Standard Contractual Clauses (SCC)
Controller to Processor (C2P) — English / Français
| ANNEX | ANNEXE |
|---|---|
| STANDARD CONTRACTUAL CLAUSES | CLAUSES CONTRACTUELLES TYPES |
| SECTION I | SECTION I |
| Clause 1 | Clause 1 |
| Purpose and scope | Finalités et champ d’application |
| (a) The purpose of these standard contractual clauses is to ensure compliance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (1) for the transfer of personal data to a third country. | a) Les présentes clauses contractuelles types visent à garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (1) en cas de transfert de données à caractère personnel vers un pays tiers. |
| (b) The Parties: (i) the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter ‘entity/ies’) transferring the personal data, as listed in Annex I.A (hereinafter each ‘data exporter’), and (ii) the entity/ies in a third country receiving the personal data from the data exporter, directly or indirectly via another entity also Party to these Clauses, as listed in Annex I.A (hereinafter each ‘data importer’) have agreed to these standard contractual clauses (hereinafter: ‘Clauses’). | b) Les parties: i) la ou les personnes physiques ou morales, la ou les autorités publiques, la ou les agences ou autre(s) organisme(s) (ci-après la ou les «entités») qui transfèrent les données à caractère personnel, mentionnés à l’annexe I.A. (ci-après l’«exportateur de données»), et ii) la ou les entités d’un pays tiers qui reçoivent les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses, mentionnées à l’annexe I.A. (ci-après l’«importateur de données») sont convenues des présentes clauses contractuelles types (ci-après les «clauses»). |
| (c) These Clauses apply with respect to the transfer of personal data as specified in Annex I.B. | c) Les présentes clauses s’appliquent au transfert de données à caractère personnel précisé à l’annexe I.B. |
| (d) The Appendix to these Clauses containing the Annexes referred to therein forms an integral part of these Clauses. | d) L’appendice aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des présentes clauses. |
| Clause 2 | Clause 2 |
| Effect and invariability of the Clauses | Effet et invariabilité des clauses |
| (a) These Clauses set out appropriate safeguards, including enforceable data subject rights and effective legal remedies, pursuant to Article 46(1) and Article 46(2)(c) of Regulation (EU) 2016/679 and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679, provided they are not modified, except to select the appropriate Module(s) or to add or update information in the Appendix. This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a wider contract and/or to add other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, these Clauses or prejudice the fundamental rights or freedoms of data subjects. | a) Les présentes clauses établissent des garanties appropriées, notamment des droits opposables pour la personne concernée et des voies de droit effectives, en vertu de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types en vertu de l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l’appendice. Cela n’empêche pas les parties d’inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les présentes clauses et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées. |
| (b) These Clauses are without prejudice to obligations to which the data exporter is subject by virtue of Regulation (EU) 2016/679. | b) Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679. |
| Clause 3 | Clause 3 |
| Third-party beneficiaries | Tiers bénéficiaires |
| (a) Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions: (i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7; (ii) Clause 8 – Module One: Clause 8.5 (e) and Clause 8.9(b); Module Two: Clause 8.1(b), 8.9(a), (c), (d) and (e); Module Three: Clause 8.1(a), (c) and (d) and Clause 8.9(a), (c), (d), (e), (f) and (g); Module Four: Clause 8.1 (b) and Clause 8.3(b); (iii) Clause 9 – Module Two: Clause 9(a), (c), (d) and (e); Module Three: Clause 9(a), (c), (d) and (e); (iv) Clause 12 – Module One: Clause 12(a) and (d); Modules Two and Three: Clause 12(a), (d) and (f); (v) Clause 13; (vi) Clause 15.1(c), (d) and (e);(vii) Clause 16(e); (viii) Clause 18 – Modules One, Two and Three: Clause 18(a) and (b); Module Four: Clause 18. | a) Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes: i) clause 1, clause 2, clause 3, clause 6, clause 7; ii) clause 8 — module 1: clause 8.5, paragraphe e), et clause 8.9, paragraphe b); module 2: clause 8.1, paragraphe b), clause 8.9, paragraphes a), c), d) et e); module 3: clause 8.1, paragraphes a), c) et d) et clause 8.9, paragraphes a), c), d), e), f) et g); module 4: clause 8.1, paragraphe b), et clause 8.3, paragraphe b); iii) clause 9 — module 2: clause 9, paragraphes a), c), d) et e); module 3: clause 9, paragraphes a) c), d) et e); iv) clause 12 — module 1: clause 12, paragraphes a) et d); modules 2 et 3: clause 12, paragraphes a), d) et f); v) clause 13; vi) clause 15.1, paragraphes c), d) et e); vii) clause 16, paragraphe e); viii) clause 18 — modules 1, 2 et 3: clause 18, paragraphes a) et b); module 4: clause 18. |
| (b) Paragraph (a) is without prejudice to rights of data subjects under Regulation (EU) 2016/679. | b) Le paragraphe a) est sans préjudice des droits des personnes concernées au titre du règlement (UE) 2016/679. |
| Clause 4 | Clause 4 |
| Interpretation | Interprétation |
| (a) Where these Clauses use terms that are defined in Regulation (EU) 2016/679, those terms shall have the same meaning as in that Regulation. | a) Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ceux-ci ont la même signification que dans ledit règlement. |
| (b) These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679. | b) Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679. |
| (c) These Clauses shall not be interpreted in a way that conflicts with rights and obligations provided for in Regulation (EU) 2016/679. | c) Les présentes clauses ne sont pas interprétées dans un sens contraire aux droits et obligations prévus dans le règlement (UE) 2016/679. |
| Clause 5 | Clause 5 |
| Hierarchy | Hiérarchie |
| In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail. | En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties existant au moment où les présentes clauses sont convenues, ou souscrites par la suite, les présentes clauses prévalent. |
| Clause 6 | Clause 6 |
| Description of the transfer(s) | Description du ou des transferts |
| The details of the transfer(s), and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred, are specified in Annex I.B. | Les détails du ou des transferts, en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles le sont, sont précisés à l’annexe I.B. |
| Clause 7 – Optional | Clause 7 — Facultative |
| Docking clause | Clause d’adhésion |
| (a) An entity that is not a Party to these Clauses may, with the agreement of the Parties, accede to these Clauses at any time, either as a data exporter or as a data importer, by completing the Appendix and signing Annex I.A. | a) Une entité qui n’est pas partie aux présentes clauses peut, avec l’accord des parties, y adhérer à tout moment, soit en tant qu’exportateur de données soit en tant qu’importateur de données, en remplissant l’appendice et en signant l’annexe I.A. |
| (b) Once it has completed the Appendix and signed Annex I.A, the acceding entity shall become a Party to these Clauses and have the rights and obligations of a data exporter or data importer in accordance with its designation in Annex I.A. | b) Une fois l’appendice rempli et l’annexe I.A. signée, l’entité adhérente devient partie aux présentes clauses et a les droits et obligations d’un exportateur de données ou d’un importateur de données selon sa désignation dans l’annexe I.A. |
| (c) The acceding entity shall have no rights or obligations arising under these Clauses from the period prior to becoming a Party. | c) L’entité adhérente n’a aucun droit ni obligation découlant des présentes clauses pour la période antérieure à son adhésion à celles-ci. |
| SECTION II – OBLIGATIONS OF THE PARTIES | SECTION II — OBLIGATIONS DES PARTIES |
| Clause 8 | Clause 8 |
| Data protection safeguards | Garanties en matière de protection des données |
| The data exporter warrants that it has used reasonable efforts to determine that the data importer is able, through the implementation of appropriate technical and organisational measures, to satisfy its obligations under these Clauses. | L’exportateur de données garantit qu’il a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses. |
| MODULE TWO: Transfer controller to processor | MODULE 2: transfert de responsable du traitement à sous-traitant |
| 8.1 Instructions | 8.1. Instructions |
| (a) The data importer shall process the personal data only on documented instructions from the data exporter. The data exporter may give such instructions throughout the duration of the contract. | a) L’importateur de données ne traite les données à caractère personnel que sur instructions documentées de l’exportateur de données. L’exportateur de données peut donner ces instructions pendant toute la durée du contrat. |
| (b) The data importer shall immediately inform the data exporter if it is unable to follow those instructions. | b) S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement l’exportateur de données. |
