordonnées de la personne à contacter : tel que désigné dans le Contrat
Activités pertinentes pour les données transférées en vertu des présentes clauses telles que définies dans le Contrat
Rôle Responsable du traitement (importateur de données dans le cas où les CCT et l'addendum britannique sont applicables)
B. DESCRIPTION DU TRANSFERT
CATÉGORIES DE PERSONNES CONCERNÉES.
Les données à caractère personnel transférées concernent les catégories suivantes de personnes concernées, sauf mention contraire dans le Contrat :
a). les prospects, les fournisseurs et les clients, ainsi que leurs employés, agents et utilisateurs finaux respectifs
b).les employés, agents et utilisateurs finaux de Quadient, ainsi que les sous-traitants de Quadient.
CATÉGORIES DE DONNÉES À CARACTÈRE PERSONNEL TRAITÉES.
Les données à caractère personnel transférées concernent les catégories de données suivantes, sauf mention contraire dans le Contrat:
Nom et prénom, coordonnées (adresse e-mail, numéro de téléphone, adresse postale) et données financières (numéros de compte bancaire).
DONNÉES SENSIBLES (le cas échéant).
Les données à caractère personnel transférées concernent les catégories de données sensibles suivantes :
Aucune
FRÉQUENCE. Le transfert de données à caractère personnel aura lieu à la fréquence suivante :
Périodiquement pendant la durée du Contrat jusqu'à ce que l’Entreprise ait terminé les Services pour Quadient.
NATURE. La nature du transfert des données à caractère personnel est la suivante :
Le fournisseur traitera les données à caractère personnel de Quadient aux fins de la fourniture des services et conformément aux dispositions du Contrat.
OBJECTIFS DU OU DES TRANSFERTS.
Le transfert est effectué aux fins suivantes :
Le transfert vise à permettre la relation et l'exécution du contrat entre les Parties.
INFORMATIONS UTILES SUPPLÉMENTAIRES (limites de stockage et autres informations pertinentes).
Toute donnée à caractère personnel transférée entre les Parties ne peut être conservée que pendant la durée autorisée par le Contrat entre les parties.
INFORMATIONS UTILES SUPPLÉMENTAIRES POUR LES TRANSFERTS VERS DES SOUS-TRAITANTS OU DES SOUS-TRAITANTS ULT
Pour les transferts vers des sous-traitants ou des sous-traitants ultérieurs,
la liste des sous-traitants ultérieurs doit être communiquée par l’Entreprise : précisez également l'objet, la nature et la durée du traitement.
Veuillez consulter le Contrat.
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
La Commission nationale de l'informatique et des libertés (France).
ANNEXE II
ESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À ASSURER LA SÉCURITÉ DES DONNÉES
Nonobstant toute mesure supplémentaire convenue dans le Contrat principal, les deux Parties ont convenu de mettre en œuvre et de maintenir pour les Données d'entreprise et les Données client (les "Données") les mesures de sécurité suivantes, qui, conjointement avec les engagements en matière de sécurité prévus dans le présent Accord sur le traitement des données (y compris les Conditions du RGPD), constituent la seule responsabilité des Parties en ce qui concerne la sécurité de ces données.
Conditions générales
1 Définitions
Le terme « Affilié » désigne, en ce qui concerne une partie, toute autre entité qui contrôle directement ou indirectement cette partie, est contrôlée par celle-ci ou est sous contrôle commun avec celle-ci. Aux fins de la présente définition, le terme « contrôle » désigne la propriété ou le contrôle direct ou indirect de plus de 50 % des droits de vote ou la possession, directe ou indirecte, du pouvoir de diriger la gestion ou les politiques d'une entité.
