ANNEXE
Cet Accord sur la protection des données, incluant toutes les annexes ci-dessous (ll'« Accord sur la protection des données »), est conclu entre l'entreprise Seagate nommée dans l'Accord (« Seagate ») et le fournisseur tel qu'indiqué dans l'Accord (« Fournisseur ») (chacun une « partie » et collectivement les « parties »).
Le Fournisseur a signé un ou plusieurs bons de commande, contrats et/ou accords, y compris des cahiers des charges (le ou les « Accords ») ») avec Seagate, en vertu desquels le Fournisseur s'est engagé à fournir certains services à Seagate tels que décrits plus précisément dans le ou les Accords (« Services »).
Les parties concluent le présent Accord sur la protection des données afin de s'assurer que le Fournisseur traitera les Données à caractère personnel qui lui seront communiquées ou qu'il aura collectées pour Seagate et/ou en son nom d'une manière qui se veut conforme aux Lois sur la protection des données et à leurs conditions relatives à la collecte, l'utilisation et la conservation des Données à caractère personnel des personnes concernées.
Le présent Accord pour la protection des données est intégré aux Accords et en fait partie intégrante. Tous les termes en majuscules non définis dans le présent Accord sur la protection des données ont la signification qui leur est donnée dans le ou les Accords.
Les parties conviennent de ce qui suit :
- DÉFINITIONS
- Le terme « Société affiliée » désigne toute entité qui contrôle la partie concernée, est contrôlée par elle ou est sous contrôle commun avec elle.
- Le terme « Contrôle » désigne une propriété, un droit de vote ou une participation similaire représentant cinquante pour cent (50 %) ou plus des participations totales (mesurées sur une base entièrement diluée) alors en vigueur de l'entité en question. Le terme « Contrôlé » sera interprété en conséquence.
- Le terme « Violation des données » désigne la destruction, la perte, l'altération, la divulgation non autorisée, la consultation ou l'acquisition accidentelle ou illégale d'Informations personnelles Seagate, ou tout autre Traitement non autorisé de ces informations.
- Le terme « Lois sur la protection des données » désigne l'ensemble des lois, règles et réglementations du monde relatives à la protection, à la sécurité et à la confidentialité des données s'appliquant aux Données à caractère personnel en question, y compris, selon le cas : (i) la Loi européenne sur la protection des données ; (ii) l'ensemble des lois, règles et réglementations en vigueur aux États-Unis, y compris les Lois de sur la protection de la vie privée, telles que modifiées, remplacées ou mises à jour de temps à autre ; et (iii) les normes du secteur applicables adaptées à la nature des Données à caractère personnel.
- Le terme « Législation européenne sur la protection des données » désigne toutes les lois et réglementations relatives à la protection des données applicables à l'Union européenne (« UE ») ou à l'Espace économique européen (« EEE »), y compris :
- le Règlement général sur la protection des données 2016/679 (« RGPD de l'UE ») ;
- le RGPD tel qu'intégré dans la législation britannique en vertu de la section 3 de la Loi de 2018 sur l'Union européenne (retrait) du Royaume-Uni et la Loi de 2018 sur la protection des données au Royaume-Uni (le « RGPD britannique ») ;
- la Loi fédérale suisse sur la protection des données du 19 juin 1992 et ses ordonnances correspondantes (« LPD suisse ») ; et
- la Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ; et
- les mises en œuvre nationales applicables aux points (i),(ii) et (iii).
- Le terme « Personne concernée » désigne une personne physique identifiée ou identifiable au sujet de laquelle des Données à caractère personnel peuvent être Traitées en vertu du présent Accord sur la protection des données.
- Le terme « CCT de l'UE » désigne les clauses contractuelles annexées à la décision d'exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil.
- Le terme « Données à caractère personnel » renvoie à toute information protégée en tant que données personnelles, informations personnelles ou personnellement identifiables, ou termes similaires en vertu des Lois sur la protection des données.