| 8.2 Purpose limitation | 8.2. Limitation des finalités |
| The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B, unless on further instructions from the data exporter. | L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du transfert, telles que précisées à l’annexe I.B, sauf en cas d’instructions supplémentaires de l’exportateur de données. |
| 8.3 Transparency | 8.3. Transparence |
| On request, the data exporter shall make a copy of these Clauses, including the Appendix as completed by the Parties, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including the measures described in Annex II and personal data, the data exporter may redact part of the text of the Appendix to these Clauses prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand the its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information. This Clause is without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679. | Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, notamment de l’appendice tel que rempli par les parties. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les mesures décrites à l’annexe II et les données à caractère personnel, l’exportateur de données peut occulter une partie du texte de l’appendice aux présentes clauses avant d’en communiquer une copie, mais fournit un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en comprendre le contenu ou d’exercer ses droits. Les parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des occultations, dans la mesure du possible sans révéler les informations occultées. Cette clause est sans préjudice des obligations qui incombent à l’exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679. |
| 8.4 Accuracy | 8.4. Exactitude |
| If the data importer becomes aware that the personal data it has received is inaccurate, or has become outdated, it shall inform the data exporter without undue delay. In this case, the data importer shall cooperate with the data exporter to erase or rectify the data. | Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes, ou sont obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour effacer ou rectifier les données. |
| 8.5 Duration of processing and erasure or return of data | 8.5. Durée du traitement et effacement ou restitution des données |
| Processing by the data importer shall only take place for the duration specified in Annex I.B. After the end of the provision of the processing services, the data importer shall, at the choice of the data exporter, delete all personal data processed on behalf of the data exporter and certify to the data exporter that it has done so, or return to the data exporter all personal data processed on its behalf and delete existing copies. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit return or deletion of the personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process it to the extent and for as long as required under that local law. This is without prejudice to Clause 14, in particular the requirement for the data importer under Clause 14(e) to notify the data exporter throughout the duration of the contract if it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under Clause 14(a). | Le traitement par l’importateur de données n’a lieu que pendant la durée précisée à l’annexe I.B. Au terme de la prestation des services de traitement, l’importateur de données, à la convenance de l’exportateur de données, efface toutes les données à caractère personnel traitées pour le compte de ce dernier et lui en apporte la preuve, ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données à caractère personnel que dans la mesure où et aussi longtemps que cette législation locale l’exige. Ceci est sans préjudice de la clause 14, en particulier de l’obligation imposée à l’importateur de données par la clause 14, paragraphe e), d’informer l’exportateur de données, pendant toute la durée du contrat, s’il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences de la clause 14, paragraphe a). |
| 8.6 Security of processing | 8.6. Sécurité du traitement |
| (a) The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access to that data (hereinafter ‘personal data breach’). In assessing the appropriate level of security, the Parties shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subjects. The Parties shall in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner. In case of pseudonymisation, the additional information for attributing the personal data to a specific data subject shall, where possible, remain under the exclusive control of the data exporter. In complying with its obligations under this paragraph, the data importer shall at least implement the technical and organisational measures specified in Annex II. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security. | a) L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à ces données (ci-après la «violation de données à caractère personnel»). Lors de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour les personnes concernées. Les parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée précise restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données. Pour s’acquitter des obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe II. Il procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié. |
| (b) The data importer shall grant access to the personal data to members of its personnel only to the extent strictly necessary for the implementation, management and monitoring of the contract. It shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality. | b) L’importateur de données ne donne l’accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité. |
| (c) In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the breach, including measures to mitigate its adverse effects. The data importer shall also notify the data exporter without undue delay after having become aware of the breach. Such notification shall contain the details of a contact point where more information can be obtained, a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), its likely consequences and the measures taken or proposed to address the breach including, where appropriate, measures to mitigate its possible adverse effects. Where, and in so far as, it is not possible to provide all information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay. | c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données informe également l’exportateur de données de cette violation dans les meilleurs délais après en avoir eu connaissance. Cette notification contient les coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations, ainsi qu’une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), de ses conséquences probables et des mesures prises ou proposées pour y remédier, y compris, le cas échéant, des mesures visant à en atténuer les effets négatifs potentiels. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et les autres informations sont fournies par la suite, dans les meilleurs délais, à mesure qu’elles deviennent disponibles. |
| (d) The data importer shall cooperate with and assist the data exporter to enable the data exporter to comply with its obligations under Regulation (EU) 2016/679, in particular to notify the competent supervisory authority and the affected data subjects, taking into account the nature of processing and the information available to the data importer. | d) L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter les obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment celle d’informer l’autorité de contrôle compétente et les personnes concernées, compte tenu de la nature du traitement et des informations à la disposition de l’importateur de données. |
| 8.7 Sensitive data | 8.7. Données sensibles |
| Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions and offences (hereinafter ‘sensitive data’), the data importer shall apply the specific restrictions and/or additional safeguards described in Annex I.B. | Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après les «données sensibles»), l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires décrites à l’annexe I.B. |
| 8.8 Onward transfers | 8.8. Transferts ultérieurs |
| The data importer shall only disclose the personal data to a third party on documented instructions from the data exporter. In addition, the data may only be disclosed to a third party located outside the European Union (4) (in the same country as the data importer or in another third country, hereinafter ‘onward transfer’) if the third party is or agrees to be bound by these Clauses, under the appropriate Module, or if: | L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées de l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne (4) (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après «transfert ultérieur»), que si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié, ou si: |
| (i) the onward transfer is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU) 2016/679 that covers the onward transfer; | i) le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur; |
| (ii) the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 Regulation of (EU) 2016/679 with respect to the processing in question; | ii) le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question; |
| (iii) the onward transfer is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; or | iii) le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques; ou |
