DPA Fournisseur Quadient Responsable du traitement
ACCORD SUR LE TRAITEMENT DES DONNÉES
La présente annexe sur le Traitement des données ("DPA") fait partie intégrante de l’Accord de Services.
CONSIDÉRANT
I. que le Fournisseur de Services peut traiter des Données personnelles dans le cadre de l'Accord de Services ; et
II. que Quadient et le Fournisseur de Services ont déterminé que Quadient est Responsable de Traitement et que le Fournisseur de Services est Sous-traitant en vertu des Lois sur la protection des données en ce qui concerne les Données personnelles ; et
III. que Quadient et le Fournisseur de Services souhaitent énoncer leurs obligations respectives en matière de respect des Lois sur la protection des données ;
C'est pourquoi, en considération des obligations mutuelles énoncées dans le présent document et d'autres considérations valables, dont la réception et le caractère suffisant sont reconnus par les présentes, les parties conviennent de ce qui suit :
1. Définitions.
1.1. "Filiales " désigne une entité qui contrôle directement ou indirectement Quadient, qui est contrôlée par Quadient ou qui est sous contrôle commun avec Quadient. Aux fins de la présente définition, le terme "contrôle" désigne la propriété ou le contrôle direct ou indirect d'au moins 50 % des intérêts avec droit de vote de l'entité concernée ou la capacité de diriger ou de contrôler les décisions de gestion de cette entité.
1.2. “Accord de Service” désigne soit (i) le Contrat-cadre de fourniture de biens et services, (ii) le Contrat de services professionnels de conseil ou (iii) les Conditions générales d'achat de biens et services conclus entre le Fournisseur de Services et Quadient.
1.3. “Traitement assisté par l'IA” désigne les activités de Traitement effectuées par le Fournisseur de Services dans le cadre des Services qui impliquent un système d'intelligence artificielle, y compris l'apprentissage automatique, la prise de décision automatisée ou l'IA générative.
1.4. “Système d'intelligence artificielle” désigne un système automatisé conçu pour fonctionner avec différents niveaux d'autonomie et susceptible de générer des résultats tels que des prévisions, des recommandations, des classifications ou des contenus pouvant influencer des environnements physiques ou virtuels, tel que défini dans les lois et réglementations applicables en matière d'intelligence artificielle, y compris la loi européenne sur l'intelligence artificielle, le cas échéant.
1.5. "Responsable de Traitement" : (i) la Personne ou l'entité qui détermine les finalités et les moyens du Traitement des Données personnelles, et (ii) une Personne ou une entité définie comme un "Responsable de Traitement", une "entreprise" ou des termes similaires en vertu des Lois sur la protection des données.
1.6. "Incident concernant les données" : le vol, la destruction, l'altération, les dommages, la perte, l'utilisation, la divulgation, le Traitement ou l'accès aux Données personnelles, réels ou raisonnablement soupçonnés, qui sont illégaux, non autorisés, effectués par une Personne non autorisée par le Fournisseur de Services, qui contreviennent aux politiques ou procédures du Fournisseur de Services, ou qui violent le présent DPA ou donnent lieu à une obligation de déclaration en vertu des Lois sur la protection des données.
1.7. "Lois sur la protection des données" désigne le GDPR, le UK GDPR, la loi suisse sur la protection des données (nFADP) du 1er septembre 2023, et les Lois fédérales et d'État des États-Unis concernant la confidentialité des données, y compris le California Consumer Privacy Act et ses règlements d'application (le "CCPA"), dans chaque cas, tels que modifiés de temps à autre et uniquement dans la mesure où ils s'appliquent au Traitement par le Fournisseur de Services des Données personnelles du Client en vertu de l'Accord.
1.8. Par "Personne concernée", on entend (i) une personne identifiée ou identifiable à laquelle se rapportent des Données personnelles, et (ii) toute personne définie comme "personne concernée", "consommateur" ou autre terme similaire en vertu des Lois sur la protection des données.
1.9. "Demande d'une Personne concernée" : une demande, un avis ou une plainte, réelle ou supposée, émanant d'une Personne concernée ou en son nom, en vertu des Lois sur la protection des données.
1.10. "EEE" : Espace économique européen.
1.11. "Date d'entrée en vigueur" : la date de la dernière signature indiquée sur la page de signature de la présente DPA ou, si elle est antérieure, la première date à laquelle le Fournisseur de Services traite les Données personnelles.
1.1.2. "UE" : l'Union européenne.
1.1.3. "GDPR" désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du Traitement des Données personnelles et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
1.14. "Data Privacy Framework" désigne le cadre de protection des données UE-Etats-Unis, tel que défini par la décision (UE) 2023/1795 de la Commission européenne, et le cadre de protection des données Suisse-Etats-Unis, tel que défini par la loi fédérale sur la protection des données (FADP), SR 235.1, et la décision du Conseil fédéral suisse du 14 août 2024.
1.1.5. "Données personnelles " signifie (i) toute information relative à une Personne physique identifiée ou identifiable, et (ii) toute information définie comme " information personnellement identifiable ", " information personnelle ", " Données personnelles ", " information personnelle sensible " ou termes similaires en vertu des Lois sur la protection des données, dans chaque cas que le Fournisseur de Services traite au nom de Quadient en fournissant les Services ou d'une autre manière.
1.16. Le terme "Sous-traitant" désigne (i) la personne ou l'entité qui traite les Données personnelles pour le compte du Responsable de Traitement, et (ii) toute entité définie comme "Sous-traitant", "Fournisseur de Services" , "contractant" ou des termes similaires en vertu des Lois sur la protection des données.
