Mews Addendum sur le traitement des données

Le présent addendum relatif au traitement des données ("addendum") fait partie intégrante de l'accord de coopération, des conditions générales de vente pour les partenaires ("CGV") ou de tout autre accord (les CGV ou tout autre accord ci-après également dénommé "accord") conclu entre la société affiliée de MEWS Systems, telle que définie dans l'accord respectif ( "MEWS Systems"), et vous ("partenaire"). Le présent addendum complète les durées de l'accord conclu entre MEWS Systems et le partenaire ; en cas de divergence entre les durées de l'accord et du présent addendum, ce dernier prévaut, à moins que les parties ne conviennent explicitement par écrit de dérogations spécifiques au présent addendum dans l'accord.

Aux fins du présent addenda, les durées en majuscules ont la signification suivante.  Les durées en majuscules qui ne sont pas définies autrement dans le présent document ont la signification qui leur est donnée dans l'accord ou les CGV.

"Aux fins de la présente définition, on entend par "contrôle" d'une entité le pouvoir, direct ou indirect, soit : (a) d'exercer au moins 10 % des droits de voteattachésaux titres assortis d'un droit de vote ordinaire pour l'élection des administrateurs de cette entité ; soit (b) de diriger ou de faire diriger la gestion et les politiques de cette entité, que ce soit par contrat ou de toute autre manière ;

"Utilisateur autorisé" désigne une personne autorisée par le Partenaire à avoir accès à la plateforme MEWS et/ou au compte MEWS et à fournir des instructions aux systèmes MEWS et à recevoir des communications de ceux-ci, nonobstant le fait que ce soit par le biais de la plateforme MEWS , du compte MEWS , par e-mail ou autrement ;

"Responsable du traitement" désigne une personne ou une entité qui détermine les finalités et les moyens du Traitement des données à caractère personnel ;

"Législation sur la protection des données" désigne le RGPD, et/ou toute autre législation applicable en matière de confidentialité des données du pays d'enregistrement de l'affilié de MEWS Systems, tel que défini dans l'Accord ;

"Personne concernée" : la personne identifiée ou identifiable à laquelle se rapportent les données à caractère personnel ;

"RGPD" désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données) ;

"Données personnelles" signifie toute information concernant (i) une personne physique identifiée ou identifiable et/ou, (ii) une entité juridique identifiée ou identifiable (lorsque cette information est protégée par la législation sur la protection des données de la même manière que les données qui identifient une personne vivante) ; ce qui, aux fins du présent addenda, comprend les données personnelles des clients, c'est-à-dire les données contenues dans les formulaires de contact, les informations de contact et d'identification, y compris le nom, la fonction, l'e-mail et l'adresse, les numéros d'identité et/ou de passeport, les détails de paiement, les préférences des clients, les détails des services du Partenaire et les données limitées de connexion et de localisation (ville). Les données à caractère personnel ne contiennent pas de catégories particulières de données.

"Traitement" désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction ; afin d'éviter tout doute, le traitement d'autres informations que les données à caractère personnel (par exemple, des données anonymisées) dans le but d'améliorer les services de MEWS Systems n'entre pas dans le champ d'application du présent addendum ;

" Processeur " ou " Sous-traitant " désigne une personne ou une entité qui traite des données à caractère personnel pour le compte d'un responsable du traitement et/ou d'un sous-traitant, selon le cas ;

Aux fins du présent addenda, on entend par "services" les services fournis par MEWS Systems au partenaire en vertu de l'accord ;

" Clauses contractuelles types " désigne les clauses contractuelles types (processeurs) pour le transfert de données à caractère personnel énoncées dans la décision de la Commission de l'UE du 5 février 2010 (2010/87/CE), telles qu'elles figurent à l'annexe n° 1 des présentes ;

"Autorité de surveillance" : une autorité publique indépendante établie par un État membre de l'UE, un État membre de l'Union européenne, un État membre de l'Union européenne, un État membre de l'Union européenne ou un État membre de l'Union européenne. ou d'un autre pays en vertu du RGPD, de l'UE et des États-Unis. Cadre du bouclier de protection de la vie privée ou une loi correspondante.

2.1 Traitement des données à caractère personnel

MEWS Les systèmes et le partenaire reconnaissent que le partenaire est le responsable du traitement ou le processeur principal en ce qui concerne le traitement des données à caractère personnel pertinentes. MEWS Systems ne traite les données à caractère personnel qu'en tant que processeur ou sous-traitant (selon ce qui s'applique à l'utilisation des services par le partenaire) pour le compte du partenaire et uniquement dans la mesure et de la manière nécessaires aux fins spécifiées par et conformément au présent addendum, à l'accord ou selon les instructions données par le partenaire de temps à autre. Lorsque MEWS Systems estime raisonnablement qu'une instruction du partenaire est contraire (i) aux lois et réglementations applicables ou (ii) aux dispositions de l'accord ou de l'addendum : (i) aux lois et réglementations applicables ou (ii) aux dispositions de l'accord ou de l'addendum, MEWS Systems entreprendra tous les efforts raisonnables pour informer le partenaire et est autorisé à différer l'exécution de l'instruction concernée jusqu'à ce qu'elle ait été modifiée par le partenaire dans la mesure requise par MEWS Systems pour le convaincre que cette instruction est légale, ou qu'elle soit mutuellement acceptée par le partenaire et MEWS Systems comme étant légale.