« Lois sur la protection des données » désigne le RGPD (règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, le RGPD britannique, le règlement général britannique sur la protection des données de 2018, la loi britannique de 1998 sur la protection des données, la directive sur la protection des données dans le secteur des communications électroniques (2002/58/CE), le règlement britannique de 2003 sur la vie privée et les communications électroniques (directive CE) (SI 2003/2426), la loi fédérale suisse du 19 juin 1992 sur la protection des données et toute législation qui lui succéderait à compter de sa date d'entrée en vigueur, et les lois fédérales et étatiques des États-Unis relatives à la confidentialité des données, y compris la loi californienne sur la protection de la vie privée des consommateurs et ses règlements d'application (la « CCPA »), dans chaque cas uniquement dans la mesure où elles s'appliquent au traitement des données personnelles des clients par le prestataire de services dans le cadre du contrat, tel que modifié, remplacé, réadopté ou mis à jour de temps à autre, ainsi que toute autre législation introduite de temps à autre pour protéger la vie privée des personnes et régir les droits en matière de marketing.
Le « Data Privacy Framework » désigne le cadre de protection des données UE-États-Unis, tel que défini par la décision (UE) 2023/1795 de la Commission européenne, et le cadre de protection des données Suisse-États-Unis, tel que défini par la loi fédérale sur la protection des données (LPD), RS 235.1, et la décision du Conseil fédéral suisse du 14 août 2024.
Les termes « Responsable du traitement », « Dous-traitant », « Personne concernée », « Données à caractère personnel », « Traiter » et « Traitement » ont la signification qui leur est attribuée dans le RGPD ou dans toute autre Lois sur la protection des données.
« Incident lié aux données » ou « Violation des données à caractère personnel » désigne le vol, la destruction, l'altération, l'endommagement, la perte, la divulgation non autorisée ou l'accès non autorisé aux Données à caractère personnel qui sont illégaux, non autorisés, commis par une personne non autorisée à le faire ou qui enfreignent le présent Contrat ou les lois sur la protection des données.
« Frais » désigne le montant spécifié dans le barème des services.
« Contact(s) » désigne une organisation non-consommatrice qui peut être un prospect potentiel pour Quadient.
« Liste de contacts valide » désigne la liste de contacts fournie par le fournisseur à des fins de génération de prospects qui répond aux exigences minimales énoncées dans le Barème des services dans le but que cette organisation devienne cliente de Quadient.
Tous les termes en majuscules non définis dans les présentes Conditions générales ont la signification qui leur est attribuée ailleurs dans le Contrat.
2 Obligations de Quadient
Fourniture d'informations. Afin de permettre au Fournisseur de fournir des informations appropriées pour la génération de prospects, Quadient fournira sans délai les informations ci-dessous au Fournisseur : Un résumé exécutif de Quadient, comprenant le secteur, les solutions et toute information pertinente permettant au Fournisseur de déterminer les prospects marketing adaptés à Quadient.
3 Obligations du Fournisseur
Fournir des listes de contacts valides. Avant de générer des contacts pour Quadient et ses filiales, le Fournisseur mettra tout en œuvre pour déterminer que chaque Contact répond aux exigences minimales et aux critères de recherche de Quadient, en procédant à un examen minutieux des Contacts. Au cours du processus de sélection, et avant de présenter toute liste de Contacts à Quadient pour examen, le fournisseur est tenu de : (i) confirmer que la Personne concernée a consenti (conformément aux Lois sur la protection des données) à recevoir du contenu marketing de Quadient ou de toute filiale de Quadient ; (ii) à la demande de Quadient, fournir une copie de la preuve de consentement à titre de justification pour les Contacts fournis (iii) confirmer que la Personne concernée est informée de ses droits en vertu des Lois sur la protection des données.
4 des frais
En contrepartie des Services, Quadient s'engage à payer les Frais conformément aux conditions de paiement stipulées dans le Barème des services. Si un bon de commande est émis pour les Services, toutes les factures doivent mentionner le numéro du bon de commande applicable. Quadient se réserve le droit de renvoyer toutes les factures incorrectes. Quadient s'engage à payer toutes les factures correctes et incontestées dans les soixante (60) jours suivant leur réception. Sauf exception prévue par la loi applicable, la responsabilité de Quadient en vertu du Contrat ou en relation avec celui-ci ne pourra en aucun cas dépasser le montant des Frais payables au Fournisseur.