1.1.7. Le "Traitement" (y compris sa racine et ses dérivés) désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des Données personnelles, telles que la collecte, l'enregistrement, la conservation, l'organisation, la structuration, le stockage, l'adaptation, la modification, l'extraction, la consultation, le transfert, l'utilisation, la divulgation, la transmission, la diffusion, la mise à disposition d'une autre manière, le rapprochement, l'interconnexion, la limitation, l'effacement, l'élimination ou la destruction.
1.18. "Quadient” désigne le Client tel que défini dans l’Accord de Services.
1.19. "CCT" : les clauses contractuelles types référencées à l’article 6 du présent DPA.
1.20. "Sous-traitant ultérieur" : toute Personne ou entité traitant des Données personnelles pour le compte du Fournisseur de Services.
1.21. "Autorité de contrôle" : une autorité de régulation ou une agence gouvernementale, y compris une autorité publique indépendante établie conformément au GDPR (par ex la CNIL en France).
1.22. "UK GDPR" : la loi sur la protection des données de 2018, telle que modifiée par les règlements pris en vertu de la loi sur l'Union européenne (retrait) de 2018, et le règlement général sur la protection des données du Royaume-Uni.
1.23. Les termes en majuscules utilisés mais non définis dans le présent DPA ont la signification qui leur est attribuée dans les Lois sur la protection des données.
2. Relations entre les parties.
Les parties reconnaissent et conviennent que Quadient est le Responsable de Traitement et que le Fournisseur de Services est le Sous-traitant en ce qui concerne les Données personnelles. Entre les parties, Quadient a le droit exclusif de donner des instructions au Fournisseur de Services en ce qui concerne le Traitement des Données personnelles. Quadient conclut le présent DPA en son nom et au nom et pour le compte de ses Filiales si et dans la mesure où le Fournisseur de Services traite des Données personnelles pour lesquelles ces Filiales sont qualifiées de "Responsable du Traitement".
3. Obligations des parties.
3.1. Respect des Lois. Le Fournisseur de Services doit se conformer aux Lois sur la protection des données. Quadient ne divulgue des Données personnelles au Fournisseur de Services qu'à des fins commerciales valables et pour permettre au Fournisseur de Services d'exécuter les Services.
3.2. Activités de Traitement. Quadient détermine et donne des instructions au Fournisseur de Services quant à la portée, aux finalités et à la manière dont les Données personnelles doivent être traitées par le Fournisseur de Services et, de temps à autre, peut raisonnablement modifier ces instructions par notification écrite au Fournisseur de Services. Le Fournisseur de Services notifiera Quadient si, de l'avis du Fournisseur de Services, une instruction fournie par Quadient enfreint les Lois sur la protection des données. L'objet, la durée, la nature et les finalités du Traitement, ainsi que les types de Données personnelles et les catégories de Personnes concernées visés par le présent DPA sont décrits avec précision comme suit, et Quadient donne instruction au Fournisseur de Services d'effectuer ce Traitement. L'annexe I du présent DPA décrit l'objet, la durée, la nature et les finalités du Traitement, ainsi que les types de Données personnelles et les catégories de Personnes concernées, envisagés par le DPA.
Le Fournisseur de Services ne traitera les Données personnelles que conformément aux présentes et à toute instruction écrite spécifique fournie au Fournisseur de Services par un représentant autorisé de Quadient. Le Fournisseur de Services ne traitera pas les Données personnelles d'une manière qui permettrait à Quadient de manquer à ses obligations en vertu des Lois sur la protection des données. Il est interdit au Fournisseur de Services de (i) de vendre (y compris d'échanger contre de l'argent ou une autre contrepartie de valeur) ou de partager (selon la définition de ces termes dans le CCPA) des Données personnelles, (ii) de conserver, d'utiliser, de traiter ou de divulguer des Données personnelles à des fins autres que l'exécution des Services ou avec l'autorisation de Quadient, (iii) de conserver, d'utiliser ou de divulguer des Données personnelles en dehors de la relation d'affaires directe entre Quadient et le Fournisseur de Services ; et (iv) combiner les Données personnelles avec d'autres données (y compris, mais sans s'y limiter, les informations personnelles qu'il reçoit d'une ou de plusieurs autres personnes ou en leur nom, ou qu'il recueille dans le cadre de ses propres interactions avec une Personne concernée). Le Fournisseur de Services certifie qu'il comprend les restrictions énoncées dans le présent document et qu'il s'y conformera.
3.3. Avant d'utiliser tout système d'IA dans le cadre des Services, et avant toute modification substantielle de cette utilisation, le Fournisseur de Service doit évaluer si la fonctionnalité d'IA concernée relève d'une utilisation interdite, d'une catégorie à haut risque ou d'une autre catégorie réglementée en vertu de la législation applicable en matière d'IA, et doit en informer Quadient lorsque cette classification est susceptible d'affecter de manière raisonnable les obligations légales, les décisions d'achat ou l'évaluation des risques de Quadient.
Lorsque les résultats de l'IA sont utilisés à des fins d'aide à la décision dans le cadre des Services, le Fournisseur de Service doit concevoir le processus de manière à ce que du personnel dûment formé puisse examiner, remettre en question, suspendre ou passer outre les résultats fournis par l'IA si nécessaire.