3.1 Traitement des données personnelles par MEWS Systems MEWS Systems traitera les données personnelles comme des informations confidentielles et ne traitera les données personnelles que pour le compte et conformément aux instructions documentées du partenaire aux fins suivantes : (i) traitement conformément à l'accord ; (ii) traitement initié par les utilisateurs autorisés dans le cadre de leur utilisation des services ; et (iii) traitement pour se conformer à d'autres instructions raisonnables documentées fournies par le partenaire (par exemple, par courrier électronique) lorsque ces instructions sont compatibles avec les durées de l'accord. Le Partner charge par la présente MEWS Systems d'informer les personnes concernées du traitement de leurs données personnelles au nom du Partner par courrier électronique et de la possibilité d'utiliser les services de MEWS Systems pour gérer les données, les réservations et les services associés des personnes concernées. MEWS Les systèmes tiennent un journal des opérations de traitement effectivement réalisées. 3.2 Mesures techniques et organisationnelles MEWS Systems doit maintenir et implémenter des mesures techniques et organisationnelles raisonnables et appropriées visant à protéger les données à caractère personnel contre la destruction accidentelle ou licite ou la perte accidentelle, l'altération, la divulgation non autorisée ou l'accès, et en relation avec la sécurité des données à caractère personnel et des plateformes utilisées pour fournir les services, comme décrit dans la Législation sur la protection des données. Lors de l'implémentation de ces mesures, MEWS Systems est en droit de tenir compte des pratiques courantes pour déterminer ce qui est raisonnable, ainsi que de la proportionnalité du coût de la mise en place de ces mesures par rapport au préjudice potentiel causé aux personnes concernées contre lequel la mise en place de ces mesures vise à se prémunir. 3.3 Personnel MEWS Systems veille à ce que son personnel chargé du traitement des données à caractère personnel soit informé de ses obligations et responsabilités en vertu des présentes, qu'il ait reçu une formation appropriée et qu'il soit informé de la nature confidentielle des données à caractère personnel. Le "personnel" désigne les employés et/ou agents, consultants, sous-traitants ou autres tiers : (i) qui sont engagés par MEWS Systems afin qu'il puisse remplir ses obligations envers le partenaire en vertu de l'accord ou de l'addendum, et (ii) qui sont soumis à des obligations de confidentialité dans une mesure substantiellement identique à celle prévue dans l'accord et l'addendum. MEWS Les systèmes veillent à ce que l'accès du personnel aux données à caractère personnel soit limité à ceux qui exécutent les services conformément à l'accord, et les obligations de confidentialité du personnel survivent à la fin de l'engagement du personnel. 3.4 Notifications MEWS Systems notifie par écrit au partenaire, dans les meilleurs délais commercialement raisonnables : 3.4.1 de toute communication reçue d'une personne physique concernant (i) les droits d'une personne physique d'accéder, de modifier, de corriger, d'effacer ou de bloquer ses données personnelles ; (ii) les droits d'une personne physique de rectifier, de restreindre ou d'effacer ses données personnelles, de bénéficier de la portabilité des données, de s'opposer au traitement et de ne pas faire l'objet d'une prise de décision automatisée ; et (iii) toute plainte concernant le traitement des données personnelles par le Partenaire ; dans la mesure où la loi ne l'interdit pas, de toute assignation à comparaître ou autre ordonnance ou procédure judiciaire ou administrative demandant l'accès aux données personnelles ou leur divulgation ; 3.4.2 dans la mesure où la loi ne l'interdit pas, de toute plainte, avis ou autre communication associée à la conformité du Partenaire avec la législation sur la protection des données et la vie privée et au Traitement des Données Personnelles. MEWS Systems fournira au partenaire une coopération et une assistance commercialement raisonnables (aux frais du partenaire) en ce qui concerne cette plainte, cet avis ou cette communication ; et 3.4.3 d'une violation matérielle de la sécurité des services qui entraîne un accès non autorisé aux données du partenaire dont nous avons connaissance, conformément à la loi applicable ("violation de la sécurité"). MEWS Systems s'efforce raisonnablement d'identifier la cause de cette violation de la sécurité et prend les mesures nécessaires et raisonnables, et qui sont acceptées par le partenaire, afin de remédier à la cause de cette violation de la sécurité dans la mesure où la remédiation est sous le contrôle raisonnable de MEWS Systems. Les obligations des présentes ne s'appliquent pas aux incidents causés par le partenaire. 3.5 Aucune reconnaissance Le partenaire accepte que l'obligation de MEWS Systems de notifier la violation de sécurité n'est pas et ne sera pas interprétée comme une reconnaissance par MEWS Systems de toute faute ou responsabilité de MEWS Systems en ce qui concerne cette violation de sécurité. 3.6 Restitution et suppression des données Sous réserve des limitations prévues par les lois applicables, MEWS Systems restitue au partenaire toutes les données persistantes du partenaire (si elles n'ont pas déjà été supprimées conformément à la loi applicable) en suivant des procédures normalisées et dans des délais commercialement raisonnables. 3.7 Conformité de MEWS Systems MEWS Systems doit se conformer à la législation sur la protection des données applicable à ses propres opérations et au provisionnement des services en vertu de l'Accord et à ses obligations en vertu du présent addendum. 3.8 Audit Le partenaire a le droit de procéder à un audit pour vérifier la conformité de MEWS Systems avec ses obligations énoncées à l'article. 28 RGPD et dans le présent addendum. MEWS Systems autorise le Partenaire à effectuer l'audit dans les conditions suivantes : (i) le partenaire demande à MEWS Systems d'effectuer l'audit par le biais d'une notification écrite au moins 30 (trente) jours à l'avance ; (ii) le partenaire précisera l'ordre du jour de cet audit dans la notification visée au point (i) ; (iii) l'audit n'aura pas lieu plus d'une fois par an ; (iv) tous les coûts et dépenses associés sont supportés par le partenaire et remboursés à MEWS Systems sur demande ; et (v) l'audit ne dure pas plus longtemps que l'équivalent d'une journée de travail (8 heures) du représentant de MEWS Systems. Dans le cas où le partenaire demande l'audit par l'intermédiaire d'un tiers indépendant - auditeur externe agréé, MEWS Systems peut s'opposer à un auditeur externe agréé désigné par le partenaire pour effectuer l'audit si l'auditeur n'est, selon l'opinion raisonnable de MEWS Systems, pas suffisamment qualifié ou indépendant, s'il est un concurrent de MEWS Systems ou s'il est manifestement inadapté de toute autre manière. Toute objection de ce type obligera le partenaire à nommer un autre auditeur. Dans le cas où le partenaire demande plus d'un audit au cours d'une année civile, il doit obtenir l'autorisation écrite préalable de MEWS Systems et supporter les coûts associés à ces audits et rembourser à MEWS Systems tous les coûts raisonnablement encourus pour ces audits. À la demande du partenaire, MEWS Systems fournira au partenaire le coût estimé qu'il s'attend à encourir au cours de cet audit selon l'étendue spécifiée dans l'agenda fourni par le partenaire.

