Addendum sur le traitement des données

(Révision octobre 2023)

Cet Addendum de Traitement des Données, y compris ses Annexes (“DPA”), fait partie intégrante du Contrat de Services Principal ou de tout autre accord écrit ou électronique entre Extu et le Sponsor pour l’achat de nos “Services”, afin de refléter l’accord des Parties concernant le Traitement des Données Personnelles.

Le Sponsor accepte cet DPA en son nom et, conformément aux lois et réglementations applicables en matière de protection des données, au nom et pour le compte de ses Filiales Autorisées. Aux fins de cet DPA uniquement, et sauf indication contraire, le terme “Sponsor” inclura le Sponsor et ses Filiales Autorisées. Tous les termes en majuscules non définis ici auront la signification définie dans le Contrat.

Dans le cadre de la fourniture des Services au Sponsor conformément au Contrat, Extu peut traiter des Données Personnelles pour le compte du Sponsor et les Parties conviennent de respecter les dispositions suivantes concernant ces Données Personnelles, agissant chacune raisonnablement et de bonne foi.

COMMENT EXÉCUTER CE DPA :

  1. Ce DPA est constitué de deux éléments : le corps principal du DPA et les Annexes 1 et 2.
  1. Ce DPA a été préalablement signé au nom de SFDC. L’Annexe 2, section 1, a été préalablement signée par Salesforce, Inc. en tant qu’importateur de données. Il convient de noter que l’entité contractante en vertu du Contrat peut être distincte de Salesforce, Inc.
  1. Pour finaliser ce DPA, le Sponsor doit :
    1. Compléter les informations dans le cadre de signature et signer à la page 6. Envoyer le DPA signé à Extu par e-mail à confidentialite@extu.com.

Sauf mention expresse contraire dans le Contrat, ce DPA deviendra légalement contraignant dès réception par Extu du DPA dûment complété à cette adresse e-mail.

Pour éviter toute ambiguïté, la signature du DPA à la page 6 sera considérée comme une acceptation et une signature des Clauses Contractuelles Types, y compris l’Annexe 2. Si le Sponsor souhaite exécuter les Clauses Contractuelles Types et leur Annexe séparément, il devra également compléter les informations en tant qu’exportateur de données et signer à la page 8 (Annexe A).

Termes de Traitement des Données

  1. Définitions. Tous les termes en majuscules utilisés mais non définis autrement dans le présent document auront la signification énoncée dans cette Section 1 (Définitions) ou dans le Contrat.


    (A) “Loi sur la protection des données” désigne, le cas échéant : (i) le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (le “RGPD de l’UE”) ; (ii) le RGPD de l’UE tel qu’incorporé dans le droit britannique en vertu de la loi britannique sur le retrait de l’Union européenne (Withdrawal) Act 2018, et la législation applicable en vertu de ladite loi (le “RGPD du Royaume-Uni”) ; (iii) la Loi fédérale sur la protection des données du 19 juin 1992 (Suisse) (le “FADP suisse”) ; et/ou (iv) les lois des États américains régissant le traitement des données personnelles, y compris le California Consumer Privacy Act de 2018 (le “CCPA”), tel que modifié par le California Privacy Rights Act de 2020 (le “CPRA”).

    (B) “AEE” désigne l’Espace économique européen.

    (C) “UE” désigne l’Union européenne.

    (D) “Clauses contractuelles typesou “CCT”désignent les clauses annexées à la Décision d’exécution de la Commission (UE) 2021/914 du 4 juin 2021 concernant les clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil, disponibles en ligne sur https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN.

    (E) “Transfert” signifie divulguer, fournir ou rendre autrement des données personnelles disponibles à un tiers, notamment par le mouvement physique des données personnelles vers ledit tiers ou en permettant l’accès aux données personnelles par d’autres moyens.

    (F) “Royaume-Uni” désigne le Royaume-Uni.

    (G) Les termes “responsable du traitement”, “personne concernée”, “données personnelles”, “information personnelle”, “violation de données à caractère personnel”, “traitement” ou “traiter”, et “sous-traitant” ont chacun la signification définie dans la Loi sur la protection des données applicable.