5 Déclarations et garanties
Le Fournisseur déclare et garantit que : (a) il fournira les Services de manière professionnelle et dans les règles de l'art, conformément aux normes applicables les plus strictes ; (b) il ne fera aucune référence à Quadient ou à ses sociétés affiliées, ni ne les identifiera, et n'utilisera pas les noms ou marques de Quadient ou de ses sociétés affiliées, ni aucune ressemblance ou marque similaire, dans le cadre de campagnes marketing, de publicités, de communiqués de presse ou de déclarations publiques sans l'accord écrit préalable de Quadient ; (c) la prestation des Services dans le cadre du présent Contrat n'entrera pas en conflit avec, ni ne sera interdite de quelque manière que ce soit par, tout autre accord ou restriction légale auquel le Fournisseur est lié ; et (d) il se conformera aux Dispositions de conformité énoncées dans l'Annexe 1 ci-jointe.
6 indépendante du Fournisseur
Quadient s'intéresse uniquement aux résultats obtenus dans le cadre du présent Contrat ; la manière et les moyens d'atteindre ces résultats sont soumis au contrôle exclusif du Fournisseur. Le Fournisseur est un fournisseur indépendant à tous égards, sans autorité expresse ou implicite pour engager Quadient. Ni le Fournisseur, ni ses employés, agents ou sous-traitants (« Assistants du Fournisseur ») n'ont droit aux avantages sociaux accordés aux employés de Quadient. Comme indiqué ci-dessus, le fournisseur est responsable de tous les coûts et dépenses liés à la prestation des services.
7 Indemnisation
Le Fournisseur indemnisera, dégagera de toute responsabilité et défendra Quadient, ses dirigeants, administrateurs, agents et employés contre toutes les réclamations, responsabilités, dommages, pertes et dépenses, y compris les honoraires d'avocat et les frais de justice découlant (i) de l'utilisation des Contacts par Quadient ; et (ii) toute réclamation d'un tiers à l'encontre de Quadient alléguant que les Services, les résultats de ces Services ou tout autre produit ou processus fourni dans le cadre du présent Contrat enfreignent les droits de propriété intellectuelle d'un tiers.
8 Confidentialité
Le Fournisseur veillera à ce que toute information ou tout document confidentiel obtenu dans le cadre du présent Contrat ou lors de sa négociation reste confidentiel et ne soit pas divulgué à des tiers. Le Fournisseur s'engage à ne divulguer aucune information confidentielle, sauf avec l'accord écrit préalable de Quadient ou sur ordre d'un tribunal compétent, à condition que ces informations n'aient pas déjà été rendues publiques par d'autres moyens. À l'expiration ou à la résiliation du présent Contrat pour quelque raison que ce soit, le Fournisseur informera sans délai Quadient de toutes les informations confidentielles en sa possession et, à la demande de Quadient, lui remettra ou détruira sans délai toutes ces informations confidentielles.
9 Données personnelles
Pour éviter toute ambiguïté, les deux Parties sont considérées comme « Responsables du traitement » des données contenues dans les listes de génération de prospects.
Les deux Parties doivent respecter à tout moment les Lois sur la protection des données et ne doivent pas exécuter leurs obligations en vertu du présent Contrat ou de tout autre accord ou arrangement entre elles d'une manière qui amènerait l'une ou l'autre Partie à manquer à l'une de ses obligations applicables en vertu de la loi applicable.