| (iv) the onward transfer is necessary in order to protect the vital interests of the data subject or of another natural person. | iv) le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique. |
| Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation. | Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au titre des présentes clauses, en particulier de la limitation des finalités. |
| 8.9 Documentation and compliance | 8.9. Documentation et conformité |
| (a) The data importer shall promptly and adequately deal with enquiries from the data exporter that relate to the processing under these Clauses. | a) L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de l’exportateur de données concernant le traitement au titre des présentes clauses. |
| (b) The Parties shall be able to demonstrate compliance with these Clauses. In particular, the data importer shall keep appropriate documentation on the processing activities carried out on behalf of the data exporter. | b) Les parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de traitement menées pour le compte de l’exportateur de données. |
| (c) The data importer shall make available to the data exporter all information necessary to demonstrate compliance with the obligations set out in these Clauses and at the data exporter’s request, allow for and contribute to audits of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non-compliance. In deciding on a review or audit, the data exporter may take into account relevant certifications held by the data importer. | c) L’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations prévues par les présentes clauses et, à la demande de l’exportateur de données, pour permettre la réalisation d’audits des activités de traitement couvertes par les présentes clauses, et contribuer à ces audits, à intervalles raisonnables ou s’il existe des indications de non-respect. Lorsqu’il décide d’un examen ou d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues par l’importateur de données. |
| (d) The data exporter may choose to conduct the audit by itself or mandate an independent auditor. Audits may include inspections at the premises or physical facilities of the data importer and shall, where appropriate, be carried out with reasonable notice. | d) L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable. |
| (e) The Parties shall make the information referred to in paragraphs (b) and (c), including the results of any audits, available to the competent supervisory authority on request. | e) Les parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les informations mentionnées aux paragraphes b) et c), y compris les résultats de tout audit. |
| Clause 9 | Clause 9 |
| Use of sub-processors | Recours à des sous-traitants ultérieurs |
| MODULE TWO: Transfer controller to processor | MODULE 2: transfert de responsable du traitement à sous-traitant |
| (a) OPTION 2: GENERAL WRITTEN AUTHORISATION The data importer has the data exporter’s general authorisation for the engagement of sub-processor(s) from an agreed list. The data importer shall specifically inform the data exporter in writing of any intended changes to that list through the addition or replacement of sub-processors at least 30 days] in advance, thereby giving the data exporter sufficient time to be able to object to such changes prior to the engagement of the sub-processor(s). The data importer shall provide the data exporter with the information necessary to enable the data exporter to exercise its right to object. | a) OPTION 2: AUTORISATION ÉCRITE GÉNÉRALE — L’importateur de données a l’autorisation générale de l’exportateur de données de recruter un ou plusieurs sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe expressément par écrit l’exportateur de données de tout changement concernant l’ajout ou le remplacement de sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste au moins 30 jours à l’avance, donnant ainsi à l’exportateur de données suffisamment de temps pour émettre des objections à l’encontre de ces changements avant le recrutement du ou des sous-traitants ultérieurs L’importateur de données fournit à l’exportateur de données les informations nécessaires pour permettre à ce dernier d’exercer son droit d’émettre des objections. |
| (b) Where the data importer engages a sub-processor to carry out specific processing activities (on behalf of the data exporter), it shall do so by way of a written contract that provides for, in substance, the same data protection obligations as those binding the data importer under these Clauses, including in terms of third-party beneficiary rights for data subjects. (8) The Parties agree that, by complying with this Clause, the data importer fulfils its obligations under Clause 8.8. The data importer shall ensure that the sub-processor complies with the obligations to which the data importer is subject pursuant to these Clauses. | b) Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte de l’exportateur de données), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données au titre des présentes clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les personnes concernées (8). Les parties conviennent qu’en respectant la présente clause, l’importateur de données satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses. |
| (c) The data importer shall provide, at the data exporter’s request, a copy of such a sub-processor agreement and any subsequent amendments to the data exporter. To the extent necessary to protect business secrets or other confidential information, including personal data, the data importer may redact the text of the agreement prior to sharing a copy. | c) L’importateur de données fournit à l’exportateur de données, à la demande de celui-ci, une copie du contrat avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en communiquer une copie. |
| (d) The data importer shall remain fully responsible to the data exporter for the performance of the sub-processor’s obligations under its contract with the data importer. The data importer shall notify the data exporter of any failure by the sub-processor to fulfil its obligations under that contract. | d) L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu dudit contrat. |
| (e) The data importer shall agree a third-party beneficiary clause with the sub-processor whereby – in the event the data importer has factually disappeared, ceased to exist in law or has become insolvent – the data exporter shall have the right to terminate the sub-processor contract and to instruct the sub-processor to erase or return the personal data. | e) L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner instruction à ce dernier d’effacer ou de restituer les données à caractère personnel. |
| Clause 10 | Clause 10 |
| Data subject rights | Droits des personnes concernées |
| MODULE TWO: Transfer controller to processor | MODULE 2: transfert de responsable du traitement à sous-traitant |
| (a) The data importer shall promptly notify the data exporter of any request it has received from a data subject. It shall not respond to that request itself unless it has been authorised to do so by the data exporter. | a) L’importateur de données informe rapidement l’exportateur de données de toute demande reçue d’une personne concernée. Il ne répond pas lui-même à cette demande, à moins d’y avoir été autorisé par l’exportateur de données. |
| (b) The data importer shall assist the data exporter in fulfilling its obligations to respond to data subjects’ requests for the exercise of their rights under Regulation (EU) 2016/679. In this regard, the Parties shall set out in Annex II the appropriate technical and organisational measures, taking into account the nature of the processing, by which the assistance shall be provided, as well as the scope and the extent of the assistance required. | b) L’importateur de données aide l’exportateur de données à s’acquitter de son obligation de répondre aux demandes de personnes concernées désireuses d’exercer leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide requise. |
| (c) In fulfilling its obligations under paragraphs (a) and (b), the data importer shall comply with the instructions from the data exporter. | c) Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de données se conforme aux instructions de l’exportateur de données. |
| Clause 11 | Clause 11 |
| Redress | Voies de recours |
| (a) The data importer shall inform data subjects in a transparent and easily accessible format, through individual notice or on its website, of a contact point authorised to handle complaints. It shall deal promptly with any complaints it receives from a data subject. The data importer agrees that data subjects may also lodge a complaint with an independent dispute resolution body (11) at no cost to the data subject. It shall inform the data subjects, in the manner set out in paragraph (a), of such redress mechanism and that they are not required to use it, or follow a particular sequence in seeking redress. | a) L’importateur de données informe les personnes concernées, sous une forme transparente et aisément accessible, au moyen d’une notification individuelle ou sur son site web, d’un point de contact autorisé à traiter les réclamations. Il traite sans délai toute réclamation reçue d’une personne concernée. L’importateur de données convient que les personnes concernées peuvent également introduire, sans frais, une réclamation auprès d’un organe de règlement des litiges indépendant (11). Il informe les personnes concernées, de la manière indiquée au paragraphe a), de ce mécanisme de recours et du fait qu’elles ne sont pas tenues d’y recourir ni de respecter une hiérarchie dans les recours. |