4.1 Traitement des données à caractère personnel par le partenaire

Dans le cadre de son utilisation des services, le partenaire traite les données à caractère personnel conformément aux exigences de la législation sur la protection des données. Pour éviter toute ambiguïté, le partenaire garantit que ses instructions relatives au traitement des données personnelles sont conformes à la législation sur la protection des données et qu'il ne donnera aucune instruction ou aucun classement qui ordonne à MEWS Systems d'entreprendre une action ou un plan d'action illégal ou non conforme à la législation sur la protection des données. Le partenaire est seul responsable de l'exactitude, de la qualité et de la légalité des données personnelles et des moyens par lesquels le partenaire a acquis les données personnelles.

4.2 Conformité du partenaire

Outre les obligations du Partenaire énoncées dans la Convention, le Partenaire est responsable (i) de l'intégration, de la sécurité, de la maintenance et de la protection appropriée des Données Personnelles, et (ii) d'assurer sa conformité avec toute loi et réglementation applicable en matière de confidentialité, de protection des données et de sécurité relative à : (a) son Traitement des Données Personnelles ; (b) son utilisation des Services ; et (c) toute exigence d'enregistrement ou de notification du Traitement des données à laquelle le Partenaire est soumis en vertu de la loi applicable.

4.3 Notifications

Le partenaire accepte de faire toutes les notifications requises et d'obtenir les consentements et les droits requis de la part des individus en relation avec le provisionnement des services par MEWS Systems au partenaire. Lorsque MEWS Systems reçoit une communication décrite dans la section 3.4.1 ou 3.4.3 et en informe le partenaire, il incombe à ce dernier de répondre à la communication et de prendre toute autre mesure appropriée à cet égard. Le partenaire accepte de notifier immédiatement à MEWS Systems toute utilisation non autorisée des services ou du compte du partenaire ou toute autre violation de la sécurité impliquant les services.

4.4 Mesures techniques et organisationnelles

Le Partenaire est seul responsable de l'implémentation et du maintien des mesures de sécurité et des autres mesures techniques et organisationnelles adaptées à la nature et au volume des données à caractère personnel que le Partenaire stocke ou traite d'une autre manière à l'aide des Services. Le partenaire est également responsable de l'utilisation des services par l'un de ses employés, par toute personne que le partenaire autorise à accéder aux services ou à les utiliser, et par toute personne qui obtient l'accès à ses données personnelles ou aux services du fait qu'il n'a pas pris des mesures de sécurité raisonnables, même si cette utilisation n'a pas été autorisée par le partenaire.

5.1 Coopération entre les partenaires et les systèmes MEWS

Le Partenaire et MEWS Systems conviennent de coopérer de manière commercialement raisonnable comme cela est raisonnablement exigé pour protéger les données personnelles en vertu des lois applicables, de l'article 35 et 36 du RGPD et de l'accord UE-États-Unis. Privacy Shield Framework pour procéder à une évaluation de l'impact sur la protection des données associée à l'utilisation des Services par le Partenaire, dans la mesure où ce dernier n'a pas accès aux informations pertinentes d'une autre manière, et dans la mesure où ces informations sont disponibles pour MEWS Systems. Le partenaire doit coopérer avec l'enquête raisonnable de MEWS Systems sur les pannes du service, les problèmes de sécurité et toute atteinte à la sécurité suspectée. Le partenaire fournit une assistance raisonnable à MEWS Systems dans le cadre de la coopération ou de la consultation préalable avec l'autorité de contrôle dans l'exécution de ses tâches liées à la présente section, dans la mesure requise par le RGPD ou la loi applicable.