- Le terme « Traiter » ou « Traitement » désigne, entre autres, les opérations exécutées sur les Informations personnelles Seagate, par des moyens automatisés ou non, telles que la collecte, l'enregistrement, l'organisation, la structuration, la modification, l'utilisation, la consultation, la divulgation, la diffusion, la copie, le transfert, le stockage ou tout autre moyen de conservation, la suppression, l'harmonisation, la combinaison, la limitation, l'adaptation, la récupération, la destruction ou l'élimination.
- Le terme « Transfert restreint » signifie :
- dans les cas où le RGPD de l'UE s'applique, un transfert de Données à caractère personnel de l'EEE vers un pays situé en dehors de l'EEE qui n'est pas soumis à une décision d'adéquation de la Commission européenne ;
- dans les cas où le RGPD britannique s'applique, un transfert de Données à caractère personnel du Royaume-Uni vers tout autre pays qui n'est pas soumis ou basé sur une réglementation d'adéquation conformément à la Section 17A de la Loi britannique sur la protection des données de 2018 ; et
- dans les cas où la LPD suisse s'applique, un transfert de Données à caractère personnel de la Suisse vers tout autre pays qui n'est pas basé sur une décision d'adéquation reconnue en vertu de la Loi suisse sur la protection des données.
- Le terme « Informations personnelles Seagate » désigne toute information protégée en tant que données à caractère personnel, informations personnelles ou personnellement identifiables en vertu des Lois sur la protection des données, qui sont créées, détenues ou fournies par Seagate ou pour Seagate, auxquelles le Fournisseur a accès, qu'il obtient, utilise, gère ou Traite au nom de Seagate dans le cadre des Accords conclus entre les parties et/ou leurs Sociétés affiliées.
- Le terme « Informations sensibles » désigne tous les types d'Informations personnelles Seagate suivants : (i) numéro de sécurité sociale, numéro d'identification fiscal, numéro de passeport, numéro de permis de conduire ou tout autre numéro d'identification émis par le gouvernement ; (ii) informations de carte bancaire, numéro de compte financier, avec ou sans codes ou mots de passe permettant d'accéder à des historiques de compte ou de crédit ; ou (iii) mention de race, de religion, d'ethnicité, de vie, de pratiques ou d'orientation sexuelles ; informations médicales, génétiques ou biométriques, modèles biométriques ; informations relatives aux opinions politiques ou philosophiques, à l'appartenance à un parti politique ou un syndicat ; informations de vérification d'antécédents ou données judiciaires telles que les casiers judiciaires, ou les informations relatives à d'autres procédures judiciaires ou administratives. Aux fins du présent Accord sur la protection des données, les Informations sensibles comprennent les informations personnelles sensibles, les données sensibles ou des termes similaires définis en vertu des Lois sur la protection des données, les catégories particulières de données telles que définies dans le RGPD européen et le RGPD britannique, ainsi que les données personnelles sensibles telles que définies dans la LPD suisse.
- Le terme « Clauses standard » désigne (le cas échéant) les CCT de l'UE, l'Addendum britannique et les modifications suisses visés à la Section 3.1(i)(3) du présent Accord sur la protection des données.
- Le terme « Sous-traitant indirect » désigne tout tiers engagé par le Fournisseur ou par un autre Sous-traitant indirect qui aura accès à des Informations personnelles Seagate, en recevra ou en traitera de toute autre manière.
- Le terme « Autorité de contrôle » désigne toute autorité de réglementation, de contrôle, gouvernementale, agence étatique, procureur général ou autre autorité ayant compétence ou contrôle sur le respect des Lois sur la protection des données.
- Le terme « Personnel du Fournisseur » désigne tout employé, entrepreneur, Sous-traitant indirect ou agent du Fournisseur autorisé par ce dernier à Traiter des Informations personnelles Seagate.
- Le terme « Addendum britannique » désigne l'Addendum international sur le transfert des données (version B1.0) publié par l'Information Commissioners Office en vertu de la S.119(A) de la Loi britannique sur la protection des données de 2018, tel que mis à jour ou amendé de temps à autre.