3.4. Restrictions relatives à l'entraînement des modèles. .Le Fournisseur s’engage à ne pas utiliser les Données personnelles traitées en vertu du présent DPA pour entraîner, affiner, valider, tester, améliorer ou développer un quelconque Système d’intelligence artificielle, y compris tout modèle utilisé au profit du Fournisseur, de ses Filiales, d’autres clients ou dans le cadre de l’amélioration générale du modèle, sauf si Quadient a donné son autorisation écrite préalable et expresse et que le Traitement est autorisé en vertu de la législation applicable. Tout entraînement ou amélioration autorisé d’un modèle d’IA sera soumis aux instructions documentées de Quadient, à des mesures de protection techniques et organisationnelles appropriées, au principe de minimisation des données, à des contrôles d’accès, à des mesures de protection de la confidentialité, à l’auditabilité, ainsi qu’aux exigences de suppression ou de restitution prévues par le présent DPA
3.5. Le Fournisseur de Services doit, sans retard injustifié et, dans tous les cas, dans les 24 heures suivant la découverte, notifier Quadient (a) dès qu'il a connaissance d'une violation ou d'une infraction aux Lois sur la protection des données en ce qui concerne les Données personnelles ; (b) si, selon son évaluation, les Données personnelles ont été traitées d'une manière incompatible avec le présent DPA, les instructions fournies par Quadient ou les Lois sur la protection des données ; ou (c) s'il ne peut pas se conformer, ou ne s'est pas conformé, à toute partie du présent DPA ou des Lois sur la protection des données. Dans de tels cas, le Fournisseur de Services prendra toutes les mesures exigées par Quadient pour remédier à la non-conformité ou cesser le Traitement des Données personnelles, et Quadient peut restreindre l'accès aux Données personnelles ou résilier le présent DPA et l’Accord de Services sans pénalité.
3.6. Droits des Personnes concernées. Si le Fournisseur de Services reçoit une demande d’accès de la part d'une Personne concernée, il en informera Quadient dans les 48 heures et redirigera promptement la demande vers Quadient (à moins que la réponse à cette demande de la part d'une Personne concernée ne fasse partie des Services). Le Fournisseur de Services ne répondra pas aux demandes des Personnes concernées sans l'autorisation préalable de Quadient, à moins qu'il ne soit légalement tenu de le faire. Le Fournisseur de Services doit coopérer avec Quadient pour répondre aux demandes des Personnes concernées au sujet des Données personnelles. À la demande de Quadient, le Fournisseur de Services supprimera, ou permettra à Quadient de supprimer, et avisera tout Fournisseur de Services ou Sous-traitant ultérieur du Fournisseur de Services de supprimer, les informations personnelles pertinentes concernant la Personne concernée.
3.7. Divulgation relative à l'IA et accompagnement en matière de réglementation de l'IA (le cas échéant) Le Fournisseur doit indiquer à Quadient, avant le début du Traitement et sans délai en cas de modification significative, si les Services impliquent un Traitement assisté par l’IA, une prise de décision automatisée, le profilage, l’apprentissage automatique, l’IA générative ou tout autre système d’intelligence artificielle traitant des Données personnelles. En cas de recours à un Traitement assisté par l’IA, le Fournisseur doit fournir à Quadient les informations raisonnablement nécessaires pour permettre à cette dernière d’évaluer et de documenter la conformité aux lois applicables en matière de protection des données et d’IA, notamment :
(a) la finalité et les fonctionnalités du traitement basé sur l’IA ;
(b) les catégories de données à caractère personnel utilisées ;
(c) si les données à caractère personnel sont utilisées pour l’entraînement, le réglage fin, les tests, la validation ou l’amélioration de modèles ;
(d) le rôle du système d’IA dans tout processus décisionnel ;
(e) si le système est susceptible d’entrer dans une catégorie d’IA à haut risque ;
(f) les mesures de contrôle humain ;
(g) les contrôles relatifs à la journalisation, à la surveillance, à l’auditabilité et à la réponse aux incidents ;
(h) les contrôles relatifs à la précision, aux biais, à l’équité et aux performances, le cas échéant ; et
(i) tout sous-traitant, Sous-traitant ultérieur ou fournisseur tiers de solutions d’IA impliqué ne doit pas modifier de manière substantielle le traitement assisté par l’IA d’une façon qui affecte les données à caractère personnel, les risques, la finalité, l’utilisation à des fins d’entraînement, la supervision humaine ou la classification réglementaire sans notification écrite préalable à Quadient et sans autorisation documentée lorsque cela est requis par le présent DPA ou par la législation applicable.
3.8. Sous-traitants ultérieurs.
3.8.1. Quadient consent par les présentes à ce que le Fournisseur de Services sous-traite le Traitement des Données personnelles dans le cadre des CCT, conformément aux conditions du présent DPA, et à ce qu'il utilise les Sous-traitants ultérieurs énumérés à l'Annexe I.B. Le Fournisseur de Services ne doit pas sous-traiter ses tâches à un autre tiers sans l'autorisation écrite préalable du Quadient, à sa seule discrétion. Le Fournisseur de Services fournira à Quadient un préavis écrit d'au moins 30 jours préalablement à toute modification d’un de ses Sous-traitants ultérieurs. Quadient peut s'opposer à la nomination ou au remplacement d'un Sous-traitant ultérieur par le Fournisseur de Services et refuser son autorisation à sa seule discrétion. Dans un tel cas, les parties doivent, de bonne foi, discuter de solutions de rechange commercialement raisonnables et, si les parties ne parviennent pas à s'entendre sur une solution, Quadient peut résilier le présent DPA et l'Accord de Services sans pénalité, moyennant un avis écrit au Fournisseur de Services.