Les deux Parties doivent fournir toute l'assistance raisonnable pour se conformer à leurs obligations en vertu des Lois sur la protection des données en ce qui concerne la sécurité du Traitement, le respect des droits d'accès, la notification des Violations de données à caractère personnel, la réalisation d'analyses d'impact sur la protection des données et les relations avec l'autorité de contrôle des données (par exemple, la CNIL, l’ICO Britannique, etc.) ;
Le Fournisseur garantit (i) qu'il a obtenu le consentement requis par les Lois sur la protection des données de toutes les Personnes concernées pour collecter et partager des Données à caractère personnel avec Quadient pour ses raisons commerciales légitimes, y compris la fourniture des Services dans le cadre du présent Contrat ; (ii) il déclare et s'engage à ce que la collecte et la fourniture de Données à caractère personnel aux fins des Services soient conformes à la Lois sur la protection des données à tous égards, y compris ; et iii) le Traitement de ces Données à caractère personnel par Quadient à ces fins n'entraîne pas de violation des Lois sur la protection des données par Quadient. Les deux Responsables du traitement conviennent que lorsque le transfert de Données à caractère personnel a lieu entre deux Responsables du traitement au sens du chapitre V du règlement (UE) 2016/679, les Responsables du traitement doivent utiliser le module 1 (annexe 2 ) des clauses contractuelles types adoptées par la Commission conformément à l'article 46, paragraphe 2, du règlement (UE) 2016/679, pour autant que les conditions d'utilisation de ces clauses contractuelles types soient remplies.
Transferts internationaux. Lorsque des Données à caractère personnel sont transférées entre les Parties en tant que Responsables du traitement en vertu du chapitre V du RGPD ou de dispositions équivalentes du droit britannique ou suisse :
(a) les Parties s'appuieront principalement sur le cadre de protection des données UE-États-Unis, l'extension britannique et/ou le cadre de protection des données Suisse-États-Unis, le cas échéant ;
(b) lorsque ces cadres ne s'appliquent pas, les parties s'appuieront sur les CCT, ainsi que sur l'addendum britannique ou l'addendum suisse, le cas échéant ; et
(c) en l'absence de ce qui précède, les Parties mettront en œuvre un autre mécanisme de transfert légal conformément aux Lois sur la protection des données.
10 Résiliation
a. La durée initiale du présent Contrat commence à la date de la dernière signature du Contrat accord.
b. Quadient peut résilier le présent Contrat : (i) à tout moment, pour des raisons de commodité, en adressant un préavis écrit de 30 jours au Fournisseur ; ou (ii) immédiatement, par notification écrite au Fournisseur, si celui-ci manque à l'une de ses obligations au titre du présent Contrat, dépose une demande de mise en faillite, devient insolvable ou est dissous. En cas de résiliation, Quadient paiera au Fournisseur les Services exécutés de manière satisfaisante jusqu'à la date de résiliation, déduction faite des compensations appropriées, y compris les coûts supplémentaires engagés par Quadient pour achever les Services.
c. Le Fournisseur peut résilier le présent Contrat par notification écrite à Quadient si Quadient ne lui verse pas tout paiement incontesté dans les trente (30) jours après que le Fournisseur ait notifié par écrit à Quadient que le paiement est en retard.
11 Divers
a. Si une disposition du présent Contrat est jugée invalide, illégale ou inapplicable, la validité, la légalité et l'applicabilité des autres dispositions n'en seront en aucun cas affectées ou compromises.
b. Aucune des Parties ne peut céder ou transférer, en tout ou en Partie, ses droits ou obligations en vertu du présent Contrat sans le consentement écrit préalable de l'autre Partie (ce consentement ne pouvant être refusé ou retardé sans motif valable). Aucune disposition du présent Contrat ne limite le transfert des droits et/ou obligations de Quadient en vertu du présent Contrat, moyennant notification au Fournisseur, à des fins de réorganisation intra-groupe, de transfert d'activité ou en cas de changement de contrôle. Le Contrat est conclu uniquement au profit des Parties aux présentes et de leurs successeurs et ayants droit autorisés respectifs, et aucune autre personne ou entité ne détiendra ou n'acquerra de droit ou d'avantage en vertu du Contrat.
c. Le fait que Quadient n'exerce pas ou tarde à exercer un droit, un pouvoir ou un recours prévu par les présentes ne saurait constituer une renonciation ou une modification dudit droit, pouvoir ou recours.