- Le terme « Lois américaines sur la protection de la vie privée » désigne l'ensemble des lois, règles et réglementations applicables en matière de confidentialité et de protection des données, et de cybersécurité auxquelles les Données à caractère personnel de l'Entreprise sont soumises.
- Les termes « Responsable du traitement », « Personne concernée », « Sous-traitant », « Entreprise », « Finalités commerciales », « Fins commerciales », « Collecter », « Consommateur », « Partager », « Vendre », « Autorité de contrôle » et « Prestataire de services » ont la signification qui leur est donnée par les Lois sur la protection des données.
- Le terme « inclure » doit être interprété comme signifiant « inclure, entre autres », et les termes apparentés doivent être interprétés en conséquence.
- SÉCURITÉ ET PROTECTION DES DONNÉES
- Statut des parties : en ce qui concerne les Informations personnelles Seagate, les parties reconnaissent et acceptent, dans le présent document, que le Fournisseur Traite ces Données à caractère personnel en tant que Sous-traitant, au nom de Seagate. Le Fournisseur reçoit instruction par la présente de Traiter les Données à caractère personnel dans la mesure où cela est nécessaire en vue de fournir les Services tels que définis dans le ou les Accords et le présent Accord sur la protection des données.
- Rôles dans le cadre de la loi CCPA : aux fins de la Loi sur la protection du consommateur de Californie de 2018 (Code civil de Californie, §§ 1798.100 et suivants) (« CCPA ») tel que modifiée par la Loi californienne sur la protection de la vie privée (« CPRA ») (le cas échéant), le Fournisseur s'engage à Traiter des Données à caractère personnel en tant que Prestataire de services agissant sur les instructions de Seagate en tant qu'Entreprise.
- Non-divulgation des Informations personnelles Seagate : le Fournisseur s'engage à ne divulguer les Informations personnelles Seagate d'aucune manière ni pour aucune finalité à aucun tiers sans avoir obtenu l'autorisation écrite préalable de Seagate, sauf aux Sous-traitants indirects dans les cas prévus à la Section 2.5 ci-dessous. Sans limiter ce qui précède, en aucun cas le Fournisseur ne peut vendre ou divulguer d'une quelconque façon les Informations personnelles Seagate à un tiers aux fins commerciales du Fournisseur ou d'un tiers. Toute personne autorisée à Traiter des Informations personnelles Seagate doit accepter contractuellement d'assurer la confidentialité desdites informations ou être soumise à une obligation légale appropriée.
- Limites relatives au Traitement : le Fournisseur s'engage à Traiter les Informations personnelles Seagate uniquement aux fins de fournir à Seagate les Services prévus dans le ou les Accords et ce conformément aux instructions légales documentées de Seagate (« Fins autorisées »). Dans cette optique, Seagate charge le Fournisseur de Traiter ses Informations personnelles aux fins décrites à l'Annexe I (Description du transfert). Le Fournisseur s'engage à ne pas Traiter ni autoriser que soient Traitées des Informations personnelles Seagate, sauf dans la mesure nécessaire pour fournir des services à Seagate conformément aux Accords conclus entre les parties et/ou leurs Sociétés affiliées ou à toute autre instruction écrite de Seagate.