5.2 MEWS Cours obligatoires : assistance aux exigences de conformité des partenaires

Pendant la durée de l'accord du partenaire avec MEWS Systems, le partenaire peut demander que MEWS Systems assiste les efforts du partenaire pour se conformer aux obligations du partenaire en vertu de la législation et des réglementations applicables en matière de protection des données ou de la vie privée, à condition que (i) cette assistance demandée soit pertinente pour les services qui soutiennent le traitement des données à caractère personnel, (ii) l'assistance demandée soit commercialement raisonnable et proportionnée à l'objectif de l'exercice pour lequel l'assistance de MEWS Systems est demandée, et (iii) si MEWS Systems accepte d'apporter son assistance, tous les coûts et dépenses associés (y compris le coût du temps de son personnel) soient supportés par le partenaire et remboursés à MEWS Systems sur demande.

6.1 En ce qui concerne les tiers ou la sous-traitance du traitement des données à caractère personnel, MEWS Systems ne peut autoriser un tiers (sous-traitant) à traiter les données à caractère personnel qu'avec le consentement préalable du partenaire et à condition que les dispositions relatives au traitement et à la protection des données dans le contrat du sous-traitant concernant les données à caractère personnel soient dans des durées qui sont essentiellement les mêmes que celles énoncées dans le présent addendum, à condition que le contrat du sous-traitant concernant les données à caractère personnel prenne fin automatiquement en cas de résiliation de l'accord pour quelque raison que ce soit. Aux fins des présentes, les personnes suivantes sont approuvées par le Partenaire par la signature du présent Addendum : (i) les Sous-Traitants listés dans l'Annexe n°2 des présentes, (ii) les Affiliés de MEWS Systems et (iii) tout Sous-Traitant autorisé par le Partenaire via son Utilisateur Autorisé en autorisant une intégration avec les Services de MEWS Systems via le Compte MEWS ou autrement. MEWS Les systèmes peuvent, pendant la durée de l'accord, impliquer de nouveaux Sous-Traitants dans le Traitement, à condition que ces Sous-Traitants n'accèdent aux Données à caractère personnel et ne les utilisent que dans la mesure nécessaire à l'exécution des obligations qui lui sont sous-traitées.

6.2 Droit d'opposition pour les nouveaux processeurs secondaires

Le partenaire peut s'opposer à l'utilisation par MEWS Systems d'un nouveau sous-processeur en le notifiant rapidement par écrit à MEWS Systems dans les dix (10) jours ouvrables suivant la réception de la notification de MEWS Systems et en précisant les lacunes. Dans le cas où le partenaire s'oppose à un nouveau sous-traitant, MEWS Systems s'efforcera d'ajouter des garanties supplémentaires (couvrant les lacunes spécifiées) ou de changer le sous-traitant (par rapport au sous-traitant) ; si MEWS Systems n'est pas en mesure de le faire, MEWS Systems fera des efforts raisonnables pour mettre à la disposition du partenaire une modification des services ou recommandera une modification commercialement raisonnable de la configuration ou de l'utilisation des services par le partenaire afin d'éviter le traitement des données à caractère personnel par le nouveau sous-traitant auquel il s'est opposé, sans imposer une charge déraisonnable au partenaire. Si MEWS Systems n'est pas en mesure de mettre à disposition un tel changement dans un délai raisonnable, qui n'excède pas trente (30) jours, le partenaire peut mettre fin uniquement à la partie des services qui ne peut être fournie par MEWS Systems sans l'utilisation du nouveau sous-processeur faisant l'objet de l'objection en fournissant une notification écrite à MEWS Systems. MEWS Systems remboursera au partenaire tous les frais payés d'avance couvrant le reste de la durée du contrat après la date effective de résiliation en ce qui concerne la partie des services ainsi résiliée, ce qui constitue le seul et unique recours du partenaire en ce qui concerne l'introduction d'un nouveau sous-processeur.

6.3 Responsabilité

MEWS Systems est responsable des actes et omissions de ses Sous-Traitants dans la même mesure que MEWS Systems serait responsable s'il exécutait les services de chaque Sous-Traitant directement selon les durées du présent addendum, sauf disposition contraire de l'Accord.

7.1 Transfert de données

Les parties conviennent que les données personnelles peuvent être transférées de l'Union européenne/l'Espace économique européen vers un pays tiers, uniquement si l'une des conditions suivantes s'applique : (a) il existe une décision applicable de la Commission européenne qui stipule que le pays tiers assure un niveau de protection adéquat ; ou (b) le transfert peut avoir lieu parce que MEWS Systems a fourni des garanties appropriées conformément à l'Art. 46 du RGPD, et à condition que des droits opposables et des voies de recours effectives pour les personnes concernées soient disponibles ; ou (c) les dérogations pour situation spécifique en vertu de l'art. 49 du RGPD s'appliquent. Aux fins de l'art. 7.1 du présent addendum, les clauses contractuelles types, qui constituent l'annexe n° 1 (clauses contractuelles types) du présent addendum, sont considérées comme des garanties appropriées. Le client autorise par la présente MEWS Systems à conclure les Clauses contractuelles types afin de transférer des données à caractère personnel vers des pays tiers.