d. Sauf indication contraire dans le Contrat (par exemple, avis de résiliation du renouvellement), toute notification envoyée en vertu du présent Contrat est réputée avoir été valablement signifiée si elle est envoyée par courrier prépayé à l'adresse professionnelle habituelle ou dernière connue du destinataire, et la preuve d'envoi constitue une preuve concluante de réception par le destinataire dans les délais impartis.
e. Le présent Contrat est régi par le droit français et les Parties conviennent de se soumettre à la compétence exclusive des tribunaux de Paris.
f. Toutes les obligations et tous les devoirs qui, de par leur nature, s'étendent au-delà de l'expiration ou de la résiliation du présent Contrat survivront à l'expiration ou à la résiliation du présent Contrat.
g. Le présent Contrat remplace tous les accords, arrangements et engagements antérieurs entre les Parties et constitue l'intégralité de l'accord entre les Parties concernant l'objet des présentes. Le présent Contrat ne peut être modifié, altéré ou amendé que par écrit, signé par les Parties.
Annexe 1
Dispositions relatives à la conformité
a. Respect des lois. Chaque partie déclare qu'elle respecte strictement et veille au respect de toutes les lois, réglementations, règles et ordonnances applicables, y compris les résolutions des Nations Unies, de l'Organisation mondiale du commerce et d'autres organisations internationales concernant les conditions commerciales, le commerce, la concurrence et l'éthique commerciale, ainsi que toutes les lois, réglementations, règles et ordonnances applicables à l'exécution par chaque partie du présent Contrat.
b. Respect du code de conduite des partenaires de Quadient. En tant que signataire du Pacte mondial des Nations Unies, Quadient (y compris ses filiales et sociétés affiliées) s'engage à mener ses activités avec intégrité, de manière éthique et honnête, tout en respectant les lois. En concluant le présent accord, le fournisseur (et ses sociétés affiliées) s'engage à respecter le code de conduite des partenaires de Quadient et les normes les plus élevées en matière de performance, d'éthique et de conformité, y compris les droits humains fondamentaux. En outre, le Fournisseur reconnaît qu'il existe des exigences légales et éthiques spécifiques pour exercer une activité commerciale et qu'il est seul responsable du respect de ces exigences.
c. Conditions de paiement. (a) Les parties ne doivent pas proposer ni accepter de paiements en espèces ; et (b) les paiements doivent être effectués à partir d'un compte détenu par la société facturée vers un compte détenu par la société qui a émis la facture, sauf dans des circonstances exceptionnelles soumises à l'accord écrit préalable de Quadient après communication de tous les documents justificatifs requis.
d. Lutte contre la corruption. (a) Chaque partie déclare et garantit à l'autre partie qu'aucune des parties, ni aucun de ses dirigeants, administrateurs, employés, agents, sous-traitants, sous-traitants ou autres représentants autorisés n'a, à aucun moment, y compris avant la conclusion du présent accord, commis ou ne commettra (ou n'a connaissance) l'un des actes suivants en rapport avec le présent accord, ou toute vente effectuée ou à effectuer en vertu des présentes, toute compensation versée ou à verser en vertu des présentes, ou toute autre transaction impliquant les intérêts commerciaux de l'une ou l'autre des parties, payer, offrir ou promettre de payer, autoriser le paiement de toute somme d'argent, ou donner ou promettre de donner, ou autoriser la fourniture de tout service ou autre chose de valeur, directement ou par l'intermédiaire d'un tiers, à toute personne ou entité, qu'elle soit publique, privée ou gouvernementale, dans le but (i) d'influencer de manière inappropriée tout acte ou décision de cette personne dans le cadre de ses fonctions officielles, y compris la décision de ne pas exercer ses fonctions officielles, (ii) d'inciter cette personne à user de son influence pour affecter ou influencer de manière inappropriée tout acte ou décision de celle-ci ou (iii) d'obtenir un avantage indu, tout ce qui précède étant défini comme des « actes interdits » ; (b) Chaque partie se conformera à toutes les lois et à la common law partout dans le monde qui qualifient de délit les actes de corruption ou les actes frauduleux ou de corruption. Ces lois peuvent inclure, sans s'y limiter, la loi américaine sur les pratiques de corruption à l'étranger (Foreign Corrupt Practices Act), la loi britannique sur la corruption (Bribery Act), la Convention interaméricaine contre la corruption, la Convention de l'OCDE sur la lutte contre la corruption d'agents publics étrangers dans les transactions commerciales internationales, la Convention pénale du Conseil de l'Europe sur la corruption, la Convention civile du Conseil de l'Europe sur la corruption, la Convention des Nations Unies contre la corruption, le Plan d'action anticorruption pour l'Asie et le Pacifique, la Convention des Nations Unies contre la criminalité transnationale organisée, la Convention de l'Union africaine sur la prévention et la lutte contre la corruption ; (c) Les deux parties doivent mettre en place des procédures et des politiques adéquates visant à prévenir tout acte interdit.