- Exigences en matière de traitement : le Fournisseur s'engage à tout moment : (a) à Traiter les Données à caractère personnel aux seules Fins autorisées ; et (b) à ne pas Traiter les Données à caractère personnel à ses propres fins ou à celles d'une tierce partie. Le Fournisseur n'est pas autorisé : (i) à Vendre ou à Partager des Données à caractère personnel ; (ii) à conserver, utiliser ou divulguer des Données à caractère personnel à des fins autres que les Fins autorisées, y compris à conserver, utiliser ou divulguer ces données à des fins commerciales autres que la fourniture des Services prévus par le ou les Accords ; ni (iii) à conserver, utiliser ou divulguer des Données à caractère personnel en dehors de la relation commerciale directe entre Seagate et le Fournisseur. Le Fournisseur s'engage à informer Seagate s'il ne peut plus remplir ses obligations en vertu de la loi CCPA/CPRA. Le Fournisseur certifie avoir compris les exigences et restrictions stipulées dans la présente Section 2.5 et s'engage à s'y conformer. Il s'engage en outre à respecter les exigences applicables aux Fournisseurs de services selon la loi CCPA/CPRA. En outre, les Parties acceptent et reconnaissent que l'échange des Données à caractère personnel entre elles ne constitue pas une vente et ne fait pas partie d'une contrepartie monétaire ou d'une autre valeur échangée entre les Parties en ce qui concerne les Accords ou le présent Accord sur la protection des données. Dans tous les cas, le Fournisseur s'engage à ne pas combiner des Données à caractère personnel reçues de la part de Seagate avec des Données à caractère personnel que le Fournisseur reçoit d'une ou plusieurs autres personnes, ou pour leur compte, ou que le Fournisseur collecte à partir de toute interaction entre lui et un Consommateur. Seagate et le Fournisseur déclarent avoir lu et compris les exigences énoncées dans le cadre de la loi CCPA/CPRA.
- Programme de sécurité des informations : le Fournisseur mettra en œuvre, maintiendra, surveillera et, au besoin, mettra à jour un programme écrit complet de sécurité des informations qui contient les mesures de protection administratives, techniques et physiques appropriées pour protéger les Informations personnelles Seagate contre les menaces ou les dangers prévus à l'encontre de sa sécurité, sa confidentialité ou son intégrité (comme l'accès non autorisé, la collecte, l'utilisation, la copie, la modification, l'élimination ou la divulgation, la perte non autorisée, illicite ou accidentelle, la destruction, l'acquisition, la détérioration ou tout autre Traitement non autorisé) (« Programme de sécurité des informations »). Le Programme de sécurité des informations comprend les exigences et les mesures énumérées dans les Normes de sécurité figurant à l'Annexe II.
- Restrictions relatives aux Sous-traitants indirects : le Fournisseur peut divulguer si nécessaire les Informations personnelles Seagate à des Sous-traitants indirects pour fournir ses services à Seagate, sous réserve des conditions visées à la Section 2.7. Le Fournisseur s'engage à tenir à jour une liste des Sous-traitants indirects auxquels il divulgue les Informations personnelles Seagate, et à fournir cette liste à Seagate à sa demande. À la date d'entrée en vigueur du ou des Accords, le cas échéant, une liste à jour des Sous-traitants indirects du Fournisseur est incluse dans le ou les Accords ou dans tout autre document remis par le Fournisseur à Seagate et dûment signé par les deux parties, établissant la liste des Sous-traitants indirects. Le Fournisseur s'engage à aviser Seagate à l'adresse corporatecontracts@seagate.com au moins 30 jours ouvrés avant d'ajouter tout Sous-traitant indirect à cette liste. Si Seagate ne s'oppose pas au Sous-traitant proposé dans les 30 jours ouvrés suivant la réception de l'avis, le Sous-traitant est réputé avoir été approuvé. Si Seagate refuse l'accès d'un Sous-traitant aux Informations personnelles Seagate, le Fournisseur s'engage à ne pas divulguer les informations en question audit Sous-traitant. Si, à tout moment, l'une ou l'autre des parties constate qu'un Sous-traitant ne fournit pas des garanties de sécurité suffisantes en rapport avec le risque associé au traitement des Informations personnelles Seagate, Seagate peut, à sa seule discrétion, supprimer le Sous-traitant de la liste. Dans le cas où Seagate refuse un Sous-traitant ou le supprime de la liste, le Fournisseur dispose d'un délai raisonnable pour le remplacer. Si le Fournisseur ne peut pas fournir les Services sans divulguer les Informations personnelles Seagate au Sous-traitant indirect refusé, Seagate peut résilier tout Accord applicable entre les parties et/ou leurs Sociétés affiliées, sans encourir aucun coût ni aucune responsabilité à l'égard du Fournisseur.