3.8.2. Le Fournisseur de Services veillera à ce que chacun de ses Sous-traitants ultérieurs soit lié, par contrat, à des obligations en matière de protection des données qui ne soient pas moins protectrices que celles imposées par les Lois sur la protection des données et le présent DPA, tel qu'il peut être modifié de temps à autre. Le Fournisseur de Services est responsable des actes, erreurs ou omissions de ses Sous-traitants ultérieurs et demeure responsable envers Quadient en cas de violation des conditions du présent DPA par un Sous-traitant ultérieur.
3.8.3. Dans le cas où le Fournisseur de Services transfère des Données personnelles à un Sous-traitant ultérieur situé en dehors de l'UE, de l'EEE, de la Suisse, du Royaume-Uni ou d'une juridiction dont la Commission européenne n’a pas reconnu de lois adéquates en matière de protection des données, le Fournisseur de Services s'assurera qu'un mécanisme juridique permettant d'atteindre l'adéquation en ce qui concerne un tel Traitement et un tel transfert a été mis en place.
3.9. Assistance. Le Fournisseur de Services doit, sans frais supplémentaires pour Quadient, fournir une assistance raisonnable à Quadient en ce qui concerne le Traitement des Données personnelles par le Fournisseur de Services afin de permettre à Quadient de se conformer à ses obligations en vertu des Lois sur la protection des données, y compris les articles 32 à 36 du GDPR, et selon ce qui est nécessaire pour permettre à Quadient de répondre à toute correspondance d'une Autorité de contrôle et de s'y conformer. Si le Fournisseur de Services reçoit d'une Autorité de contrôle une correspondance ou une demande concernant le Traitement de Données personnelles, le Fournisseur de Services doit, à moins que les Lois sur la protection des données ne l'interdisent, notifier rapidement la demande à Quadient.
3.10. Assistance relative à la réglementation en matière d'IA (le cas échéant). Dans la mesure où cela est applicable aux Services, le Fournisseur de Services doit tenir à disposition et fournir à Quadient, sur demande raisonnable, la documentation raisonnables nécessaires pour aider Quadient à se conformer à la réglementation applicable en matière d'IA , telles que des descriptions des fonctionnalités de l'IA, la finalité prévue, les limites connues des contrôles de gouvernance, des pratiques de journalisation et de surveillance, des mesures de contrôle humain, la sous-traitance significative et des processus de signalement des incidents liés à l’IA.
3.11. Personnel. Le Fournisseur de Services veillera à ce que son personnel chargé du Traitement des Données personnelles soit informé de la nature confidentielle des Données personnelles, ait reçu une formation appropriée sur ses responsabilités et ait signé des accords de confidentialité écrits au moins aussi protecteurs que le présent DPA. Le Fournisseur de Services veillera à ce que l'accès aux Données personnelles soit limité aux membres de son personnel qui effectuent le Traitement conformément au présent DPA, et s'assurera que son personnel n'enfreint pas le présent DPA.
3.12. Citations à comparaître et autres demandes d’informations. Le Fournisseur de Services a mis en œuvre des mesures visant à réglementer la divulgation de Données personnelles à une entité gouvernementale. Ces mesures exigent du Fournisseur de Services qu'il tienne compte de ses obligations de se conformer à toute injonction ou demande et de toute obligation légale de protéger les Données personnelles. En ce qui concerne les données des résidents de l'UE. Pour le Royaume Uni et les autres juridictions pour lesquelles des restrictions de transfert s’appliquent, le Fournisseur de Services se conforme aux Lois sur la protection des données et veillera à ce que toute demande de divulgation soit traitée conformément à ces exigences. . Sauf si la loi applicable l'interdit, le Fournisseur de Services doit, sans retard indu et, dans tous les cas, dans les 48 heures suivant la réception, aviser Quadient si le Fournisseur de Services (ou un Sous-traitant ultérieur) est tenu par la loi, une ordonnance d'un tribunal, un mandat, une citation à comparaître ou une autre procédure judiciaire de divulguer des Données personnelles à une personne autre que Quadient. À moins que la loi applicable ne l'interdise, le Fournisseur de Services doit (a) aviser rapidement Quadient avant une telle divulgation ; (b) coopérer avec Quadient, sans frais pour Quadient, si Quadient choisit de contester une telle divulgation ; et (c) limiter une telle divulgation dans la mesure permise par la loi, y compris la divulgation de la quantité minimale de Données personnelles nécessaire pour se conformer à une telle ordonnance ou à une telle demande. Si le Fournisseur de Services n'est pas autorisé à fournir un avis à Quadient, il demandera la permission d'aviser Quadient ou demandera au tribunal ou à l'autorité gouvernementale d'obtenir les documents demandés directement auprès de Quadient.
4. Sécurité des données.
Le Fournisseur de Services maintiendra des mesures organisationnelles et techniques appropriées pour la protection de la sécurité, de la confidentialité, de la disponibilité et de l'intégrité des Données personnelles (y compris la protection contre le Traitement non autorisé ou illégal et contre la destruction, l'altération, l'endommagement ou la perte illicites ou accidentels, ainsi que la divulgation ou l'accès non autorisé aux Données personnelles), afin d'assurer un niveau de sécurité adapté au risque et non inférieur à celui requis par l'annexe II. Le Fournisseur de Services améliorera les garanties tout au long de la durée du contrat afin de s'aligner sur les normes industrielles en vigueur.