e. Respect du droit de la concurrence. Chaque partie déclare et garantit qu'elle n'est impliquée dans aucun accord, arrangement, pratique ou comportement qui constituerait une violation des lois sur la concurrence, les ententes, les monopoles ou les cartels de toute juridiction dans laquelle elle exerce ses activités, et qu'aucun de ses administrateurs ou dirigeants n'est impliqué dans une activité qui constituerait une infraction ou une violation de ces lois. Chaque partie doit adopter ou maintenir des mesures visant à interdire les pratiques commerciales anticoncurrentielles et prendre les mesures appropriées à cet égard. Dans la mesure où une partie a adopté et appliqué des mesures pour lutter contre les pratiques et accords anticoncurrentiels, ces mesures doivent être conformes aux principes de la concurrence.
ANNEX I
A. LISTE DES PARTIES
1. Nom : Quadient, tel que défini au début du présent Contrat
Adresse : telle que définie au début du présent Contrat Nom, fonction et coordonnées de la personne à contacter :privacyteam@quadient.com
Signature et date d' : …
Rôle : Responsable du traitement (exportateur de données dans le cas où les CCT et l'addendum britannique s'appliquent)
2. Nom : Entreprise Fournisseur tel que défini au début du présent Contrat
Adresse : Fournisseur tel que défini au début du présent Contrat
Nom, fonction et coordonnées de la personne à contacter, tels que définis dans l'annexe relative aux Dervices
Activités pertinentes pour les données transférées en vertu des présentes clauses, telles que définies dans le bon de commande ou le Contrat. Signature et date : …
Rôle Responsable du traitement (importateur de données dans le cas où les CCT et l'addendum britannique sont applicables)
B. DESCRIPTION DES ACTIVITÉS DE TRANSFERT/TRAITEMENT
Catégories de personnes concernées dont les données à caractère personnel sont transférées
(a) prospects, fournisseurs et clients, ainsi que leurs employés, agents et utilisateurs finaux respectifs
(b) les employés, agents et utilisateurs finaux de Quadient, ainsi que les sous-traitants de Quadient
Catégories de données à caractère personnel transférées
(a) Nom et prénom,
(b) coordonnées (e-mail, téléphone, adresse postale),
Données sensibles transférées (le cas échéant)
Aucune.
Fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).
De manière continue.
Nature du traitement
Comme indiqué dans l'accord.
Finalité(s) du transfert de données et du traitement ultérieur
Les parties traiteront les données à caractère personnel du responsable du traitement dans le cadre des services du responsable du traitement, conformément à l'accord.
La durée de conservation des données à caractère personnel ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée
La durée pendant laquelle les données seront utilisées à des fins de marketing, ou pendant la durée du Contrat.
Pour les transferts à des sous-traitants ou sous-traitants ultérieurs, préciser également l'objet, la nature et la durée du traitement
Comme ci-dessus.
C. LISTE DES FILIALES (entités) utilisant les services
Toutes les filiales de Quadient.
