Accord sur le traitement des données Fortra ("DPA")

1. Champ d'application du présent ATD

1. Le présent DPA est intégré par référence dans les Conditions générales de commande Fortra ou dans tout autre Contrat de services applicable (ci-après dénommés « Contrat de services ») pour la fourniture de produits ou de services (ci-après dénommés « Services ») par le prestataire de services (ci-après dénommé « Fournisseur ») au client (ci-après dénommé « Client » ou « Fortra »). Lors de la fourniture des Services, le Prestataire peut Traiter des Données à caractère personnel pour le compte du Client et les Parties s'engagent à respecter les conditions du présent ATD.
2. En cas de conflit entre le présent ATD et le Contrat de services sous-jacent, le présent ATD prévaudra. En cas de conflit entre les clauses contractuelles types et la présente DPA, les clauses contractuelles types prévaudront.

2. Définitions

Dans le présent DPA, les termes suivants ont la signification suivante :

1. « Décision d'adéquation »désigne, selon le cas, une décision de la Commission européenne, du gouvernement britannique et/ou du Conseil fédéral suisse selon laquelle un pays tiers offre un niveau adéquat de protection des données.
2. « CCPA »désigne la loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act) de 2018, telle que modifiée par la loi californienne sur les droits à la vie privée (California Privacy Rights Act) entrée en vigueur le 1er janvier 2023, ainsi que toute modification ou réglementation d'application ultérieure.
3. « Données client » désigne toutes les données fournies, traitées ou stockées par le fournisseur provenant du client.
4. « Données personnelles du client »désigne toutes les données personnelles traitées par le fournisseur pour le compte du client conformément au contrat de services.
5. « Responsable du traitement »désigne une entité qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel, y compris tout terme équivalent en vertu de la législation sur la protection des données.
6. « Loi sur la protection des données »désigne, selon le cas, toutes les lois et réglementations en matière de confidentialité et de protection des données, y compris : (i) le RGPD et les lois des États membres mettant en œuvre le RGPD ; (ii) le RGPD britannique et la loi britannique sur la protection des données de 2018 ; (iii) la loi fédérale suisse sur la protection des données (« LPD ») ; (iv) et la CCPA, chacune telle que modifiée, mise à jour ou remplacée de temps à autre.
7. «Personne concernée »désigne une personne identifiée ou identifiable.
8. « RGPD »désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
9. « NIS2 » désigne la directive européenne relative aux systèmes d'information et de réseaux, ses règlements d'application et toute législation ultérieure dans l'UE, ainsi que toute loi applicable similaire dans d'autres pays.
10. « Données personnelles »désigne toute information relative à une personne concernée, y compris tout terme équivalent en vertu de la législation sur la protection des données.
11. « Violation des données personnelles »désigne une violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, la modification, la divulgation non autorisée ou l'accès non autorisé à des données personnelles.
12. Le terme « traitement »désigne toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel, que ce soit par des moyens automatisés ou non, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, le blocage, l'effacement ou la destruction.
13. « Responsable du traitement »désigne une entité qui traite des données à caractère personnel pour le compte d'un responsable du traitement, y compris tout terme équivalent en vertu de la législation sur la protection des données.
14. « Clauses contractuelles types »désigne, selon le cas, (i) la décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du RGPD (« CCT UE »); et (ii) l'avenant relatif au transfert international de données aux clauses contractuelles types de l'UE publié par le Bureau du commissaire à l'information en vertu de l'article 119A(1) de la loi de 2018 sur la protection des données (« avenant britannique »).
15. « Sous-traitant »désigne tout tiers désigné par le Vendeur pour traiter les Données personnelles du Client pour le compte du Client.
16. « Autorité de contrôle »a le sens ou la signification équivalente qui lui est donnée dans la loi sur la protection des données.
17. « RGPD britannique »désigne le RGPD tel qu'il a été intégré dans le droit britannique par la loi de 2018 sur la protection des données (Data Protection Act 2018) et modifié par le règlement de 2019 sur la protection des données, la vie privée et les communications électroniques (modifications, etc.) (sortie de l'UE) (Data Protection, Privacy and Electronic Communications (Amendments etc.) (EU Exit) Regulations 2019).
18. Les termes en majuscules non définis dans le présent DPA ont le sens qui leur est donné dans le Contrat de services.