  1. Rôles des Parties. Les parties conviennent que, en vertu de toute loi sur la protection des données applicable, le Sponsor agit en tant que responsable du traitement (ou, le cas échéant, en tant que sous-traitant) des données personnelles, tandis qu’Extu agit en tant que sous-traitant de ces données. Chaque partie s’engage à respecter ses obligations en vertu de la législation sur la protection des données concernant ce DPA et le traitement des données personnelles.
  1. Traitement des Données Personnelles. Extu traitera les données personnelles uniquement : (a) dans la mesure nécessaire pour remplir ses obligations contractuelles ; (b) conformément aux termes du Contrat, de ce DPA et des autres instructions documentées fournies par le Sponsor, tel que spécifié dans la Section 4 (Instructions) ci-dessous ; et (c) dans le respect de la législation applicable. Les détails relatifs au traitement des données personnelles (comprenant l’objectif et la durée du traitement, la nature et la finalité du traitement, le type de données personnelles et les catégories de personnes concernées) sont précisés dans l’Annexe A jointe aux présentes.
  1. Instructions. Extu traitera les données personnelles conformément aux instructions documentées et légales du Sponsor telles que spécifiées dans le Contrat et ce DPA, y compris les instructions relatives aux Transferts. Le Sponsor reconnaît qu’Extu ne collecte que les données personnelles spécifiquement demandées et approuvées par lui. Le Sponsor peut fournir des instructions supplémentaires par écrit à Extu concernant le traitement des données personnelles conformément à la législation sur la protection des données. Extu se conformera à ces instructions supplémentaires raisonnables, légales et documentées, sauf si elles étendent la portée de la prestation d’Extu en vertu du Contrat, auquel cas Extu se réserve le droit de facturer au Sponsor des frais supplémentaires. Sauf interdiction par la législation applicable, Extu informera le Sponsor si une instruction de ce dernier est susceptible, à son avis raisonnable, de violer la législation sur la protection des données.
  1. Demandes des Personnes Concernées. Si Extu reçoit une demande d’accès aux données personnelles du Sponsor émanant d’une personne concernée identifiée, Extu informera rapidement cette personne de soumettre sa demande directement au Sponsor. Extu fournira une assistance raisonnable au Sponsor pour répondre à ces demandes des personnes concernées en vertu de la législation sur la protection des données, y compris les droits d’accès, de rectification, d’opposition, d’effacement et de portabilité des données.
  1. Assistance Additionnelle. En fonction de la nature du traitement et des ressources disponibles, Extu apportera une assistance raisonnable au Sponsor dans ses obligations de conformité, notamment pour : (a) assurer la sécurité des données personnelles ; (b) répondre aux violations de données personnelles conformément à la Section 11 (Violation de Données Personnelles) ci-dessous ; et (c) mener des évaluations d’impact sur la vie privée et des consultations avec les autorités de protection des données.
  1. Utilisation de Sous-traitants. Le Sponsor accorde par la présente à Extu une autorisation écrite générale d’engager des tiers sous-traitants pour traiter les données personnelles du Sponsor dans le cadre de l’exécution du Contrat par Extu (chacun étant désigné comme un « Sous-traitant« ). En particulier, Extu peut continuer à utiliser les Sous-traitants déjà engagés à la date d’entrée en vigueur de ce DPA, une liste de ces Sous-traitants étant disponible à l’adresse https://extu.com/fr_ca/mentions-legales/Sous-traitants/ (le « Site Web des Sous-traitants« ). Au moins trente (30) jours avant de nommer tout nouveau Sous-traitant pour le traitement des données personnelles du Sponsor dans le cadre de l’exécution du Contrat par Extu, Extu fournira au Sponsor un préavis de son intention de nommer le nouveau Sous-traitant en mettant à jour la liste disponible sur le Site Web des Sous-traitants. Si le Sponsor ne formule aucune objection dans un délai de dix (10) jours ouvrables, le nouveau Sous-traitant sera réputé approuvé. Si le Sponsor soulève une objection dans ce délai de dix (10) jours, les parties s’efforceront de résoudre cette objection de bonne foi dans un délai raisonnable. Si les parties ne parviennent pas à résoudre cette objection dans un délai raisonnable, le Sponsor peut résilier le Contrat et ce DPA, en notifiant Extu. Avant d’autoriser un Sous-traitant à traiter les données personnelles du Sponsor, Extu conclura un accord écrit avec ce Sous-traitant qui ne sera pas moins contraignant que ce DPA en ce qui concerne le traitement des données personnelles. Extu demeurera responsable et sera tenue pour responsable de tout acte ou omission de ce Sous-traitant concernant les données personnelles, comme si cet acte ou cette omission avait été effectué par Extu.
  1. Transferts.