7.2 Clauses contractuelles types

Pour permettre le transfert de données depuis/vers des pays tiers vers/depuis l'Union européenne/l'Espace économique européen, les Clauses contractuelles types (annexe n° 1 du présent addendum) sont incorporées au présent addendum et en constituent une partie indissociable.

8.1 Le partenaire accepte que tout utilisateur autorisé du partenaire puisse être contacté et soit habilité à recevoir toute communication relative au présent addendum.

9.1 Bénéficiaires tiers

Les personnes concernées sont les seuls tiers bénéficiaires des Clauses contractuelles types, et il n'y a pas d'autres tiers bénéficiaires de l'Accord et du présent addendum. Nonobstant ce qui précède, l'Accord et les durées du présent addendum ne s'appliquent qu'aux parties et ne confèrent aucun droit à un affilié du partenaire, à un utilisateur final du partenaire ou à une personne concernée tierce.

9.2 Droit applicable

Aucune disposition du présent addenda ne modifie la section de l'accord relative au droit applicable, qui, pour éviter toute ambiguïté, régit toutes les plaintes déposées dans le cadre de l'accord et du présent addenda. Dans la mesure où les Clauses contractuelles types sont applicables et où une Personne concernée introduit une réclamation en vertu de la clause 3.2 des Clauses contractuelles types en rapport avec le traitement de Données à caractère personnel par MEWS Systems, les Clauses contractuelles types doivent être régies et interprétées conformément à la clause 9 (Droit applicable) des Clauses contractuelles types.

9.3 Limitation de la responsabilité

Les recours du partenaire, y compris ceux de ses sociétés affiliées, et la responsabilité de MEWS Systems, découlant de ou associés au présent addendum et aux clauses contractuelles types, seront soumis aux limitations de responsabilité et aux clauses de non-responsabilité définies dans l'accord ou, si aucune limitation de responsabilité n'est stipulée dans l'accord, les parties conviennent et déclarent que le dommage total pouvant résulter de la violation du présent addendum et/ou des clauses contractuelles types n'excédera pas dix mille euros.

9.4 Durée

Le présent avenant est conclu pour une durée égale à la durée de l'accord. Le présent addenda prendra fin simultanément et automatiquement avec la résiliation de l'accord.

9.5 Le terminal

MEWS Systems peut résilier le présent addendum si MEWS Systems propose au partenaire des mécanismes alternatifs qui respectent les obligations des lois applicables en matière de confidentialité des données.

9.6 Contreparties

Le présent addendum peut être signé en plusieurs exemplaires qui, ensemble, seront considérés comme un seul original.

Aux fins de l'article 26, paragraphe 2, de la directive 95/46/CE pour le transfert de données à caractère personnel à des processeurs établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données.

L'entité partenaire qui est partie à l'addendum auquel les présentes clauses contractuelles types sont annexées.  

Nom de l'organisation qui exporte les données :

Adresse :

Tél. …; fax …; e-mail : …

Autres informations nécessaires à l'identification de l'organisation

…

(l'exportateur de données)

Et

Nom de l'organisation qui importe les données : …

Adresse : …

Tél. …; fax …; e-mail : …

Autres informations nécessaires à l'identification de l'organisation :

…

(l'importateur de données ou le sous-traitant de données (selon le cas))

chacun étant une "partie" ; ensemble, "les parties",

SONT CONVENUS des clauses contractuelles suivantes (les clauses) afin d'instaurer des garanties adéquates en matière de protection de la confidentialité des données et des libertés et droits fondamentaux des personnes physiques pour le transfert par l'exportateur de données à l'importateur de données des données à caractère personnel spécifiées à l'appendice 1.

Définitions 

Aux fins des clauses :

1. Les termes "données à caractère personnel", "catégories particulières de données", "traitement", "responsable du traitement", "processeur", "personne concernée" et "autorité de contrôle" ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
2. "l'exportateur de données": le responsable du traitement qui transfère les données à caractère personnel ;
3. "l'importateur de données": le processeur qui accepte de recevoir de l'exportateur de données des données à caractère personnel destinées à être traitées pour son compte après le transfert conformément à ses instructions et aux durées des clauses et qui n'est pas soumis au système d'un pays tiers assurant une protection adéquate au sens de l'article 25, paragraphe 1, de la directive 95/46/CE ;
4. "le sous-traitant": tout processeur engagé par l'importateur de données ou par tout autre sous-traitant de l'importateur de données qui accepte de recevoir de l'importateur de données ou de tout autre sous-traitant de l'importateur de données des données à caractère personnel exclusivement destinées aux activités de traitement à effectuer pour le compte de l'exportateur de données après le transfert conformément à ses instructions, aux durées des Clauses et aux durées du contrat de sous-traitance écrit ;
5. la loi applicable en matière de protection des données' désigne la législation protégeant les libertés et droits fondamentaux des personnes et, en particulier, leur droit à la confidentialité des données en ce qui concerne le traitement des données à caractère personnel, applicable à un responsable du traitement dans l'État membre dans lequel l'exportateur de données est établi ;

"mesures de sécurité techniques et organisationnelles": les mesures visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données sur un réseau, et contre toute autre forme de traitement illicite.