5. Incidents de données.
5.1. Le Fournisseur de Services notifiera à Quadient un incident concernant les Données Personnelles dans les meilleurs délais et, en tout état de cause, dans les 24 heures suivant sa découverte. Cet avis indiquera la cause de l'incident concernant les Données Personnelles, les informations et les catégories de Personnes concernées, les mesures prises pour remédier à l'incident concernant les Données personnelles, tout renseignement pouvant être nécessaire pour signaler l'incident concernant les Données Personnelles à une Autorité de contrôle ou à une Personne concernée, ainsi que tout autre information demandée par Quadient. Le Fournisseur de Services complétera les informations fournies au fur et à mesure que des informations supplémentaires seront disponibles. Quadient décidera si une notification de violation doit légalement être donné à une Personne concernée et, le cas échéant, le contenu de cette notification. Le Fournisseur de Services remboursera à Quadient tous les coûts et toutes les dépenses engagées par Quadient à la suite d'un incident concernant les Données Personnelles. La survenue d'un incident concernant les données constitue une violation substantielle du présent DPA.
5.2. Le Fournisseur de Services prend immédiatement des mesures pour contenir et enquêter sur l'incident concernant des Données personnelles, pour identifier, prévenir et atténuer les effets d'un tel incident concernant des Données personnelles, et pour effectuer toute récupération ou autre action nécessaire pour remédier à l’incident concernant des Données personnelles. Le Fournisseur de Services s'efforcera de remédier à tout incident concernant des Données personnelles immédiatement, mais au plus tard dans les trente (30) jours suivant sa découverte. Le Fournisseur de Services reconnaît et accepte que Quadient puisse prendre des mesures raisonnables et appropriées pour mettre fin et remédier à tout incident concernant les Données personnelles, y compris toute utilisation non autorisée de Données personnelles.
5.3. Le Fournisseur de Services fournira toute l'aide demandée par Quadient pour répondre à un incident touchant les données, y compris : atténuer ses effets, documenter ses effets et toutes les mesures correctives prises, signaler la question comme l'exigent les Lois sur la protection des données, répondre à toutes les demandes d’information d'une Autorité de contrôle et notifier les personnes concernées par les données. Le Fournisseur de Services ne fera aucune déclaration ou notification à une Personne concernée, à une Autorité de contrôle ou à toute autre Personne concernant un incident concernant les Données personnelle sans l'approbation écrite préalable de Quadient
6. Transfert de données.
Quadient et le Fournisseur de Services peuvent transférer des Données personnelles en dehors de l'UE, de l'EEE, de la Suisse ou du Royaume-Uni, en recourant à des mécanismes de transfert de données appropriés, conformément aux Lois sur la protection des données, qui peuvent inclure le Data Privacy Framework, les CCT ou d'autres mécanismes légalement reconnus.. Si une partie n'est pas en mesure ou devient incapable de se conformer à ces exigences, les Données personnelles ne seront traitées que dans les limites autorisées par les Lois sur la protection des données.
6.1. Dans le cas où le Service serait couvert par plusieurs mécanismes de transfert, le transfert des Données personnelles sera soumis à un seul mécanisme de transfert, selon le cas, et conformément à l'ordre de priorité suivant : (a) les Data Privacy Framework ; (b) les CCT applicables ; et, si aucun des deux précédents n'est applicable, alors (c) d'autres mécanismes de transfert de données alternatifs autorisés par les Lois applicables s'appliqueront.
6.2 Dans la mesure où le Fournisseur de Services traite des Données personnelles de clients provenant de l'EEE, du Royaume-Uni ou de la Suisse, le Fournisseur de Services déclare qu'il est auto-certifié dans le cadre des Data Privacy Framework et qu'il adhère aux principes de confidentialité des données.
6.3 Les CCT applicables and le UK Addendum sont disponibles à l'adresse suivante : Clauses contractuelles types | Quadient
7. Durée et résiliation.
Le présent DPA entre en vigueur à la date d'entrée en vigueur et le demeure jusqu'à la première des éventualités suivantes : i) l'expiration ou la résiliation de l’Accord de Services ; ou ii) la résiliation en vertu de la présente section. Quadient peut résilier immédiatement le présent DPA et l’Accord de Services si le Fournisseur de Services enfreint une condition importante du présent DPA.
8. Retour et destruction des données.
À la résiliation ou sur instructions écrites de Quadient à tout moment pendant la durée de l’Accord de Services, le Fournisseur de Services doit promptement retourner à Quadient toutes les Données personnelles, supprimer de façon permanente toutes les Données personnelles en sa possession et faire en sorte que tous les Sous-traitants ultérieurs retournent et suppriment de façon permanente toutes les Données personnelles en la possession de ces Sous-traitants ultérieurs. À la demande de Quadient, le Fournisseur de Services lui fournira une confirmation écrite de la restitution et de la destruction des Données personnelles. En retournant les Données personnelles, le Fournisseur de Services remettra à Quadient, sans frais supplémentaires, une copie de toutes les Données personnelles dans un format électronique structuré standard généralement reconnu pour la migration de ces données vers un système choisi par Quadient. Les exigences de la présente section survivront à la résiliation ou à l'expiration du présent DPA et resteront en vigueur aussi longtemps que des Données personnelles resteront sous la garde ou le contrôle du Fournisseur de Services ou d'un Sous-traitant ultérieur.