    (A) Dans la mesure où le traitement des données personnelles par Extu nécessite des Transferts par le Sponsor de données personnelles originaires de l’EEE, du Royaume-Uni ou de la Suisse vers Extu dans un pays situé en dehors de l’EEE, du Royaume-Uni ou de la Suisse qui n’a pas fait l’objet d’une décision d’adéquation contraignante de la Commission européenne ou d’une autorité de protection des données compétente similaire, de tels Transferts seront effectués conformément aux CCT, qui sont ici incorporées par référence, sous réserve des conditions suivantes :

    (i) Lorsque le Sponsor est un responsable de traitement et Extu un sous-traitant, de tels transferts seront effectués conformément au Module Deux des SCC ;

    (ii) Lorsque le Sponsor et Extu sont tous deux des sous-traitants, de tels transferts seront effectués conformément au Module Trois des SCC ;

    (iii) Si le transfert concerne des données personnelles en provenance du Royaume-Uni, les SCC seront adaptées selon l’ “Addendum aux transferts au Royaume-Uni”, élaboré par le Bureau du Commissaire à l’information du Royaume-Uni (“UKICO”) et en vigueur à partir du 21 mars 2022, disponible en ligne à l’adresse suivante : https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf et incorporé par référence aux présentes ;

    (iv) Les choix des parties, relatifs aux éléments des SCC offrant une certaine optionnalité, sont spécifiés sur une base juridictionnelle à travers l’Annexe B ci-jointe ;

    (v) Les informations requises par : (A) l’Annexe I et l’Annexe III des SCC se trouvent dans l’Annexe A ci-jointe, et (B) l’Annexe II des SCC est incluse dans l’Annexe C ci-jointe.