Détails du transfert 

Les détails du transfert et notamment les catégories particulières de données à caractère personnel le cas échéant sont précisés à l'annexe 1 qui fait partie intégrante des Clauses.

1. La personne concernée peut opposer à l'exportateur de données la présente clause, la clause 4, points b) à i), la clause 5, points a) à e) et g) à j), la clause 6, points 1 et 2, la clause 7, la clause 8, point 2, et les clauses 9 à 12 en tant que tiers bénéficiaire.
2. La personne concernée peut faire appliquer la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 à l'encontre de l'importateur de données dans les cas où l'exportateur de données a effectivement disparu ou a cessé d'exister en droit, à moins qu'une entité succédant à l'exportateur de données n'ait assumé l'intégralité des obligations juridiques de ce dernier par contrat ou de plein droit, reprenant ainsi les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire appliquer à l'encontre de cette entité.
3. La personne concernée peut opposer au sous-traitant ultérieur la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, dans les cas où l'exportateur de données et l'importateur de données ont tous deux disparu dans les faits, ont cessé d'exister en droit ou sont devenus insolvables, à moins qu'une entité succédant à l'exportateur de données n'ait assumé l'intégralité des obligations juridiques de ce dernier par contrat ou par effet de la loi, de sorte qu'elle assume les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir auprès de cette entité. La responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des clauses.
4. Les parties ne s'opposent pas à ce qu'une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si le droit national le permet.

Obligations de l'exportateur de données 

L'exportateur de données accepte et garantit :

1. que le traitement, y compris le transfert lui-même, des données à caractère personnel a été et continuera d'être effectué conformément aux dispositions pertinentes de la loi applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l'État membre dans lequel l'exportateur de données est établi) et ne viole pas les dispositions pertinentes de cet État ;
2. qu'il a donné instruction et que, pendant toute la durée des services de traitement des données à caractère personnel, il donnera instruction à l'importateur de données de traiter les données à caractère personnel transférées uniquement pour le compte de l'exportateur de données et conformément à la législation applicable en matière de protection des données et aux Clauses ;
3. que l'importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 du présent contrat ;
4. qu'après évaluation des exigences de la législation applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données sur un réseau, et contre toute autre forme de traitement illicite, et que ces mesures assurent un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger, compte tenu de l'état de l'art et du coût de leur implémentation ;
5. qu'il veillera à la conformité avec les mesures de sécurité ;
6. que, si le transfert concerne des catégories particulières de données, la personne concernée a été informée ou sera informée avant le transfert, ou dans les meilleurs délais après celui-ci, que ses données pourraient être transmises à un pays tiers n'assurant pas un niveau de protection adéquat au sens de la directive 95/46/CE ;
7. de transmettre toute notification reçue de l'importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5, point b), et à la clause 8, paragraphe 3, à l'autorité de contrôle de la protection des données si l'exportateur de données décide de continuer le transfert ou de lever la suspension ;
8. de mettre à la disposition des personnes concernées qui en font la demande une copie des clauses, à l'exception de l'appendice 2, et une description récapitulative des mesures de sécurité, ainsi qu'une copie de tout contrat de services de sous-traitance qui doit être conclu conformément aux clauses, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut retirer ces informations commerciales ;
9. que, en cas de sous-traitance, l'activité de traitement est effectuée conformément à la clause 11 par un sous-traitant offrant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l'importateur de données en vertu des clauses ; et j) qu'il veillera à la conformité avec la clause 4, points a) à i).

Obligations de l'importateur de données

L'importateur de données accepte et garantit :

1. à ne traiter les données à caractère personnel que pour le compte de l'exportateur de données et conformément à ses instructions et aux Clauses ; s'il ne peut assurer cette conformité pour quelque raison que ce soit, il s'engage à informer rapidement l'exportateur de données de son incapacité à se conformer, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;
2. qu'il n'a aucune raison de croire que la législation qui lui est applicable l'empêche de respecter les instructions reçues de l'exportateur de données et ses obligations en vertu du contrat et qu'en cas de modification de cette législation susceptible d'avoir un effet négatif important sur les garanties et obligations prévues par les Clauses, il notifiera rapidement la modification à l'exportateur de données dès qu'il en aura connaissance, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;
3. qu'il a implémenté les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 avant de traiter les données à caractère personnel transférées ;
4. qu'il notifiera rapidement à l'exportateur de données :
5. 1. toute demande juridiquement contraignante de divulgation des données à caractère personnel par une autorité chargée de l'application de la loi, sauf interdiction contraire, telle qu'une interdiction en vertu du droit pénal visant à préserver la confidentialité d'une enquête menée par les autorités chargées de l'application de la loi,
   2. tout accès accidentel ou non autorisé, et
   3. toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu'il n'ait été autrement autorisé à le faire ;
6. de traiter rapidement et correctement toutes les demandes de l'exportateur de données associées à son traitement des données à caractère personnel faisant l'objet du transfert et de se conformer à l'avis de l'autorité de contrôle en ce qui concerne le traitement des données transférées ;
7. à la demande de l'exportateur de données, soumettre ses installations de traitement des données à un audit des activités de traitement couvertes par les clauses, qui est effectué par l'exportateur de données ou par un organisme de contrôle composé de membres indépendants et possédant les qualifications professionnelles requises, soumis à une obligation de confidentialité, sélectionné par l'exportateur de données, le cas échéant, en accord avec l'autorité de contrôle ;
8. de mettre à la disposition de la personne concernée qui en fait la demande une copie des clauses ou de tout contrat de sous-traitance existant, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas elle peut supprimer ces informations commerciales, à l'exception de l'appendice 2, qui est remplacé par une description récapitulative des mesures de sécurité dans les cas où la personne concernée n'est pas en mesure d'en obtenir une copie auprès de l'exportateur de données ;
9. qu'en cas de sous-traitement, il a préalablement informé l'exportateur de données et obtenu son consentement écrit ;
10. que les services de traitement par le sous-traitant ultérieur seront effectués conformément à la clause 11 ;
11. d'envoyer rapidement à l'exportateur de données une copie de tout accord de sous-traitance qu'il conclut en vertu des Clauses.