9. Audit.
Le Fournisseur de Services doit mettre à la disposition de Quadient, sur demande, toutes les informations nécessaires et exigés par Quadient pour démontrer qu'il se conforme au présent DPA ou aux Lois applicables sur la protection des données. Moyennant un délai de prévenance écrit raisonnable, le Fournisseur de Services doit permettre à Quadient ou à un auditeur indépendant mandaté par Quadient de procéder à des vérifications, y compris des inspections, en rapport avec le Traitement des Données personnelles, et y contribuer, sans frais pour Quadient. Les vérifications auront lieu au plus une fois par an, à moins que la loi applicable sur la protection des données ne l'exige autrement, ou à la suite de la notification d'un incident lié aux données. Le Fournisseur de Services coopérera à toute vérification effectuée par une Autorité de contrôle et assumera les dépenses associées à l’audit. Quadient peut contrôler le respect du présent DPA par le Fournisseur de Services au moyen de mesures désignées par Quadient, y compris, mais sans s'y limiter, des examens manuels et des scans automatisés continus, ainsi que des évaluations régulières, des audits ou d'autres tests techniques et opérationnels au moins une fois tous les 12 mois.
10. Indemnisation.
Le Fournisseur de Services doit indemniser, défendre et dégager de toute responsabilité Quadient, ses Filiales et leurs administrateurs, dirigeants, employés, agents, actionnaires et membres respectifs à l'égard de toutes les allégations, réclamations, actions (y compris, sans s'y limiter, toute réclamation ou toute mesure d'application de la loi de tout organisme de réglementation), poursuites, demandes, dommages, responsabilités, obligations, pertes, règlements, jugements, coûts et dépenses (y compris, mais sans s'y limiter, les frais et coûts d'avocat), qui découlent, sont liés ou résultent (i) d'une violation de ce DPA, ou (ii) d'un incident concernant les Données personnelles, ou (iii) de toute action ou inaction d'un Sous-traitant ultérieur du Fournisseur de Services . Quadient avisera promptement le Fournisseur de Services par écrit de toute demande d'indemnisation, mais le fait de ne pas aviser le Fournisseur de Services ne le dégagera pas de toute responsabilité ou obligation d'indemnisation qu'il pourrait avoir, sauf dans la mesure où le Fournisseur de Services subit un préjudice important en raison de ce manquement. Nonobstant toute disposition contraire de l'Accord de Services ou de tout autre document, aucune limitation de responsabilité ne s'applique aux obligations énoncées dans le présent paragraphe.
11. Conditions générales.
11.1. Interprétation. En cas de conflit entre le contrat de Services (ou tout document auquel il est fait référence) et le présent DPA, les dispositions du présent DPA prévaudront, sauf disposition contraire des Lois sur la protection des données. Si et dans la mesure où les CCT sont en conflit avec une disposition du présent DPA, les CCT prévaudront dans la mesure de ce conflit.
11.2. Filiales. Les parties conviennent qu'en signant la DPA, Quadient conclut la DPA en son nom propre et, le cas échéant, au nom et pour le compte de ses Filiales, établissant ainsi un DPA distincte entre le Fournisseur de Services et chacune de ces Filiales. Sauf si les Lois applicables sur la protection des données exigent que la filiale exerce un droit ou cherche à obtenir un recours en vertu du présent DPA contre le Fournisseur de Services directement par lui-même, les parties conviennent que Quadient, en tant que partie contractante à l’Accord de Services, peut exercer un tel droit ou chercher à obtenir un tel recours au nom de la filiale.
11.3. Choix de la loi/du lieu. Le présent DPA sera interprété et appliqué conformément au droit Français, sans application de ses règles de conflit ou de choix de la loi, et tout litige pouvant survenir dans le cadre du présent DPA ou s'y rapportant sera soumis à la compétence du tribunal de commerce de Nanterre. Chaque partie consent par la présente à la compétence exclusive du tribunal de Nanterre à cet égard.
11.4. Modifications. Le présent DPA ne peut être modifié, sauf par un écrit dûment signé par les représentants autorisés des parties ; toutefois, (a) Quadient peut réviser l'annexe II comme indiqué à l'article 4, et (b) le présent DPA sera, à moins que les Lois sur la protection des données applicables ne l'interdisent, automatiquement modifié pour inclure toutes les dispositions nécessaires pour répondre aux exigences des Lois sur la protection des données à la date d'entrée en vigueur d'une telle exigence.
11.5. Renonciation. Une renonciation à l'égard d'un événement ne doit pas être interprétée comme une continuation, un empêchement ou une renonciation à un droit ou à un recours pour des événements ultérieurs.
11.6. Bénéficiaires tiers. Sauf disposition contraire des Lois sur la protection des données, le présent DPA ne confère aucun droit de bénéficiaire tiers ; il est destiné à bénéficier uniquement aux parties aux présentes et à leurs successeurs et ayants droit autorisés respectifs et ne peut bénéficier à aucune autre personne, ni aucune disposition des présentes ne peut être appliquée par elle.
11.7. Notifications. Toutes les notifications requises ou autorisées en vertu du présent DPA sont fournies de la manière et aux points de contact désignés dans l'Accord de Services ou à toute autre adresse pouvant être désignée par l'une des parties de temps à autre.
11.8. Intégralité de l'annexe. Le présent DPA constitue l'accord final, complet et exclusif des parties. Aucune déclaration, incitation, promesse ou accord antérieur ou contemporain, oral ou autre, entre les parties à ce sujet n'aura de force ou d'effet.
11.9. Divisibilité. Si une disposition du présent DPA est jugée contraire à la loi par un tribunal compétent, cette disposition sera dissociée de l'accord et toutes les autres dispositions resteront pleinement en vigueur.