    (B) Tout transfert ultérieur par Extu de données personnelles de l’EEE, du Royaume-Uni ou de la Suisse vers un destinataire hors de l’EEE, du Royaume-Uni ou de la Suisse, qui n’a pas bénéficié d’une décision d’adéquation contraignante de la part de la Commission européenne ou d’une autorité de protection des données compétente similaire, sera soumis à des mécanismes de transfert contraignants et appropriés garantissant un niveau de protection adéquat, conformément à la législation sur la protection des données, tels que les clauses contractuelles types ou les règles d’entreprise contraignantes approuvées.
  1. Confidentialité. Extu s’assurera que toutes les personnes autorisées à manipuler des données personnelles sont soumises à des engagements écrits de confidentialité ou à une obligation légale de confidentialité appropriée, qui ne sont pas moins restrictifs que ceux énoncés ici ou dans l’Accord.
  1. Sécurité. En tenant compte de l’état de l’art, des coûts de mise en œuvre, ainsi que de la nature, de la portée, du contexte et des finalités du traitement, Extu mettra en place des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque présenté par le traitement des données personnelles.
  1. Violation des données personnelles. En cas de découverte d’une violation des données personnelles (tel que défini par la loi sur la protection des données), Extu informera Sponsor par écrit de cette violation sans délai indu. Selon la nature du traitement et les informations disponibles à Extu, celle-ci aidera raisonnablement Sponsor à respecter ses obligations concernant les violations des données personnelles.
  1. Restitution ou destruction. À la résiliation de l’Accord ou de cette DPA, Extu restituera ou détruira toutes les données personnelles à Sponsor, et supprimera les copies existantes des données personnelles, à moins que : (a) la loi applicable ou la politique de conservation des données d’Extu ne nécessite le stockage des données personnelles, ou (b) ces données personnelles soient conservées dans les systèmes d’archivage ou de sauvegarde d’Extu. Toute donnée personnelle conservée par Extu conformément à cette Section 12 (Restitution ou destruction) sera traitée conformément aux termes de cette DPA.
  1. Audits; Enquêtes. Extu fournira à Sponsor les informations nécessaires pour démontrer sa conformité à la loi sur la protection des données et à cette DPA, et, aux frais de Sponsor, permettra et assistera à des audits, y compris des inspections, menés par les auditeurs internes et externes, le personnel de Sponsor et les autorités compétentes en matière de protection des données applicables. Préalablement à tout audit ou inspection conformément à cette Section 13 (Audits; Enquêtes), Sponsor fournira à Extu un préavis raisonnable (et en tout état de cause pas moins de trente (30) jours) et cet audit se déroulera à une date et à une heure convenues mutuellement pendant les heures normales de travail, sans entraver déraisonnablement les activités commerciales d’Extu. Sponsor accepte, et s’engage avant tout audit ou inspection conformément à cette Section 13 (Audits; Enquêtes), à faire en sorte que ses auditeurs internes et externes ainsi que son personnel s’engagent contractuellement à traiter comme confidentielles toutes les informations examinées, obtenues ou autrement mises à disposition par Extu lors de tout audit ou inspection, y compris les résultats de cet audit ou inspection.
  1. Demandes de divulgation. En cas de réception par Extu d’une assignation à comparaître, d’une ordonnance judiciaire, administrative ou arbitrale émanant d’une agence exécutive ou administrative, d’un organisme de régulation ou de toute autre autorité gouvernementale concernant le traitement des données personnelles du Sponsor (« Demande de divulgation« ), celle-ci transmettra immédiatement ladite Demande de divulgation au Sponsor sans y répondre, sauf disposition contraire de la loi applicable. Extu fournira au Sponsor les informations pertinentes en sa possession qui pourraient s’avérer utiles pour répondre à la Demande de divulgation, ainsi que toute assistance raisonnable nécessaire pour permettre au Sponsor de répondre rapidement à ladite Demande.
  1. Conformité à la CCPA. Les parties reconnaissent et conviennent qu’Extu agit en qualité de prestataire de services (tel que défini par la CCPA) pour le compte du Sponsor dans le cadre de l’exécution d’Extu en vertu de l’Accord. Extu reconnaît et confirme qu’elle ne reçoit pas de contrepartie monétaire ou de toute autre valeur en échange de la réception d’informations personnelles (telles que définies par la CCPA) et certifie qu’elle comprendra et respectera les restrictions énoncées dans cette Section 15 (Conformité à la CCPA). Sauf disposition contraire de la loi applicable, Extu ne collectera, n’accédera pas, n’utilisera pas, ne divulguera pas, ne traitera pas ou ne conservera pas d’informations personnelles à d’autres fins que l’exécution d’Extu en vertu de l’Accord ou toute autre finalité commerciale autorisée par la CCPA, la présente DPA ou l’Accord. En particulier, Extu ne vendra pas (tel que défini par la CCPA) ou ne partagera pas (tel que défini par la CPRA) d’informations personnelles.
  1. Survie. Les obligations d’Extu en vertu de la présente DPA demeureront en vigueur tant qu’Extu aura accès à, sera en possession ou acquerra des données personnelles, même si l’Accord a expiré ou a été résilié.
  1. Limitations de responsabilité. Pour éviter toute ambiguïté, la présente DPA et toutes les responsabilités ou recours qui en découlent sont soumis à toutes les limitations de responsabilité et exclusions de types de dommages énoncées dans l’Accord, dans la mesure maximale permise par la loi applicable.
  1. Interprétation. Sauf disposition contraire expresse dans le présent document, l’Accord demeurera en vigueur dans son intégralité. Les droits accordés à toute partie aux termes des présentes s’ajoutent à d’autres droits que cette partie peut avoir en vertu de l’Accord. En cas de conflit ou d’incohérence entre les termes de la présente DPA et les termes de l’Accord concernant le traitement des données personnelles, les termes de la présente DPA prévaudront. En cas de conflit ou d’incohérence entre les termes de tout module applicable des SCC et les termes de la présente DPA concernant les Transferts, les termes des SCC prévaudront.

EN FOI DE QUOI, les parties ont fait signer le présent DPA par leurs représentants dûment autorisés à la date d’entrée en vigueur du DPA.

EXTU

Par : ______________________________

Nom : ______________________________

Titre : ______________________________

Date : ______________________________

PARRAIN

Par : ______________________________

Nom : ______________________________

Titre : ______________________________

Date : ______________________________

Pièce A

Détails du Traitement

A. LISTE DES PARTIES :

Exportateur de données :

Nom : Sponsor
Adresse :  
Personne de contact : Téléphone : [À DÉTERMINER]
E-mail : [À DÉTERMINER]
Activités Relatives aux Données Transférées : La réception de services conformément à l’Accord.
Signature et date : Voir signature et date dans la DPA.
Rôle : Contrôleur ou processeur, selon le cas.