| MODULE TWO: Transfer controller to processor | MODULE 2: transfert de responsable du traitement à sous-traitant |
| (b) In case of a dispute between a data subject and one of the Parties as regards compliance with these Clauses, that Party shall use its best efforts to resolve the issue amicably in a timely fashion. The Parties shall keep each other informed about such disputes and, where appropriate, cooperate in resolving them. | b) En cas de litige entre une personne concernée et l’une des parties portant sur le respect des présentes clauses, cette partie met tout en œuvre pour parvenir à un règlement à l’amiable dans les meilleurs délais. Les parties se tiennent mutuellement informées de ces litiges et, s’il y a lieu, coopèrent pour les résoudre. |
| (c) Where the data subject invokes a third-party beneficiary right pursuant to Clause 3, the data importer shall accept the decision of the data subject to: (i) lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13; (ii) refer the dispute to the competent courts within the meaning of Clause 18. | c) Lorsque la personne concernée invoque un droit du tiers bénéficiaire en vertu de la clause 3, l’importateur de données accepte la décision de la personne concernée: i) d’introduire une réclamation auprès de l’autorité de contrôle de l’État membre dans lequel se trouve sa résidence habituelle ou son lieu de travail, ou auprès de l’autorité de contrôle compétente au sens de la clause 13; ii) de renvoyer le litige devant les juridictions compétentes au sens de la clause 18. |
| (d) The Parties accept that the data subject may be represented by a not-for-profit body, organisation or association under the conditions set out in Article 80(1) of Regulation (EU) 2016/679. | d) Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l’article 80, paragraphe 1, du règlement (UE) 2016/679. |
| (e) The data importer shall abide by a decision that is binding under the applicable EU or Member State law. | e) L’importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de l’Union ou d’un État membre. |
| (f) The data importer agrees that the choice made by the data subject will not prejudice his/her substantive and procedural rights to seek remedies in accordance with applicable laws. | f) L’importateur de données convient que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural et matériel de cette dernière d’obtenir réparation conformément à la législation applicable. |
| Clause 12 | Clause 12 |
| Liability | Responsabilité |
| MODULE TWO: Transfer controller to processor | MODULE 2: transfert de responsable du traitement à sous-traitant |
| (a) Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these Clauses. | a) Chaque partie est responsable envers la ou les autres parties des dommages qu’elle cause à l’autre ou aux autres parties du fait d’un manquement aux présentes clauses. |
| (b) The data importer shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data importer or its sub-processor causes the data subject by breaching the third-party beneficiary rights under these Clauses. | b) L’importateur de données est responsable à l’égard de la personne concernée, et la personne concernée a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’importateur de données ou son sous-traitant ultérieur du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. |
| (c) Notwithstanding paragraph (b), the data exporter shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data exporter or the data importer (or its sub-processor) causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter and, where the data exporter is a processor acting on behalf of a controller, to the liability of the controller under Regulation (EU) 2016/679 or Regulation (EU) 2018/1725, as applicable. | c) Nonobstant le paragraphe b), l’exportateur de données est responsable à l’égard de la personne concernée et celle-ci a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’exportateur de données ou l’importateur de données (ou son sous-traitant ultérieur) du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données et, si l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du traitement, de la responsabilité de ce dernier au titre du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas. |
| (d) The Parties agree that if the data exporter is held liable under paragraph (c) for damages caused by the data importer (or its sub-processor), it shall be entitled to claim back from the data importer that part of the compensation corresponding to the data importer’s responsibility for the damage. | d) Les parties conviennent que, si l’exportateur de données est reconnu responsable, en vertu du paragraphe c), du dommage causé par l’importateur de données (ou son sous-traitant ultérieur), il a le droit de réclamer auprès de l’importateur de données la part de la réparation correspondant à la responsabilité de celui-ci dans le dommage. |
| (e) Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties. | e) Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement et la personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties. |
| (f) The Parties agree that if one Party is held liable under paragraph (e), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its/their responsibility for the damage. | f) Les parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe e), celle-ci a le droit de réclamer auprès de l’autre ou des autres parties la part de la réparation correspondant à sa/leur responsabilité dans le dommage. |
| (g) The data importer may not invoke the conduct of a sub-processor to avoid its own liability. | g) L’importateur de données ne peut invoquer le comportement d’un sous-traitant ultérieur pour échapper à sa propre responsabilité. |
| Clause 13 | Clause 13 |
| Supervision | Contrôle |
| MODULE TWO: Transfer controller to processor | MODULE 2: transfert de responsable du traitement à sous-traitant |
| (a) Where the data exporter is established in an EU Member State,The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority. Where the data exporter is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) and has appointed a representative pursuant to Article 27(1) of Regulation (EU) 2016/679, The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority. Where the data exporter is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679, The supervisory authority of one of the Member States in which the data subjects whose personal data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behaviour is monitored, are located, as indicated in Annex I.C, shall act as competent supervisory authority. | a) Si l’exportateur de données est établi dans un État membre de l’Union, L’autorité de contrôle chargée de garantir le respect, par l’exportateur de données, du règlement (UE) 2016/679 en ce qui concerne le transfert de données, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente. Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2, et a désigné un représentant en vertu de l’article 27, paragraphe 1, dudit règlement, L’autorité de contrôle de l’État membre dans lequel le représentant au sens de l’article 27, paragraphe 1, du règlement (UE) 2016/679 est établi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente. Si l’exportateur de données n’est pas établi dans un État membre de l’Union, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2 sans toutefois avoir à désigner un représentant en vertu de l’article 27, paragraphe 2, du règlement (UE) 2016/679, L’autorité de contrôle d’un des États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont transférées au titre des présentes clauses en lien avec l’offre de biens ou de services ou dont le comportement fait l’objet d’un suivi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité compétente. |
| (b) The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries, submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken. | b) L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à garantir le respect des présentes clauses. En particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, notamment aux mesures correctrices et compensatoires. Il confirme par écrit à l’autorité de contrôle que les mesures nécessaires ont été prises. |
| SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES | SECTION III — LÉGISLATIONS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS DES AUTORITÉS PUBLIQUES |
| Clause 14 | Clause 14 |
| Local laws and practices affecting compliance with the Clauses | Législations et pratiques locales ayant une incidence sur le respect des clauses |
| MODULE TWO: Transfer controller to processor | MODULE 2: transfert de responsable du traitement à sous-traitant |
| (a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses. | a) Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses. Cette disposition repose sur l’idée que les législations et les pratiques qui respectent l’essence des libertés et droits fondamentaux et qui n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour préserver un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes clauses. |