11.10. Exemplaires. Le présent DPA peut être signé en deux exemplaires, chacun d'entre eux constituant un original, mais tous ces exemplaires constituent un seul et même instrument. Les contreparties signées manuellement peuvent être remises sous forme de télécopie ou de document électronique scanné, chacune d'entre elles (qu'elle soit signée à l'origine ou qu'il s'agisse d'une télécopie ou d'un document électronique scanné) étant considérée comme un original, et l'ensemble de ces contreparties constituant un seul et même instrument.
EN FOI DE QUOI, Quadient et le Fournisseur de Services ont fait en sorte que la présente DPA soit signée et livrée par leurs représentants dûment autorisés à la date d'entrée en vigueur.
ANNEX I
A. LISTE DES PARTIES
Importateur de données :
- Fournisseur de Services : tel que défini dans l'accord
- l'adresse et les coordonnées du Fournisseur de Services, telles qu'elles sont indiquées dans l'accord
- Courriel du DPO : tel que défini dans l'accord
- Activités : Fournisseur des Services
Exportateur de données :
- Quadiant
- L’adresse et les coordonnées : tels que définis dans l'accord
- Courriel DU DPO: Privacyteam@quadient.com
- Activités : Quadient, destinataire des Services
B. DESCRIPTION DU TRANSFERT
PERSONNES CONCERNÉES.
Les Données personnelles transférées concernent les catégories suivantes de personnes concernées :
- les pistes, les prospects, les fournisseurs et les clients, ainsi que leurs employés, agents et utilisateurs finaux respectifs
- les employés, les agents et les utilisateurs finaux de Quadient, ainsi que les Sous-traitants de Quadient.
CATÉGORIES DE DONNÉES.
Les Données personnelles transférées concernent les catégories de données suivantes :
Nom et prénom, coordonnées (courriel, téléphone, adresse physique) et données financières (numéro de compte bancaire ).
DONNÉES SENSIBLES (le cas échéant).
Les Données personnelles transférées concernent les catégories de données sensibles suivantes :
Aucun
FRÉQUENCE.
Le transfert de Données personnelles aura lieu à la fréquence suivante :
Périodiquement pendant la durée de l'accord, jusqu'à ce que le Fournisseur de Services achève les Services pour Quadient.
NATURE.
La nature du transfert de Données personnelles est la suivante :
Le Fournisseur de Services traitera les Données personnelles de Quadient dans le but de fournir les Services et conformément à l'accord ou au DPA.
LES OBJECTIFS DU (DES) TRANSFERT(S).
Le transfert est effectué aux fins suivantes :
Le transfert est destiné à permettre la relation et l'exécution de l'accord entre les parties.
INFORMATIONS UTILES SUPPLÉMENTAIRES (limites de stockage et autres informations pertinentes).
Les Données personnelles transférées entre les parties ne peuvent être conservées que pendant la période autorisée par l'accord entre les parties.
POUR LES TRANSFERTS VERS DES SOUS-TRAITANTS ULTERIEURS,
Pour accéder à la liste des sous-traitants ultérieurs, veuillez consulter l’Accord de Services. Spécifications requises concernant l'objet, la nature et la durée du traitement
C. L'AUTORITÉ DE SURVEILLANCE COMPÉTENTE
Commission nationale de l'informatique et des libertés (France)
ANNEX II: DES MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS DES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES
Compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement, ainsi que du risque, dont la probabilité et la gravité varient, pour les droits et libertés des personnes physiques, l'importateur de données a mis en œuvre les mesures techniques et organisationnelles appropriées destinées à assurer un niveau de sécurité adapté au risque.
Domaine | Pratiques |
|---|---|
Organisation de la sécurité de l'information | Responsabilité liée à la sécurité. Chaque partie désigne un ou plusieurs responsables de la sécurité chargés de coordonner et de contrôler les règles et procédures de sécurité. Rôles et responsabilités en matière de sécurité. Le personnel de chaque partie ayant accès aux données est soumis à des obligations de confidentialité. Programme de gestion des risques. Chaque partie procède à une évaluation des risques avant de traiter les données ou de lancer le service correspondant. Chaque partie conserve ses documents de sécurité conformément à ses exigences en matière de conservation après qu'ils ont cessé d'être en vigueur. |
Gestion des actifs | Inventaire des actifs. Chaque partie tient un inventaire de tous les actifs sur lesquels les données sont stockées. L'accès aux inventaires de ces actifs est limité au personnel autorisé par écrit à y accéder. Gestion des actifs - Chaque partie classifie les données afin de les identifier et d'en restreindre l'accès de manière appropriée. - Chaque partie impose des restrictions à l'impression des Données et dispose de procédures pour l'élimination des documents imprimés contenant des Données. - Le personnel d'une partie doit obtenir une autorisation interne avant de stocker des données sur des dispositifs portables, d'accéder à distance à des données ou de traiter des données en dehors de ses installations. |
Sécurité des Ressources humaines | Formation à la sécurité. Chaque partie informe son personnel des procédures de sécurité applicables et de leurs rôles respectifs. Chaque partie informe également son personnel des conséquences possibles d'une violation des règles et procédures de sécurité. |
Sécurité physique et environnementale | Accès physique aux installations. Chaque partie limite l'accès aux installations où se trouvent les systèmes d'information qui traitent les données à des personnes identifiées et autorisées. Protection contre les perturbations. Chaque partie utilise divers dispositifs techniquess pour se protéger contre la perte de données due à une panne d'alimentation électrique ou à des perturbations réseau. Élimination des composants. Le responsable du Traitement des données utilise des processus standard pour supprimer les données lorsqu'elles ne sont plus nécessaires. |