Responsabilité

1. Les parties conviennent que toute personne concernée ayant subi un préjudice du fait d'une violation des obligations visées à la clause 3 ou à la clause 11 par une partie ou un sous-traitant ultérieur a le droit d'être indemnisée par l'exportateur de données pour le préjudice subi.
2. Si une personne concernée n'est pas en mesure d'introduire une demande d'indemnisation conformément au paragraphe 1 à l'encontre de l'exportateur de données, en raison d'une violation par l'importateur de données ou son sous-traitant ultérieur de l'une des obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur de données a disparu dans les faits, a cessé d'exister en droit ou est devenu insolvable, l'importateur de données accepte que la personne concernée puisse introduire une demande à l'encontre de l'importateur de données comme s'il s'agissait de l'exportateur de données, à moins qu'une entité succédant à l'importateur de données n'ait assumé l'intégralité des obligations légales par contrat ou par effet de la loi, l'importateur de données accepte que la personne concernée puisse intenter une action contre l'importateur de données comme s'il s'agissait de l'exportateur de données, à moins qu'une entité succédant à l'exportateur de données n'ait assumé l'ensemble des obligations légales de ce dernier par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits auprès de cette entité. L'importateur de données ne peut se prévaloir d'une violation de ses obligations par un sous-traitant ultérieur pour se soustraire à ses propres responsabilités.
3. Si une personne concernée n'est pas en mesure d'introduire une réclamation contre l'exportateur de données ou l'importateur de données visés aux paragraphes 1 et 2, en raison d'une violation par le sous-traitant ultérieur de l'une quelconque de leurs obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur de données et l'importateur de données ont tous deux disparu dans les faits, ont cessé d'exister en droit ou sont devenus insolvables, le sous-traitant ultérieur accepte que la personne concernée puisse introduire une réclamation contre le sous-traitant ultérieur en ce qui concerne ses propres opérations de traitement en vertu des clauses, comme s'il s'agissait de l'exportateur ou de l'importateur de données, à moins qu'une entité succédant à l'exportateur ou à l'importateur de données n'ait assumé l'intégralité des obligations légales de ce dernier par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits auprès de cette entité. La responsabilité du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des clauses.

Médiation et compétence 

1. L'importateur de données accepte que si la personne concernée invoque à son encontre des droits de tiers bénéficiaires et/ou demande des dommages-intérêts en vertu des Clauses, l'importateur de données acceptera la décision de la personne concernée :
2. 1. de soumettre le litige à la médiation d'une personne indépendante ou, le cas échéant, de l'autorité de contrôle ;
   2. de porter le litige devant les tribunaux de l'État membre dans lequel l'exportateur de données est établi.
3. Les parties conviennent que le choix effectué par la personne concernée ne portera pas atteinte à ses droits substantiels ou procéduraux de demander réparation conformément à d'autres dispositions du droit national ou international.

Coopération avec les autorités de contrôle 

1. L'exportateur de données s'engage à acompagner une copie du présent contrat auprès de l'autorité de contrôle si celle-ci en fait la demande ou si ce dépôt est exigé en vertu de la loi applicable en matière de protection des données.
2. Les parties conviennent que l'autorité de contrôle a le droit de procéder à un audit de l'importateur de données et de tout sous-traitant ultérieur, qui a la même portée et est soumis aux mêmes conditions que celles qui s'appliqueraient à un audit de l'exportateur de données en vertu de la législation applicable en matière de protection des données.
3. L'importateur de données informe sans délai l'exportateur de données de l'existence d'une législation qui lui est applicable ou qui est applicable à tout sous-traitant ultérieur et qui empêche la réalisation d'un audit de l'importateur de données ou de tout sous-traitant ultérieur conformément au paragraphe 2. Dans ce cas, l'exportateur de données est autorisé à prendre les mesures prévues à la clause 5 (b).

Droit applicable 

Les Clauses sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi.

Modification du contrat 

Les parties s'engagent à ne pas varier ou modifier les clauses. Cela n'empêche pas les parties d'ajouter, le cas échéant, des clauses sur des questions associées à l'entreprise, pour autant qu'elles ne contredisent pas la clause.