| (b) The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements: (i) the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred; (ii) the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorising access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards (12); (iii) any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing of the personal data in the country of destination. | b) Les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte, en particulier, des éléments suivants: i) des circonstances particulières du transfert, parmi lesquelles la longueur de la chaîne de traitement, le nombre d’acteurs concernés et les canaux de transmission utilisés; les transferts ultérieurs prévus; le type de destinataire; la finalité du traitement; les catégories et le format des données à caractère personnel transférées; le secteur économique dans lequel le transfert a lieu et le lieu de stockage des données transférées; | ii) | des législations et des pratiques du pays tiers de destination – notamment celles qui exigent la divulgation de données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données – pertinentes au regard des circonstances particulières du transfert, ainsi que des limitations et des garanties applicables (12); iii) de toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination. |
| (c) The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses. | c) L’importateur de données garantit que, lors de l’évaluation au titre du paragraphe b), il a déployé tous les efforts possibles pour fournir des informations pertinentes à l’exportateur de données et convient qu’il continuera à coopérer avec ce dernier pour garantir le respect des présentes clauses. |
| (d) The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request. | d) Les parties conviennent de conserver une trace documentaire de l’évaluation au titre du paragraphe b) et de mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande. |
| (e) The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a). | e) L’importateur de données accepte d’informer sans délai l’exportateur de données si, après avoir souscrit aux présentes clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences du paragraphe a), notamment à la suite d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application pratique de cette législation qui n’est pas conforme aux exigences du paragraphe a). |
| (f) Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organisational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply. | f) À la suite d’une notification au titre du paragraphe e), ou si l’exportateur de données a d’autres raisons de croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des présentes clauses, l’exportateur de données définit sans délai les mesures appropriées (par exemple des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) qu’il doit adopter et/ou qui doivent être adoptées par l’importateur de données pour remédier à la situation. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée ne peut être fournie pour ce transfert ou si l’autorité de contrôle compétente lui en donne l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 16, paragraphes d) et e), s’applique. |
| Clause 15 | Clause 15 |
| Obligations of the data importer in case of access by public authorities | Obligations de l’importateur de données en cas d’accès des autorités publiques |
| MODULE TWO: Transfer controller to processor | MODULE 2: transfert de responsable du traitement à sous-traitant |
| 15.1 Notification | 15.1. Notification |
| (a) The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary with the help of the data exporter) if it: (i) receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or (ii) becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer. | a) L’importateur de données convient d’informer sans délai l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données): i) s’il reçoit une demande juridiquement contraignante d’une autorité publique, y compris judiciaire, en vertu de la législation du pays de destination en vue de la divulgation de données à caractère personnel transférées au titre des présentes clauses; cette notification comprend des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie; ou ii) s’il a connaissance d’un quelconque accès direct des autorités publiques aux données à caractère personnel transférées au titre des présentes clauses en vertu de la législation du pays de destination; cette notification comprend toutes les informations dont l’importateur de données dispose. |
| (b) If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter. | b) Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de pouvoir en apporter la preuve à l’exportateur de données, si celui-ci lui en fait la demande. |
| (c) Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.). | c) Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations utiles que possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, la ou les autorités requérantes, la contestation ou non des demandes et l’issue de ces contestations, etc.). |
| (d) The data importer agrees to preserve the information pursuant to paragraphs (a) to (c) for the duration of the contract and make it available to the competent supervisory authority on request. | d) L’importateur de données accepte de conserver les informations mentionnées aux paragraphes a) à c) pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande. |
| (e) Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses. | e) Les paragraphes a) à c) sont sans préjudice de l’obligation incombant à l’importateur de données, en vertu de la clause 14, paragraphe e), et de la clause 16, d’informer sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses. |
| 15.2 Review of legality and data minimisation | 15.2. Contrôle de la légalité et minimisation des données |
| (a) The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e). | a) L’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier de vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données exerce les possibilités d’appel ultérieures dans les mêmes conditions. Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se prononce sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas obligé de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations incombant à l’importateur de données en vertu de la clause 14, paragraphe e). |
| (b) The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request. | b) L’importateur de données accepte de garder une trace documentaire de son évaluation juridique ainsi que de toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, de mettre les documents concernés à la disposition de l’exportateur de données. Il les met également à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande. |
| (c) The data importer agrees to provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request. | c) L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande. |
| SECTION IV – FINAL PROVISIONS | SECTION IV — DISPOSITIONS FINALES |
| Clause 16 | Clause 16 |
| Non-compliance with the Clauses and termination | Non-respect des clauses et résiliation |
| (a) The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason. | a) L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses, quelle qu’en soit la raison. |
| (b) In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f). | b) Dans le cas où l’importateur de données enfreint les présentes clauses ou n’est pas en mesure de les respecter, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que le respect des présentes clauses soit à nouveau garanti ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14, paragraphe f). |
| (c) The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where: (i) the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension; (ii) the data importer is in substantial or persistent breach of these Clauses; or (iii) the data importer fails to comply with a binding decision of a competent court or supervisory authority regarding its obligations under these Clauses. In these cases, it shall inform the competent supervisory authority of such non-compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. | c) L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses, lorsque: i) l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données en vertu du paragraphe b) et que le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension; ii) l’importateur de données enfreint gravement ou de manière persistante les présentes clauses; ou iii) l’importateur de données ne se conforme pas à une décision contraignante d’une juridiction ou d’une autorité de contrôle compétente concernant les obligations qui lui incombent au titre des présentes clauses. Dans ces cas, il informe l’autorité de contrôle compétente de ce non-respect. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement. |
| (d) For Modules One, Two and Three: Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data. The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law. | d) Pour les modules 1, 2 et 3: Les données à caractère personnel qui ont été transférées avant la résiliation du contrat au titre du paragraphe c) sont immédiatement restituées à l’exportateur de données ou effacées dans leur intégralité, à la convenance de celui-ci. Il en va de même pour toute copie des données. L’importateur de données apporte la preuve de l’effacement des données à l’exportateur de données. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel transférées, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données que dans la mesure où et aussi longtemps que cette législation locale l’exige. |