- Conformité et manquement du Sous-traitant indirect : le recours à des Sous-traitants par le Fournisseur ne réduit pas l'obligation de ce dernier à se conformer au présent Accord sur la protection des données ou aux lois applicables en la matière. Le Fournisseur est responsable envers Seagate de l'exécution des services, des violations de la confidentialité des données et des infractions au présent Accord sur la protection des données et aux lois applicables en la matière par ses Sous-traitants dans la même mesure que s'il les avait lui-même enfreints.
- Obligations du personnel et des Sous-traitants indirects du Fournisseur : le Fournisseur s'engage à s'assurer que toute personne ou tout Sous-traitant indirect qui a accès à des Informations personnelles Seagate est lié par un accord écrit contenant au moins des clauses aussi restrictives que celles indiquées dans le présent Accord sur la protection des données. Le Fournisseur s'engage à veiller à ce que toutes les obligations en matière de respect de la vie privée et de protection des données soient maintenues après la fin de leur Traitement pour Seagate. Cette obligation est maintenue indéfiniment, ou au moins jusqu'à ce que le Fournisseur ait certifié que toutes les Informations personnelles Seagate ont été supprimées, détruites et qu'elles sont irrémédiablement irrécupérables.
- Accès limité : le Fournisseur s'engage à limiter l'accès aux Informations personnelles Seagate à son Personnel ou aux Sous-traitants indirects qui en ont besoin pour exécuter les obligations qui lui incombent en vertu du ou des Accords conclus entre les parties et/ou leurs Sociétés affiliées ou des instructions écrites de Seagate, qui ont (a) été formés aux exigences de protection des données et de sécurité, et (b) ont accepté de respecter des exigences de confidentialité des données au moins aussi strictes que celles requises par Seagate pendant et après leur Traitement pour Seagate.
- Avis de demandes ou de réclamations : sauf si la loi l'interdit, le Fournisseur s'engage à informer Seagate à l'adresse data.protection.officer@seagate.com dans un délai de 2 jours ouvrés après la réception d'une demande ou d'une réclamation relative au Traitement d'Informations personnelles Seagate, y compris :
- des demandes d'une Personne concernée portant sur la portabilité des données, des demandes d'accès, de modification, de suppression ou de restriction, et des demandes similaires, ou
- des plaintes ou des allégations que le Traitement enfreint les droits d'une Personne concernée.
- Réponses du Fournisseur : le Fournisseur s'engage à ne pas répondre à une demande ou une réclamation en vertu de la Section 2.11 sans en avoir été expressément autorisé par Seagate. Le Fournisseur s'engage à coopérer avec Seagate à l'égard de toute action relative à toute demande ou réclamation, y compris, entre autres, les demandes de suppression. Le Fournisseur s'engage à essayer de mettre en place les procédures appropriées (y compris les mesures techniques et organisationnelles) afin d'aider Seagate à répondre aux demandes et aux réclamations, sauf si la loi l'interdit.
- Demandes de divulgation : sauf si la loi l'interdit, le Fournisseur s'engage à aviser immédiatement Seagate de la réception d'un document demandant ou prétendant imposer la divulgation d'Informations personnelles Seagate (telles que des questions orales, des interrogatoires, des demandes d'informations ou de documents dans des procédures judiciaires, des assignations à comparaître, des demandes d'enquête civile ou d'autres demandes ou procédures similaires, collectivement désignées par le terme « Demandes de divulgation »). Si une Demande de divulgation n'est pas contraignante, le Fournisseur s'engage à ne pas répondre. Si une Demande de divulgation est contraignante, le Fournisseur s'engage, sauf si la loi applicable l'interdit, à aviser Seagate avec un préavis d'au moins 48 heures avant de répondre, de façon que Seagate puisse exercer ses droits éventuels d'empêcher ou de limiter la divulgation. Le Fournisseur s'engage à déployer des efforts raisonnables pour empêcher et limiter toute divulgation ou pour protéger la confidentialité d'Informations personnelles Seagate. Le Fournisseur s'engage à coopérer avec Seagate concernant toute action prise en réponse à la Demande de divulgation, y compris à coopérer pour obtenir une ordonnance conservatoire appropriée ou toute autre garantie de protection de la confidentialité des Informations personnelles Seagate.