ANNEX II
Nonobstant toute mesure supplémentaire convenue dans le contrat principal, les deux parties ont convenu de mettre en œuvre et de maintenir pour les données d'entreprise et les données clients (« données ») les mesures de sécurité suivantes, qui, conjointement avec les engagements de sécurité prévus dans le présent accord sur le traitement des données (« DPA ») (y compris les conditions du RGPD), constituent la seule responsabilité des parties en matière de sécurité de ces données.
Domaine | Pratiques |
|---|---|
Organisation de la sécurité de l'information | Responsabilité liée à la sécurité. Chaque partie désigne un ou plusieurs responsables de la sécurité chargés de coordonner et de contrôler les règles et procédures de sécurité. Rôles et responsabilités en matière de sécurité. Le personnel de chaque partie ayant accès aux données est soumis à des obligations de confidentialité. Programme de gestion des risques. Chaque partie procède à une évaluation des risques avant de traiter les données ou de lancer le service correspondant. Chaque partie conserve ses documents de sécurité conformément à ses exigences en matière de conservation après qu'ils ont cessé d'être en vigueur. |
Gestion des actifs | Inventaire des actifs. Chaque partie tient un inventaire de tous les actifs sur lesquels les données sont stockées. L'accès aux inventaires de ces actifs est limité au personnel autorisé par écrit à y accéder. Gestion des actifs - Chaque partie classifie les données afin de les identifier et d'en restreindre l'accès de manière appropriée. - Chaque partie impose des restrictions à l'impression des Données et dispose de procédures pour l'élimination des documents imprimés contenant des Données. - Le personnel d'une partie doit obtenir une autorisation interne avant de stocker des données sur des dispositifs portables, d'accéder à distance à des données ou de traiter des données en dehors de ses installations. |
Sécurité des Ressources humaines | Formation à la sécurité. Chaque partie informe son personnel des procédures de sécurité applicables et de leurs rôles respectifs. Chaque partie informe également son personnel des conséquences possibles d'une violation des règles et procédures de sécurité. |
Sécurité physique et environnementale | Accès physique aux installations. Chaque partie limite l'accès aux installations où se trouvent les systèmes d'information qui traitent les données à des personnes identifiées et autorisées. Protection contre les perturbations. Chaque partie utilise divers dispositifs techniquess pour se protéger contre la perte de données due à une panne d'alimentation électrique ou à des perturbations réseau. Élimination des composants. Le responsable du Traitement des données utilise des processus standard pour supprimer les données lorsqu'elles ne sont plus nécessaires. |
Communication et gestion des opérations | Politique opérationnelle. Chaque partie tient à jour des documents décrivant ses mesures de sécurité ainsi que les procédures pertinentes et les responsabilités de son personnel ayant accès aux données. Procédures de récupération des données - Régulièrement, mais en aucun cas moins d'une fois par semaine (à moins qu'aucune mise à jour n'ait eu lieu pendant cette période), chaque partie conserve plusieurs sauvegardes des données à partir desquelles ces données peuvent être récupérées. - Chaque partie stocke les sauvegardes des données et les procédures de récupération des données dans un lieu différent de celui où se trouve l'équipement informatique principal traitant les données. - Chaque partie dispose de procédures spécifiques régissant l'accès aux sauvegardes des données. - Chaque partie enregistre les efforts de restauration des données, y compris la personne responsable, la description des données restaurées et, le cas échéant, la personne responsable et les données (le cas échéant) qui ont dû être saisies manuellement dans le cadre du processus de restauration des données. Logiciels malveillants. Chaque partie dispose de contrôles anti-malware pour éviter que des logiciels malveillants n'obtiennent un accès non autorisé aux données, y compris des logiciels malveillants provenant de réseaux publics. Les données au-delà des limites du système d’information - Chaque partie chiffre les données transmises sur les réseaux publics. - Chaque partie restreint l'accès aux données stockées sur des supports quittant ses installations. Enregistrement des événements. Chaque partie enregistre l'accès et l'utilisation des systèmes d'information contenant des données, en enregistrant l'identifiant d'accès, l'heure, l'autorisation accordée ou refusée et l'activité correspondante. Mesures de sécurité relatives à l'IA (le cas échéant). Lorsqu’un Traitement assisté par l'IA est réalisé, le Fournisseur de Services doit mettre en œuvre des mesures visant à réduire les risques spécifiques à l'IA (par exemple, contrôles d'accès des modèles, protection contre l'injection de requêtes/les fuites de données, surveillance des modèles d'utilisation anormaux et procédures visant à suspendre ou isoler les fonctionnalités de l'IA en cas de suspicion d'incident de sécurité). |