| (e) Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679. | e) Chaque partie peut révoquer son consentement à être liée par les présentes clauses i) si la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s’appliquent; ou ii) si le règlement (UE) 2016/679 est intégré dans le cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations qui s’appliquent au traitement en question en vertu du règlement (UE) 2016/679. |
| Clause 17 | Clause 17 |
| Governing law | Droit applicable |
| MODULE TWO: Transfer controller to processor | MODULE 2: transfert de responsable du traitement à sous-traitant |
| OPTION 2 (for Modules Two and Three): These Clauses shall be governed by the law of the EU Member State in which the data exporter is established. Where such law does not allow for third-party beneficiary rights, they shall be governed by the law of another EU Member State that does allow for third-party beneficiary rights. The Parties agree that this shall be the law of France. | OPTION 2 (pour les modules 2 et 3): Les présentes clauses sont régies par le droit de l’État membre de l’Union européenne dans lequel l’exportateur de données est établi. Si ce droit ne reconnaît pas de droits au tiers bénéficiaire, les clauses sont régies par le droit d’un autre État membre de l’Union européenne qui reconnaît de tels droits. Les parties conviennent qu’il s’agit du droit du la France. |
| Clause 18 | Clause 18 |
| Choice of forum and jurisdiction | Élection de for et juridiction |
| MODULE TWO: Transfer controller to processor | MODULE 2: transfert de responsable du traitement à sous-traitant |
| (a) Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State. | a) Tout litige survenant du fait des présentes clauses est tranché par les juridictions d’un État membre de l’Union européenne. |
| (b) The Parties agree that those shall be the courts of France. | b) Les parties conviennent qu’il s’agit des juridictions de la France. |
| (c) A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence. | c) La personne concernée peut également poursuivre l’exportateur et/ou l’importateur de données devant les juridictions de l’État membre dans lequel elle a sa résidence habituelle. |
| (d) The Parties agree to submit themselves to the jurisdiction of such courts. | d) Les parties acceptent de se soumettre à la compétence de ces juridictions. |
| APPENDIX | APPENDICE |
| EXPLANATORY NOTE: | NOTE EXPLICATIVE: |
| It must be possible to clearly distinguish the information applicable to each transfer or category of transfers and, in this regard, to determine the respective role(s) of the Parties as data exporter(s) and/or data importer(s). This does not necessarily require completing and signing separate appendices for each transfer/category of transfers and/or contractual relationship, where this transparency can achieved through one appendix. However, where necessary to ensure sufficient clarity, separate appendices should be used. | Il doit être possible de distinguer clairement les informations applicables à chaque transfert ou catégorie de transferts et, à cet égard, de déterminer le ou les rôles respectifs des parties en tant qu’exportateur(s) et/ou importateur(s) de données. Il n’est pas forcément nécessaire de remplir et de signer des appendices distincts pour chaque transfert/catégorie de transferts et/ou relation contractuelle, si cette transparence peut être garantie au moyen d’un seul appendice. Toutefois, si cela est nécessaire pour garantir une clarté suffisante, il convient d’utiliser des appendices distincts. |
| ANNEX I | ANNEXE I |
| A. LIST OF PARTIES | A. LISTE DES PARTIES |
| MODULE TWO: Transfer controller to processor | MODULE 2: transfert de responsable du traitement à sous-traitant |
| Data exporter(s): Identity and contact details of the data exporter(s) and, where applicable, of its/their data protection officer and/or representative in the European Union | Exportateur(s) de données: Identité et coordonnées du ou des exportateurs de données et, le cas échéant, de leur délégué à la protection des données et/ou de leur représentant dans l’Union européenne |
1. Name: … Address: … Contact person’s name, position and contact details: … Activities relevant to the data transferred under these Clauses: … Signature and date: … Role (controller/processor): Controller |
1. Nom: … Adresse: … Nom, fonction et coordonnées de la personne de contact: … Activités en rapport avec les données transférées au titre des présentes clauses: … Signature et date: … Rôle (responsable du traitement/sous-traitant): Responsable du traitement |
| 2. | … | 2. | … |
| Data importer(s): [Identity and contact details of the data importer(s), including any contact person with responsibility for data protection] | Importateur(s) de données: [Identité et coordonnées du ou des importateurs de données, y compris de toute personne de contact chargée de la protection des données] |
1. Name: FITTY TEKNOLOJİ ANONİM ŞİRKETİ Address: Bomonti Business Center, Cumhuriyet Mah. Silahşör Cad, Yeniyol, Bir Sok No:8 Kat:17 Daire:70, 34360 Şişli/İstanbul Contact person’s name, position and contact details: DPO: e-mail: privacy@apilex.ai e-mail : info@apilex.ai Tel: public: 0 (850) 259 22 42 Activities relevant to the data transferred under these Clauses: Signature and date: Role (controller/processor): Processor |
1. Nom: FITTY TEKNOLOJİ ANONİM ŞİRKETİ Adresse: Bomonti Business Center, Cumhuriyet Mah. Silahşör Cad, Yeniyol, Bir Sok No:8 Kat:17 Daire:70, 34360 Şişli/İstanbul Nom, fonction et coordonnées de la personne de contact: DPO: e-mail: privacy@apilex.ai e-mail : info@apilex.ai Tel: public: 0 (850) 259 22 42 Activités en rapport avec les données transférées au titre des présentes clauses: Signature et date: Rôle (responsable du traitement/sous-traitant): sous-traitant |
| 2. | … | 2. | … |
| B. DESCRIPTION OF TRANSFER | B. DESCRIPTION DU TRANSFERT |
| MODULE TWO: Transfer controller to processor | MODULE 2: transfert de responsable du traitement à sous-traitant |
| Categories of data subjects whose personal data is transferred | Catégories de personnes concernées dont les données à caractère personnel sont transférées |
Platform users (lawyers, legal professionals, employees of customer organisations) Customer representatives and account administrators Individuals whose personal data is contained in documents uploaded to the platform (e.g., parties to legal proceedings, clients, counterparties, witnesses, employees, or other third parties referenced in legal documents) Support contacts or authorised representatives of customers Website users where relevant (e.g., demo requests or account registration) |
Utilisateurs de la plateforme (avocats, professionnels du droit, employés des organisations clientes) Représentants des clients et administrateurs de comptes Personnes dont les données à caractère personnel figurent dans les documents téléversés sur la plateforme (par exemple les parties à une procédure judiciaire, les clients, les contreparties, les témoins, les employés ou d’autres tiers mentionnés dans des documents juridiques) Contacts d’assistance ou représentants autorisés des clients Utilisateurs du site web, le cas échéant (par exemple demandes de démonstration ou création de compte) |
| Categories of personal data transferred | Catégories de données à caractère personnel transférées |
Note: Depending on the content of uploaded documents, the transferred data may include special categories of personal data or data relating to criminal convictions and offences. |
Remarque : selon le contenu des documents téléversés, ces données peuvent inclure des catégories particulières de données à caractère personnel ou des données relatives aux infractions pénales. |
| Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures. | Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles que la limitation stricte des finalités, les restrictions d’accès (notamment l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, les restrictions applicables aux transferts ultérieurs ou les mesures de sécurité supplémentaires. |
Depending on the content of documents uploaded to the platform by users, the transferred data may include special categories of personal data within the meaning of Article 9 GDPR (e.g., data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership, health data) and data relating to criminal convictions and offences under Article 10 GDPR. To address the sensitivity of such data and the associated risks, the following technical and organisational safeguards are implemented:
|
Selon le contenu des documents téléversés sur la plateforme par les utilisateurs, les données transférées peuvent inclure des catégories particulières de données à caractère personnel au sens de l’article 9 du RGPD (par exemple des données révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ou des données relatives à la santé), ainsi que des données relatives aux condamnations pénales et aux infractions au sens de l’article 10 du RGPD. Afin de tenir compte de la sensibilité de ces données et des risques associés, les mesures techniques et organisationnelles suivantes sont mises en œuvre :
|
The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).