Sous-traitement

1. L'importateur de données ne peut sous-traiter aucune de ses opérations de traitement effectuées pour le compte de l'exportateur de données en vertu des Clauses sans le consentement écrit préalable de l'exportateur de données. Lorsque l'importateur de données sous-traite ses obligations en vertu des Clauses, avec le consentement de l'exportateur de données, il ne le fait que par le biais d'un accord écrit avec le sous-traitant ultérieur qui importe les mêmes obligations au sous-traitant ultérieur que celles imposées à l'importateur de données en vertu des Clauses. Lorsque le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données en vertu d'un tel accord écrit, l'importateur de données reste pleinement responsable vis-à-vis de l'exportateur de données de l'exécution des obligations du sous-traitant ultérieur en vertu de cet accord.
2. Le contrat écrit préalable entre l'importateur de données et le sous-traitant ultérieur prévoit également une clause de tiers bénéficiaire telle que prévue à la clause 3 pour les cas où la personne concernée n'est pas en mesure d'introduire la demande d'indemnisation visée au paragraphe 1 de la clause 6 à l'encontre de l'exportateur de données ou de l'importateur de données parce qu'ils ont effectivement disparu, qu'ils ont cessé d'exister en droit ou qu'ils sont devenus insolvables et qu'aucune entité succédant à l'exportateur de données ou à l'importateur de données n'a assumé l'intégralité des obligations juridiques de ce dernier par contrat ou par effet de la loi. La responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des clauses.
3. Les provisionnements relatifs aux aspects de la protection des données pour le sous-traitement du contrat visé au paragraphe 1 sont régis par le droit de l'État membre dans lequel l'exportateur de données est établi.
4. L'exportateur de données tient une liste des accords de sous-traitance conclus en vertu des Clauses et notifiés par l'importateur de données conformément à la Clause 5 (j), qui est mise à jour au moins une fois par an. La liste est mise à la disposition de l'autorité de contrôle de la protection des données de l'exportateur de données.

Obligation après la cessation des services de traitement des données à caractère personnel 

1. Les parties conviennent qu'à la fin de la fourniture des services de traitement des données, l'importateur de données et le sous-traitant ultérieur doivent, au choix de l'exportateur de données, renvoyer toutes les données à caractère personnel transférées et leurs copies à l'exportateur de données ou détruire toutes les données à caractère personnel et certifier à l'exportateur de données qu'ils l'ont fait, à moins que la législation imposée à l'importateur de données ne l'empêche de renvoyer ou de détruire la totalité ou une partie des données à caractère personnel transférées. Dans ce cas, l'importateur de données garantit qu'il assurera la confidentialité des données à caractère personnel transférées et qu'il ne traitera plus activement les données à caractère personnel transférées.
2. L'importateur de données et le sous-traitant ultérieur garantissent que, à la demande de l'exportateur de données et/ou de l'autorité de contrôle, ils soumettront leurs installations de traitement des données à un audit des mesures visées au paragraphe 1.

Au nom de l'exportateur de données :

Nom (en toutes lettres) :

Fonction : Adresse :

Autres informations nécessaires au classement du contrat (le cas échéant) :

Signature……………………………………….

(cachet de l'organisation)

Au nom de l'importateur de données : 

Nom (en toutes lettres) :

Fonction : Adresse :

Autres informations nécessaires au classement du contrat (le cas échéant) :

Signature……………………………………….

(cachet de l'organisation)

a. Exportation de données

L'exportateur de données est MEWS Systems, un fournisseur de services tel que spécifié dans l'accord (le cas échéant).

b. Importer des données 

L'importateur de données est l'entité (un sous-traitant) qui reçoit les données à caractère personnel en dehors de l'EEE et fournit certains services à MEWS Systems dans le cadre des services au partenaire.

c. Personnes concernées

Les données à caractère personnel transférées peuvent concerner des personnes au sujet desquelles des données à caractère personnel sont transmises ou stockées par l'exportateur de données via le système et/ou les services hébergés par MEWS Systems, qui comprennent généralement des personnes (Invités ou prospects) utilisant les services du Partenaire.

d. Catégories de données

Les données personnelles transférées concernent les catégories de données suivantes : Les données des clients contenues dans les formulaires de contact, les informations de contact et d'identification, y compris le nom, le titre, l'e-mail et l'adresse, les numéros d'identité et/ou de passeport, les détails de paiement, les préférences des clients et les détails des services du Partenaire et les données limitées de connexion et de localisation (ville) sous forme électronique qui sont transférées à l'importateur de données dans le cadre de MEWS Systems (fournies par le sous-traitant/importateur concerné).

e. Opérations de transformation

Les données personnelles transférées feront l'objet des activités de traitement de base suivantes :

Collecte, enregistrement, organisation, structuration, stockage, adaptation ou modification, extraction, consultation, utilisation, divulgation par transmission, diffusion ou toute autre forme de mise à disposition, alignement ou combinaison, restriction, effacement ou destruction.

Le partenaire doit prendre des mesures de sécurité raisonnables dans le cadre de son utilisation des services, notamment en cryptant de manière appropriée toutes les données à caractère personnel stockées sur le système hébergé ou transmises par celui-ci.

Cette annexe fait partie des clauses et doit être complétée et signée par les parties.

Description des mesures de sécurité techniques et organisationnelles implémentées par l'importateur de données conformément aux clauses 4(d) et 5(c) (ou document/législation joint) : 

L'importateur de données implante des mesures de sécurité équivalentes à celles exigées en vertu de l'accord, de l'addendum et de tout document auxiliaire conclu en application de l'accord.