Contrôle d'accès | Politique d'accès. Chaque partie tient un registre des privilèges de sécurité des personnes ayant accès aux données. Autorisation d’accès - Chaque partie tient et met à jour un registre du personnel autorisé à accéder à ses systèmes contenant des données. - Chaque partie désactive les informations d'authentification qui n'ont pas été utilisées pendant une période n'excédant pas six mois. - Chaque partie identifie le personnel qui peut accorder, modifier ou annuler l'autorisation d’accès aux données et aux ressources. - Chaque partie veille à ce que les individus aient des identifiants/log-ins distincts. Besoin d’en connaître - Le personnel d'assistance technique n'est autorisé à accéder aux données qu'en cas de besoin. - Chaque partie limite l'accès aux données aux seules personnes qui ont besoin de cet accès pour exercer leurs fonctions. Intégrité et confidentialité - Chaque partie donne instruction à son personnel de désactiver les sessions d’administration lorsqu'il quitte les locaux placés sous son contrôle ou lorsque les ordinateurs sont laissés sans surveillance. - Chaque partie stocke les mots de passe de manière à les rendre inintelligibles tant qu'ils sont en vigueur. Authentification - Chaque partie utilise les pratiques courantes de l'industrie pour identifier et authentifier les utilisateurs qui tentent d'accéder aux systèmes d'information. - Lorsque les mécanismes d'authentification sont basés sur des mots de passe, chaque partie exige que la gestion des mots de passe soit configurée de manière à garantir que le mot de passe soit immédiatement modifié dès qu'il existe un risque qu'il soit compromis. - Lorsque les mécanismes d'authentification sont basés sur des mots de passe, chaque partie exige que le mot de passe comporte au moins treize caractères. - Chaque partie veille à ce que les identifiants désactivés ou expirés ne soient pas accordés à d'autres personnes. - Chaque partie surveille les tentatives répétées d'accès au système d'information à l'aide d'un mot de passe non valide. - Chaque partie maintient des procédures standard pour désactiver les mots de passe qui ont été corrompus ou divulgués par inadvertance. - Chaque partie utilise des pratiques de protection par mot de passe conformesà l’état de l’art, y compris des pratiques conçues pour préserver la confidentialité et l'intégrité des mots de passe lorsqu'ils sont attribués et distribués, ainsi que pendant leur stockage. Sécuritéréseau. Chaque partie dispose de contrôles permettant d'éviter que des personnes s'arrogent des droits d'accès qui ne leur ont pas été attribués afin d'accéder à des données auxquelles elles ne sont pas autorisées à accéder. |
Gestion des incidents de sécurité de l'information | Processus de réponse aux incidents - Chaque partie tient un registre des violations de la sécurité avec une description de la violation, de la période, des conséquences de la violation, de la source de la notification et des principales mesures d'atténuation et de rétablissement. - Pour chaque violation constituant un incident de sécurité, le Sous-traitant Traitement des données notifie le Responsable de Traitement dans les plus brefs délais. Contrôle des Services. - Le personnel d'exploitation de chaque partie vérifie régulièrement les journaux afin de proposer des mesures correctives si nécessaire. |
Gestion de la continuité des activités | - Le Sous-traitant des Traitement des données maintient des plans d'urgence et de secours pour les installations dans lesquelles se trouvent ses systèmes d'information qui traitent les données. - Le stockage redondant du Sous-traitant du Traitement des données et ses procédures de récupération des données sont conçus pour tenter de reconstruire les données dans leur état d'origine ou dans leur dernier état répliqué avant le moment où elles ont été perdues ou détruites. |