3. Portée du traitement

1. Les Parties conviennent que, dans le cadre du Traitement des Données à caractère personnel du Client, le Client est le Responsable du traitement et le Vendeur est le Sous-traitant. Si le Client est un Sous-traitant des Données à caractère personnel du Client, le Fournisseur sera un sous-traitant des Données à caractère personnel du Client. Les conditions du présent DPA régissent chaque scénario. Dans le cas où le Fournisseur serait considéré comme un sous-traitant, le Client serait désigné comme point de contact pour le ou les Responsables du traitement concernés et la notification du Fournisseur au Client serait réputée satisfaire aux exigences de notification prévues par la Loi sur la protection des données applicable en tant que notification au(x) Responsable(s) du traitement concerné(s). Le client est responsable de fournir un avis au nom du fournisseur au(x) responsable(s) du traitement concerné(s). Dans la mesure où le Fournisseur a informé le Client et où le Client n'a pas suffisamment informé le ou les Contrôleurs concernés au nom du Fournisseur et où une Autorité de contrôle estime que le Fournisseur n'a pas satisfait à ses obligations d'information envers le ou les Contrôleurs, alors (x) ce manquement ne sera pas considéré comme une violation substantielle du présent ATD ou du Contrat de services par le Fournisseur et (y) le Client défendra et indemnisera le Fournisseur pour toute défaillance liée à la fourniture de notifications en vertu de la Loi sur la protection des données applicable au(x) Responsable(s) du traitement par le Fournisseur agissant en tant que sous-traitant.
2. Chaque partie doit respecter ses obligations respectives en vertu de la loi sur la protection des données.
3. Le fournisseur ne traitera les données personnelles du client que sur instruction écrite de ce dernier, sauf si le fournisseur est légalement tenu d'agir autrement. Dans ce dernier cas, le Fournisseur informera le Client de cette obligation légale avant le Traitement, sauf si cette loi interdit cette information pour des raisons importantes d'intérêt public.
4. Le Fournisseur s'engage à ne pas : (a) collecter, conserver, utiliser ou divulguer les Données personnelles du Client à des fins autres que celles nécessaires à l'exécution des Services pour le compte du Client ; (b) collecter, conserver, utiliser ou divulguer les Données personnelles du Client à des fins commerciales autres que la fourniture des Services pour le compte du Client ; (c) collecter, conserver, utiliser ou divulguer les Données personnelles du Client en dehors du cadre de la relation commerciale directe entre le Fournisseur et le Client ; (d) combiner les Données personnelles du Client avec d'autres Données personnelles qu'il reçoit, sauf dans les cas expressément autorisés par la Loi sur la protection des données (sauf pour contribuer à l'amélioration de ses Services) ; ou (e) « vendre » ou « partager » les Données personnelles du Client, telles que définies dans la CCPA.
5. Le traitement des données personnelles du client par le fournisseur comprend l'objet, la nature, la finalité et la durée déterminés dans la section correspondante de l'annexe 1 du présent ATD. Le traitement concerne les types de données à caractère personnel et les catégories de personnes concernées qui y sont identifiés.
6. Le fournisseur doit immédiatement informer le client si, à son avis, une instruction enfreint la loi sur la protection des données.

4. Besoins en personnel

1. Le fournisseur doit s'assurer que les personnes autorisées à traiter les données personnelles du client se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée.

5. Sécurité du traitement

1. Le Prestataire mettra en œuvre les mesures techniques et organisationnelles appropriées, compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement des Données à caractère personnel du Client, ainsi que du risque probable et de la gravité du risque pour les droits et libertés des personnes concernées, afin de garantir un niveau de sécurité des données adapté au risque lié aux Données à caractère personnel du Client et aux Données du Client.
2. Le fournisseur doit se conformer aux mesures techniques et organisationnelles spécifiées dans l'annexe 2 du présent ATD.  Le fournisseur peut mettre à jour ces mesures de temps à autre, à condition que ces mises à jour ne réduisent pas le niveau de sécurité prévu à l'annexe 2 du présent ATD.
3. Le fournisseur doit se conformer à toutes les mesures techniques et organisationnelles applicables requises par la directive NIS2, ses règlements d'application et toutes les lois similaires en vigueur dans le monde entier. Le fournisseur doit mettre en œuvre des mesures de gestion des fournisseurs qui prévoient une évaluation appropriée de la sécurité de ses fournisseurs tiers, signaler rapidement les incidents de sécurité (tels que définis par la législation locale), transmettre les exigences NIS2 aux fournisseurs tiers et sous-traitants concernés, ainsi que toute exigence prévue dans le contrat de services.  Le fournisseur doit signaler au client tout incident de sécurité lié aux données du client dès qu'il a connaissance d'un incident réel ou suspecté, mais en aucun cas plus de 12 heures après. Le fournisseur doit coopérer pleinement avec le client dans le cadre de l'enquête sur un incident de sécurité et fournir toutes les informations requises par NIS2.