|
Fréquence du transfert (indiquez, par exemple, si les données sont transférées sur une base ponctuelle ou continue). Les transferts ont lieu sur une base continue, selon l’utilisation de la plateforme par les utilisateurs et les opérations de traitement nécessaires à la fourniture du service. |
| Nature of the processing | Nature du traitement |
The processing consists of the collection, recording, organisation, structuring, storage, retrieval, consultation and use of personal data within the Apilex platform for the provision of AI-assisted legal technology services. Processing activities include:
Processing is carried out through cloud-based infrastructure located in Ireland and Türkiye. |
Le traitement consiste en la collecte, l’enregistrement, l’organisation, la structuration, la conservation, la récupération, la consultation et l’utilisation des données à caractère personnel au sein de la plateforme Apilex afin de fournir des services de technologie juridique assistés par l’intelligence artificielle. Les activités de traitement comprennent notamment :
Le traitement est effectué au moyen d’une infrastructure cloud située en Irlande et en Turquie. |
| Purpose(s) of the data transfer and further processing | Finalité(s) du transfert et du traitement ultérieur des données |
Personal data is transferred to the data importer for the purpose of providing, maintaining, and securing the Apilex platform and associated support services. The transfer enables: Cloud hosting and infrastructure services Secure storage of user accounts and uploaded documents AI-assisted analysis and generation of legal content System administration, performance monitoring and cybersecurity controls Technical support and incident management Backup, disaster recovery and business continuity operations The data importer processes the personal data solely for the performance of the services in accordance with the main service agreement and documented instructions of the data exporter. Personal data may be accessed where strictly necessary for troubleshooting, incident response, system maintenance and customer support services. No transfer is made for independent commercial purposes or marketing activities. Processing by the data importer is limited to what is strictly necessary for the performance of the contracted services and is subject to appropriate technical and organisational measures. The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period Personal data uploaded by customers to the Apilex platform is retained for the duration of the main service agreement. |
Les données à caractère personnel sont transférées à l’importateur de données afin de fournir, maintenir et sécuriser la plateforme Apilex ainsi que les services d’assistance associés. Le transfert permet notamment : L’hébergement cloud et les services d’infrastructure Le stockage sécurisé des comptes utilisateurs et des documents téléversés L’analyse assistée par l’intelligence artificielle et la génération de contenus juridiques L’administration des systèmes, la surveillance des performances et les contrôles de cybersécurité Le support technique et la gestion des incidents Les opérations de sauvegarde, de reprise après sinistre et de continuité d’activité L’importateur de données traite les données à caractère personnel uniquement pour l’exécution des services, conformément au contrat principal de services et aux instructions documentées de l’exportateur de données. Les données à caractère personnel peuvent être consultées uniquement lorsque cela est strictement nécessaire pour le dépannage, la gestion des incidents, la maintenance des systèmes et les services de support client. Aucun transfert n’est effectué à des fins commerciales indépendantes ou à des fins de marketing. Le traitement par l’importateur de données est strictement limité à ce qui est nécessaire à l’exécution des services contractuels et est soumis à des mesures techniques et organisationnelles appropriées. |
| The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period | Durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, critères utilisés pour déterminer cette durée |
The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period Personal data uploaded by customers to the Apilex platform is retained for the duration of the main service agreement. Upon termination or expiry of the agreement: Personal data is deleted or returned to the customer in accordance with contractual instructions. Residual copies stored in backup systems are retained for a maximum of 90 days, after which they are automatically overwritten in the normal backup cycle. Security logs related to platform access, authentication, and system activity are retained for 2 years for cybersecurity, fraud prevention, auditability, and legal defence purposes. Customer data uploaded to the platform is logically segregated and isolated per customer environment. No cross-use or commingling of customer datasets occurs. Data is not reused for independent analytics, model training, or any purpose other than the provision of the contracted services. Retention periods are determined based on:
The data importer does not retain personal data beyond what is necessary for the specified purposes. |
Les données à caractère personnel téléversées par les clients sur la plateforme Apilex sont conservées pendant la durée du contrat principal de services. À l’issue ou à l’expiration du contrat : Les données à caractère personnel sont supprimées ou restituées au client conformément aux instructions contractuelles. Les copies résiduelles conservées dans les systèmes de sauvegarde sont maintenues pendant une durée maximale de 90 jours, après quoi elles sont automatiquement écrasées dans le cycle normal de sauvegarde. Les journaux de sécurité relatifs à l’accès à la plateforme, à l’authentification et à l’activité des systèmes sont conservés pendant 2 ans à des fins de cybersécurité, de prévention de la fraude, d’auditabilité et de défense juridique. Les données des clients téléversées sur la plateforme sont logiquement séparées et isolées pour chaque environnement client. Aucune utilisation croisée ni aucun mélange des ensembles de données des clients n’a lieu. Les données ne sont pas réutilisées à des fins d’analyses indépendantes, d’entraînement de modèles ou à toute autre fin que la fourniture des services contractuels. Les durées de conservation sont déterminées sur la base des critères suivants :
L’importateur de données ne conserve pas les données à caractère personnel au-delà de ce qui est nécessaire aux finalités déterminées. |
| For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing | Pour les transferts à des sous-traitants (ultérieurs), veuillez également préciser l’objet, la nature et la durée du traitement |
1. AWS Ireland – Cloud Hosting Sub-Processor Subject matter of processing: Nature of processing: Duration of processing: 2. Technical Support Provider – Türkiye Subject matter of processing: Nature of processing: Duration of processing: All sub-processors act solely on documented instructions of Apilex and are contractually bound to implement appropriate technical and organisational measures. No sub-processor processes the data for its own commercial or independent purposes. |