- Coopération : le Fournisseur s'engage à aider Seagate à respecter ses obligations conformément aux Lois sur la protection des données concernant (a) l'enregistrement et la notification ; (b) la responsabilité ; (c) la garantie de la sécurité des Informations personnelles Seagate ; et (d) l'exécution des évaluations d'impact de la protection de la vie privée et des données (y compris les audits et évaluations des risques en vertu des Lois sur la protection des données), et des consultations associées des Autorités de contrôle.
- Participation à des enquêtes réglementaires : le Fournisseur s'engage à assister Seagate dans toute enquête effectuée par une Autorité de contrôle dans la mesure où une telle enquête est liée à des Informations personnelles Seagate traitées par le Fournisseur ou l'un de ses Sous-traitants indirects.
- Avis de violations possibles ou d'incapacité de se conformer : le Fournisseur s'engage à aviser immédiatement Seagate si :
- le Fournisseur a des raisons de penser que des instructions de Seagate concernant le Traitement des Informations personnelles Seagate pourraient enfreindre la loi applicable ;
- le Fournisseur a des raisons de penser qu'il n'est pas en mesure de respecter l'une de ses obligations en vertu du présent Accord sur la protection des données ou des lois applicables en la matière, et ne peut pas remédier à cette incapacité dans un délai raisonnable ; ou
- le Fournisseur est informé de circonstances ou de modifications de la loi applicable susceptibles de l'empêcher de remplir ses obligations en vertu du présent Accord sur la protection des données.
- Suspension ou ajustement des exigences à respecter : Seagate peut suspendre le Traitement des Informations personnelles Seagate par le Fournisseur ou ses Sous-traitants indirects afin de prévenir toute violation potentielle ou non-conformité à la loi applicable, au présent Accord sur la protection des données ou à tout Accord applicable entre les parties et/ou leurs Sociétés affiliées concernant la protection de la vie privée ou des données. Le Fournisseur s'engage à coopérer avec Seagate pour ajuster le Traitement pour remédier à une violation ou un manquement potentiels. Si aucun ajustement n'est possible, Seagate peut résilier les Accords applicables entre les parties et/ou leurs Sociétés affiliées, sans encourir aucun coût ni aucune responsabilité à l'égard du Fournisseur.
- TRANSFERTS DE DONNÉES
- Clauses standard de l'Espace économique européen, du Royaume-Uni et de la Suisse.
- Les parties conviennent que lorsque le transfert des Informations personnelles Seagate au Fournisseur est un Transfert restreint, il est soumis aux Clauses standard appropriées, qui sont automatiquement intégrées par voie de référence et font partie intégrante du présent Accord sur la protection des données, comme indiqué ci-dessous :
- en ce qui concerne les Informations personnelles Seagate qui sont protégées par le RGPD de l'UE, les CCT de l'UE s'appliqueront comme suit :
- Seagate sera l'exportateur de données et le Fournisseur l'importateur ;
- le Module 2 (C2P) s'appliquera ;
- à la Clause 7, la clause d'amarrage facultatif s'applique ;
- à la Clause 9 du Module 2 (C2P), l'Option 2 s'appliquera, et le délai de notification préalable des changements de Sous-traitants indirects sera celui prévu à la Section 7 du présent Accord sur la protection des données ;
- à la Clause 11, la langue optionnelle ne s'appliquera pas ;
- à la Clause 17,
- pour le Module 2 (C2P), l'Option 1 s'appliquera, et
- les CCT de l'UE seront régies par la loi irlandaise ;
- à la Clause 18(b), les litiges seront portés devant les tribunaux irlandais ;
- l'Annexe I des CCT de l'UE est réputée complétée par les informations figurant à l'Annexe I du présent Accord sur la protection des données ; et
- l'Annexe II des CCT de l'UE est réputée complétée par les informations figurant à l'Annexe II du présent Accord sur la protection des données.