6. Recours à des sous-traitants

1. Le Client autorise par la présente le Fournisseur à faire appel à des Sous-traitants de manière générale pour traiter les Données à caractère personnel du Client. Sur demande écrite du Client, le Vendeur fournira une liste complète des Sous-traitants auxquels il fait appel.
2. Le client doit signaler toute objection concernant un sous-traitant dans les 10 jours suivant la réception de la liste. Si l'objection n'est pas résolue à la satisfaction mutuelle des Parties dans les 30 jours suivant la réception de l'objection de l'Abonné, l'une ou l'autre des Parties peut résilier le Contrat de services (en tout ou en partie, uniquement dans la mesure nécessaire pour résilier l'accès aux Services affectés par l'ajout du Sous-traitant proposé), ce qui constituera le seul et unique recours de l'Abonné.
3. Le fournisseur doit imposer contractuellement des obligations de conformité à la législation applicable en matière de protection des données.
4. Le Fournisseur reste entièrement responsable envers le Client de l'exécution des obligations de chaque Sous-traitant en ce qui concerne les Services.

7. Obligations d'assistance

1. Compte tenu de la nature du Traitement, le Prestataire assistera le Client, dans la mesure du possible, en mettant en œuvre les mesures techniques et organisationnelles nécessaires pour permettre au Client de répondre aux demandes d'exercice des droits des Personnes concernées relatives aux Données à caractère personnel du Client. Le fournisseur ne peut répondre à ces demandes directement à la personne concernée qu'avec l'autorisation écrite préalable du client. Si une personne concernée contacte directement le fournisseur pour exercer ses droits, le fournisseur doit immédiatement transmettre cette demande au client.
2. Le Fournisseur informera le Client sans délai d'une violation effective des Données à caractère personnel du Client. La notification doit contenir une description :
   1. la nature de la violation des données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de personnes concernées et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
   2. nom et coordonnées du point de contact du fournisseur où obtenir plus d'informations ;
   3. les conséquences probables de la violation des données à caractère personnel ; et
   4. mesures prises ou proposées par le Vendeur pour remédier à la violation des données à caractère personnel, y compris, le cas échéant, des mesures visant à atténuer ses effets négatifs éventuels.
      Lorsqu'il n'est pas possible de fournir ces informations en même temps, le fournisseur peut les fournir par étapes sans retard injustifié.

Dans la mesure requise par la législation sur la protection des données, compte tenu de la nature du traitement et des informations dont dispose le fournisseur, ce dernier aidera raisonnablement le client à garantir la sécurité du traitement, les notifications de violation, les analyses d'impact sur la protection des données et les consultations préalables avec les autorités de contrôle, aux frais du client, y compris en fournissant des éléments tels que les données de connexion.

8. Suppression et restitution des données personnelles du client

1. Le présent ATD restera en vigueur aussi longtemps que le Fournisseur traitera les Données personnelles du Client pour le compte du Client. Sur demande écrite, le Vendeur doit, au plus tard 90 jours après la date de cessation de tout Service impliquant le Traitement des Données personnelles du Client, supprimer ou restituer les Données personnelles du Client. Si le Fournisseur est tenu par la loi de conserver les Données personnelles du Client, il en informera le Client.

9. Audit

1. Aux frais du Client, le Vendeur mettra à la disposition du Client toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent ATD et, dans la mesure requise par la Législation sur la protection des données, permettra et contribuera aux audits menés par le Client ou un autre auditeur mandaté par le Client. Le Client ne peut exercer son droit d'audit qu'une fois par année civile et celui-ci ne comprend pas l'accès aux locaux ou aux systèmes. Le fournisseur et le client discuteront et conviendront par écrit de la date de début, de la portée et de la durée raisonnables de tout audit, ainsi que des contrôles de sécurité et de confidentialité applicables à celui-ci, et le client prendra toutes les mesures nécessaires pour minimiser la perturbation des activités du fournisseur. Le Client ou l'auditeur concerné n'aura aucun droit d'accès aux données personnelles des autres clients du Vendeur ni à aucun système non impliqué dans le traitement des données personnelles du Client. Toute information obtenue dans le cadre d'un audit sera considérée comme une information confidentielle du Vendeur.  