1. AWS Irlande – Sous-traitant pour l’hébergement cloud Objet du traitement : Nature du traitement : Durée du traitement : 2. Fournisseur de support technique – Turquie Objet du traitement : Nature du traitement : Durée du traitement : |
| C. COMPETENT SUPERVISORY AUTHORITY | C. AUTORITÉ DE CONTRÔLE COMPÉTENTE |
| MODULE TWO: Transfer controller to processor | MODULE 2: transfert de responsable du traitement à sous-traitant |
| Identify the competent supervisory authority/ies in accordance with Clause 13 | Indiquez la ou les autorités de contrôle compétentes conformément à la clause 13 |
Commission Nationale de l’Informatique et des Libertés (CNIL) Website: https://www.cnil.fr In accordance with Article 77 GDPR, data subjects may lodge a complaint with:
|
Commission Nationale de l’Informatique et des Libertés (CNIL) Conformément à l’article 77 du RGPD, les personnes concernées peuvent introduire une réclamation auprès :
|
| ANNEX II | ANNEXE II |
| TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA | MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES |
| MODULE TWO: Transfer controller to processor | MODULE 2: transfert de responsable du traitement à sous-traitant |
| EXPLANATORY NOTE: | NOTE EXPLICATIVE: |
| The technical and organisational measures must be described in specific (and not generic) terms. See also the general comment on the first page of the Appendix, in particular on the need to clearly indicate which measures apply to each transfer/set of transfers. | Les mesures techniques et organisationnelles doivent être décrites en termes spécifiques (et non généraux). Voir également le commentaire général à la première page de l’appendice, en particulier en ce qui concerne la nécessité d’indiquer clairement les mesures qui s’appliquent à chaque transfert/ensemble de transferts. |
Description of the technical and organisational measures implemented by the data importer(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons. Measures of pseudonymisation and encryption of personal data Measures for ensuring ongoing confidentiality, integrity, availability and resilience of processing systems and services Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident Processes for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures in order to ensure the security of the processing Measures for user identification and authorisation Measures for the protection of data during transmission Measures for the protection of data during storage Measures for ensuring physical security of locations at which personal data are processed Measures for ensuring events logging Measures for ensuring system configuration, including default configuration Measures for internal IT and IT security governance and management Measures for certification/assurance of processes and products Measures for ensuring data minimisation Measures for ensuring data quality Measures for ensuring limited data retention Measures for ensuring accountability Measures for allowing data portability and ensuring erasure |
Description des mesures techniques et organisationnelles mises en œuvre par le ou les importateurs de données (y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques. Mesures de pseudonymisation et de chiffrement des données à caractère personnel Mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement Mesures visant à garantir la capacité de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique Processus permettant de tester, d’évaluer et d’apprécier régulièrement l’efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement Mesures d’identification et d’autorisation des utilisateurs Mesures de protection des données lors de leur transmission Mesures de protection des données lors de leur stockage Mesures visant à garantir la sécurité physique des lieux où les données à caractère personnel sont traitées Mesures visant à assurer la journalisation des événements Mesures visant à garantir la configuration sécurisée des systèmes, y compris la configuration par défaut Mesures relatives à la gouvernance et à la gestion internes des systèmes informatiques et de la sécurité de l’information Mesures relatives à la certification et à l’assurance des processus et des produits Mesures visant à garantir la minimisation des données Mesures visant à garantir la qualité des données Mesures visant à garantir une durée de conservation limitée des données Mesures visant à garantir la responsabilité (accountability) Mesures permettant la portabilité des données et garantissant leur effacement |
| For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller and, for transfers from a processor to a sub-processor, to the data exporter | Pour les transferts vers des sous-traitants (ultérieurs), veuillez également décrire les mesures techniques et organisationnelles que le sous-traitant (ultérieur) doit prendre pour être en mesure d’aider le responsable du traitement et, pour les transferts d’un sous-traitant à un sous-traitant ultérieur, l’exportateur de données |
| ANNEX III | ANNEXE III |
| LIST OF SUB-PROCESSORS | LISTE DES SOUS-TRAITANTS ULTÉRIEURS |
| MODULE TWO: Transfer controller to processor | MODULE 2: transfert de responsable du traitement à sous-traitant |
| EXPLANATORY NOTE: | NOTE EXPLICATIVE: |
| This Annex must be completed for Modules Two and Three, in case of the specific authorisation of sub-processors (Clause 9(a), Option 1). | La présente annexe doit être remplie pour les modules 2 et 3, en cas d’autorisation spécifique de sous-traitants ultérieurs [clause 9, paragraphe a), option 1] |
| The controller has authorised the use of the following sub-processors: | Le responsable du traitement a autorisé le recours aux sous-traitants ultérieurs suivants: |
| No. | Sub-Processor | Address / Country | Description of Processing | Categories of Data | Location of Processing | Safeguards Implemented | Transfer Mechanism |
|---|---|---|---|---|---|---|---|
| 1 | Amazon Web Services EMEA SARL (AWS Ireland) | 38 Avenue John F. Kennedy, L-1855 Luxembourg (Infrastructure located in Ireland) | Cloud infrastructure hosting, encrypted storage, backup (90 days rolling cycle), disaster recovery, system availability, infrastructure-level cybersecurity monitoring | Customer-uploaded content, account data, metadata, system logs | Ireland | Encryption at rest and in transit (TLS 1.2+), logical segregation per customer environment, role-based access control, MFA, continuous security monitoring, ISO 27001 certified infrastructure | Processing within EEA (no third-country transfer) |
| 2 | Google Ireland Limited (Gemini) | Gordon House, Barrow Street, Dublin 4, Ireland | AI-powered text analysis and generation services strictly for customer-requested processing within the Apilex platform | Customer-uploaded content submitted for AI processing | EEA | Processing under DPA, no independent model training on customer data, encryption in transit, access controls, contractual confidentiality obligations | Processing within EEA under EU GDPR framework |
| 3 | OpenAI Ireland Ltd. | 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, Ireland | AI-powered text analysis and generation services strictly for customer-requested processing within the Apilex platform | Customer-uploaded content submitted for AI processing | EEA | Processing under DPA, no independent use of customer data for training, encryption in transit, strict access controls, confidentiality safeguards | Processing within EEA under EU GDPR framework |