Communication et gestion des opérations | Politique opérationnelle. Chaque partie tient à jour des documents décrivant ses mesures de sécurité ainsi que les procédures pertinentes et les responsabilités de son personnel ayant accès aux données. Procédures de récupération des données - Régulièrement, mais en aucun cas moins d'une fois par semaine (à moins qu'aucune mise à jour n'ait eu lieu pendant cette période), chaque partie conserve plusieurs sauvegardes des données à partir desquelles ces données peuvent être récupérées. - Chaque partie stocke les sauvegardes des données et les procédures de récupération des données dans un lieu différent de celui où se trouve l'équipement informatique principal traitant les données. - Chaque partie dispose de procédures spécifiques régissant l'accès aux sauvegardes des données. - Chaque partie enregistre les efforts de restauration des données, y compris la personne responsable, la description des données restaurées et, le cas échéant, la personne responsable et les données (le cas échéant) qui ont dû être saisies manuellement dans le cadre du processus de restauration des données. Logiciels malveillants. Chaque partie dispose de contrôles anti-malware pour éviter que des logiciels malveillants n'obtiennent un accès non autorisé aux données, y compris des logiciels malveillants provenant de réseaux publics. Les données au-delà des limites du système d’information - Chaque partie chiffre les données transmises sur les réseaux publics. - Chaque partie restreint l'accès aux données stockées sur des supports quittant ses installations. Enregistrement des événements. Chaque partie enregistre l'accès et l'utilisation des systèmes d'information contenant des données, en enregistrant l'identifiant d'accès, l'heure, l'autorisation accordée ou refusée et l'activité correspondante. Mesures de sécurité relatives à l'IA (le cas échéant). Lorsqu’un Traitement assisté par l'IA est réalisé, le Fournisseur de Services devrait mettre en œuvre des mesures visant à réduire les risques spécifiques à l'IA (par exemple, contrôles d'accès des modèles, protection contre l'injection de requêtes/les fuites de données, surveillance des modèles d'utilisation anormaux et procédures visant à suspendre ou isoler les fonctionnalités de l'IA en cas de suspicion d'incident de sécurité). |
Contrôle d'accès | Politique d'accès. Chaque partie tient un registre des privilèges de sécurité des personnes ayant accès aux données. Autorisation d’accès - Chaque partie tient et met à jour un registre du personnel autorisé à accéder à ses systèmes contenant des données. - Chaque partie désactive les informations d'authentification qui n'ont pas été utilisées pendant une période n'excédant pas six mois. - Chaque partie identifie le personnel qui peut accorder, modifier ou annuler l'autorisation d’accès aux données et aux ressources. - Chaque partie veille à ce que les individus aient des identifiants/log-ins distincts. Besoin d’en connaître - Le personnel d'assistance technique n'est autorisé à accéder aux données qu'en cas de besoin. - Chaque partie limite l'accès aux données aux seules personnes qui ont besoin de cet accès pour exercer leurs fonctions. Intégrité et confidentialité - Chaque partie donne instruction à son personnel de désactiver les sessions d’administration lorsqu'il quitte les locaux placés sous son contrôle ou lorsque les ordinateurs sont laissés sans surveillance. - Chaque partie stocke les mots de passe de manière à les rendre inintelligibles tant qu'ils sont en vigueur. Authentification - Chaque partie utilise les pratiques courantes de l'industrie pour identifier et authentifier les utilisateurs qui tentent d'accéder aux systèmes d'information. - Lorsque les mécanismes d'authentification sont basés sur des mots de passe, chaque partie exige que la gestion des mots de passe soit configurée de manière à garantir que le mot de passe soit immédiatement modifié dès qu'il existe un risque qu'il soit compromis. - Lorsque les mécanismes d'authentification sont basés sur des mots de passe, chaque partie exige que le mot de passe comporte au moins treize caractères. - Chaque partie veille à ce que les identifiants désactivés ou expirés ne soient pas accordés à d'autres personnes. - Chaque partie surveille les tentatives répétées d'accès au système d'information à l'aide d'un mot de passe non valide. - Chaque partie maintient des procédures standard pour désactiver les mots de passe qui ont été corrompus ou divulgués par inadvertance. - Chaque partie utilise des pratiques de protection par mot de passe conformesà l’état de l’art, y compris des pratiques conçues pour préserver la confidentialité et l'intégrité des mots de passe lorsqu'ils sont attribués et distribués, ainsi que pendant leur stockage. Sécuritéréseau. Chaque partie dispose de contrôles permettant d'éviter que des personnes s'arrogent des droits d'accès qui ne leur ont pas été attribués afin d'accéder à des données auxquelles elles ne sont pas autorisées à accéder. |
Gestion des incidents de sécurité de l'information | Processus de réponse aux incidents - Chaque partie tient un registre des violations de la sécurité avec une description de la violation, de la période, des conséquences de la violation, de la source de la notification et des principales mesures d'atténuation et de rétablissement. - Pour chaque violation constituant un incident de sécurité, le Sous-traitant Traitement des données notifie le Responsable de Traitement dans les plus brefs délais. Contrôle des Services. - Le personnel d'exploitation de chaque partie vérifie régulièrement les journaux afin de proposer des mesures correctives si nécessaire. |
Gestion de la continuité des activités | - Le Sous-traitant des Traitement des données maintient des plans d'urgence et de secours pour les installations dans lesquelles se trouvent ses systèmes d'information qui traitent les données. - Le stockage redondant du Sous-traitant du Traitement des données et ses procédures de récupération des données sont conçus pour tenter de reconstruire les données dans leur état d'origine ou dans leur dernier état répliqué avant le moment où elles ont été perdues ou détruites. |