10. Transferts internationaux

1. Le fournisseur doit s'assurer, le cas échéant, que tout transfert des données personnelles du client, soumis au RGPD, au RGPD britannique et/ou à la LPD, en dehors de l'EEE, du Royaume-Uni et/ou de la Suisse vers un pays tiers sans décision d'adéquation, est conforme à la législation sur la protection des données.
2. Si le Client transfère des Données personnelles du Client soumises au RGPD, au RGPD britannique et/ou à la LPD en dehors de l'EEE, du Royaume-Uni et/ou de la Suisse, selon le cas, vers le Fournisseur dans un pays tiers sans décision d'adéquation, les Parties conviennent de se conformer au module 2 et/ou 3 des clauses contractuelles types, selon le cas, qui sont intégrées par référence dans le présent ATD, comme si elles y figuraient intégralement, et sont renseignées dans la présente clause 10. Les parties conviennent que, aux fins des clauses contractuelles types, le client est le responsable du transfert et le fournisseur est le destinataire du transfert.
3. Les Parties conviennent que la signature ou l'acceptation du Contrat de services vaut signature des Clauses contractuelles types dans la mesure requise par la Législation sur la protection des données.
4. Les Parties conviennent de compléter les CCT de l'UE comme suit en ce qui concerne les Données à caractère personnel du Client soumises au RGPD : (i) toutes les clauses facultatives sont exclues ; (ii) les coordonnées des Parties sont celles indiquées dans le Contrat de services et dans la présente DPA ; (iii) la description du transfert est celle figurant dans la section correspondante de l'Annexe 1 de la présente DPA ; (iv) l'autorité de contrôle compétente est déterminée conformément à la clause 13 des CCT de l'UE ; (v) les mesures de sécurité techniques et organisationnelles du responsable du transfert sont conformes à la clause 5 de la présente DPA ; et (vi) le responsable du transfert dispose d'une autorisation générale écrite pour désigner des sous-traitants conformément à la clause 6 de la présente DPA.
5. Les Parties conviennent de compléter l'Addendum britannique relatif aux Données personnelles du Client soumises au RGPD britannique : (i) la version des CCT de l'UE à laquelle l'Addendum britannique est annexé est celle figurant dans le présent ATD et mentionnée à la clause 10.4 ; (ii) la date de début est la date du Contrat de services ; (iii) les coordonnées des parties et les détails de l'annexe doivent être conformes à la clause 10.4 ; (iv) l'autorité de contrôle compétente est le commissaire à l'information ; et (v) l'importateur de données a le droit de résilier l'avenant britannique.
6. Les parties conviennent de se conformer aux clauses contractuelles types de l'UE telles que figurant à la clause 10.4 du présent ATD en ce qui concerne les données à caractère personnel du client soumises à la LPD, et telles que modifiées comme suit : (i) l'autorité de contrôle compétente est le Préposé fédéral à la protection des données et à la transparence ; (ii) le terme « État membre » ne sera pas interprété comme excluant les personnes concernées en Suisse de l'introduction d'une procédure judiciaire en Suisse ; et (iii) les références au « RGPD » seront comprises comme des références à la LPD.
7. Les garanties supplémentaires suivantes sont destinées à renforcer l'utilisation des clauses contractuelles types par les parties : (a) Le fournisseur déclare qu'à la date d'entrée en vigueur du présent ATD, il n'a reçu aucune demande en vertu de l'article 702 de la loi américaine sur la surveillance des renseignements étrangers (Foreign Intelligence Surveillance Act) concernant les données à caractère personnel de résidents de l'EEE, du Royaume-Uni, de la Suisse ou de tout autre pays similaire ; (b) le fournisseur informera le client s'il se trouve dans l'impossibilité de se conformer aux clauses contractuelles types ; et (c) si le fournisseur reçoit une demande concernant les données personnelles d'un client de la part d'un tiers, y compris d'une autorité gouvernementale ou judiciaire ou en vertu de l'article 702 de la loi Foreign Intelligence Surveillance Act, il mettra en œuvre tous les moyens commercialement raisonnables pour faire valoir les moyens de défense disponibles contre la divulgation et limitera la portée de toute divulgation légalement requise à ce qui est strictement nécessaire pour satisfaire à l'obligation de divulgation.