Importateur de données :

Nom : Extu
Adresse : 2299 Perimeter Park Drive, Suite 150 Atlanta, Georgia 30341
Personne de contact : Kelly Held Directrice des Systèmes d’Information
Téléphone : 678-514-0218
E-mail : Kelly.held@extu.com
Activités Relatives aux Données Transférées : La fourniture de services conformément à l’Accord.
Signature et date : Voir signature et date dans la DPA.
Rôle : Processeur

B.DESCRIPTION DU TRANSFERT :

Objet du Traitement : Le traitement des données personnelles s’inscrit dans le cadre de la prestation de services par Extu à Sponsor, tel que stipulé dans l’Accord.
Nature et Objectif du Traitement : Extu propose un programme d’encouragement en ligne où les participants accumulent des points échangeables contre des biens et services disponibles dans un catalogue interactif en temps réel. Le traitement des données personnelles sera associé à cette activité ainsi qu’à la fourniture de services par Extu à Sponsor, selon les termes de l’Accord.
Durée du Traitement : Pendant la période spécifiée dans l’Accord.
Catégories de Personnes Concernées : [À déterminer]
Catégories de Données Personnelles : Catégories de Données Personnelles : Les données personnelles transférées comprendront les catégories suivantes : [À déterminer], [À déterminer], et [À déterminer].
Catégories de Données Personnelles Sensibles Transférées : Aucune – Sponsor ne fournira à Extu aucune catégorie spéciale de données personnelles ou de données sensibles sans le consentement écrit préalable d’Extu.
Fréquence du Transfert : Continue.
Période de Conservation / Critères de Conservation : Extu retournera ou supprimera toutes les données personnelles transférées conformément à l’Article 12 (Renvoi ou Destruction) de l’Accord de Traitement des Données.
Objet, Nature et Durée du Traitement par les Sous-traitants : Durée du Traitement par les Sous-traitants : Dans la mesure où Extu recourt à des sous-traitants pour effectuer certaines des fonctions décrites ici, l’objet, la nature et la durée seront substantiellement identiques à ce qui est défini ici.

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE :

L’autorité de contrôle compétente applicable est définie à l’Annexe B.

D. SOUS-TRAITANTS EXISTANTS:

Les sous-traitants actuels d’Extu sont répertoriés sur la page des sous-traitants du site web d’Extu à l’URL suivante : https://extu.com/fr_ca/mentions-legales/Sous-traitants/

Pièce B

Article contractuelles types – Choix de mise en œuvre

Article SCC Données de l’AEE Données du Royaume-Uni Données Suisse
Article 7 Les parties ont convenu de ne pas intégrer la clause de rétractation facultative.
Article 9 Les parties optent pour l’Option 2, « Autorisation Générale Écrite », avec une période de préavis de trente (30) jours.
Article 11 Les parties ont décidé de ne pas intégrer la clause facultative permettant aux personnes concernées de déposer des plaintes auprès d’un organisme de règlement des litiges indépendant.
Article 13 La Commission irlandaise de la protection des données sera l’autorité de contrôle compétente. L’UKICO sera l’autorité de contrôle compétente. Le Commissaire fédéral à la protection des données et à la transparence (CPDT) suisse sera l’autorité de surveillance compétente.
Article 17 Les CCA seront régies par les lois de la République d’Irlande. Les Clauses Contractuelles Types, y compris l’Addendum de transfert du Royaume-Uni incorporé, seront soumises aux lois de l’Angleterre et du Pays de Galles. Les CCA seront régies par les lois de la République d’Irlande.
Article 18 Les parties sont d’accord pour que tout différend découlant des Clauses Contractuelles Types soit résolu par les tribunaux de la République d’Irlande. Les parties conviennent que tout litige résultant des Clauses Contractuelles Types ou de l’Addendum de transfert du Royaume-Uni incorporé sera résolu par les tribunaux de l’Angleterre et du Pays de Galles. Une personne concernée peut également intenter des poursuites contre l’Exportateur de données et/ou l’Importateur de données devant les tribunaux de n’importe quel pays du Royaume-Uni. Les parties acceptent de se soumettre à la compétence de ces tribunaux. Les parties conviennent que tout litige résultant des Clauses Contractuelles Types sera résolu par les tribunaux de la République d’Irlande. Cependant, le choix du tribunal par les parties ne doit pas être interprété comme empêchant les personnes concernées en Suisse d’intenter des actions en justice pour faire valoir leurs droits en Suisse.

Pièce C

Mesures Techniques et Organisationnelles 

Les Mesures de Sécurité applicables au Service sont décrites sur le site web d’Extu à l’adresse URL suivante : https://extu.com/fr_ca/mentions-legales/dpa/Securite/