- En ce qui concerne les données qui sont protégées par le RGPD britannique, les CCT de l'UE : (i) s'appliquent telles qu'elles ont été complétées au paragraphe (1) ci-dessus ; et (ii) sont réputées modifiées tel que spécifié dans l'Addendum britannique, qui est réputé signé par les parties et intégré au présent Accord sur la protection des données dont il fait partie intégrante. Tout conflit entre les termes des CCT de l'UE et l'Addendum britannique sera résolu conformément aux Sections 10 et 11 de l'Addendum britannique. En outre, les tableaux 1 à 3 de la Partie 1 de l'Addendum britannique sont complétés respectivement par les informations figurant aux Annexes I et II du présent Accord sur la protection des données, et le tableau 4 de la Partie 1 est réputé complété par la sélection d'« aucune des parties ».
- En ce qui concerne les Informations personnelles de l'Entreprise qui sont protégées par la LPD suisse, les CCT de l'UE, telles que mises en œuvre conformément au paragraphe (1) ci-dessus, s'appliqueront à condition que :
- les références prévues dans les CCT de l'UE au « Règlement (UE) 2016/679 » ou au « RGPD » doivent être interprétées comme des références à la loi fédérale suisse sur la protection des données (LPD) ;
- les références à l'« UE », à l'« Union » et au « droit de l'État membre » sont interprétées comme des références à la Suisse et au droit suisse, selon le cas ;
- le terme « État membre » ne doit pas être interprété de manière à exclure les personnes concernées en Suisse de la possibilité de faire valoir leurs droits dans leur lieu de résidence habituelle (Suisse) ;
- les clauses des CCT de l'UE doivent être interprétées comme protégeant les données des personnes morales jusqu'à l'entrée en vigueur de la Loi fédérale sur la protection des données révisée ; et
- les références à l'Autorité de contrôle compétente et aux tribunaux compétents soient interprétées comme des références au Préposé fédéral à la protection des données et à la transparence (PFPDT) et aux tribunaux compétents en Suisse.
- Si une disposition du présent Accord sur la protection des données ou des Accords contredit directement ou indirectement les Clauses standard, ces dernières prévalent.
- Le Fournisseur s'engage à s'assurer que tous les Sous-traitants exécutent également les Clauses standard, le cas échéant.
- Mécanismes de transfert alternatifs : si le Fournisseur adopte un mécanisme d'exportation de données alternatif non décrit dans le présent Accord sur la protection des données (y compris toute nouvelle version ou tout nouveau cadre des Clauses standard adoptés en vertu de la Législation européenne sur la protection des données) pour le transfert des Données à caractère personnel (« Mécanisme de transfert alternatif »), ledit Mécanisme s'applique en lieu et place de celui décrit dans le présent Accord sur la protection des données (à la condition que ce Mécanisme de transfert alternatif (i) soit conforme à la Législation européenne sur la protection des données, (ii) couvre les territoires vers lesquels les Données à caractère personnel sont transférées, et (iii) réponde aux considérations de notification ci-dessous, et (iv) le Fournisseur signe ces documents et prenne toutes les mesures raisonnablement nécessaires pour donner un effet juridique audit Mécanisme de transfert alternatif. En outre, si un tribunal compétent ou une autorité de contrôle ayant un pouvoir contraignant juge ou détermine (pour quelque motif que ce soit) que les mesures décrites dans le présent Accord ne permettent pas de transférer les Informations personnelles Seagate conformément à la loi, Seagate accepte que, conformément aux dispositions relatives à la notification décrites ci-dessous, le Fournisseur peut mettre en œuvre les mesures ou protections supplémentaires raisonnablement requises pour permettre le transfert desdites Informations personnelles Seagate dans le respect de la loi. Conformément aux dispositions relatives à la notification, le Fournisseur doit informer Seagate à l'adresse data.protection.officer@seagate.com au moins 30 jours ouvrés avant la mise en œuvre de Mécanismes de transfert alternatifs ou de toute mesure supplémentaire. Si Seagate ne s'oppose pas au Mécanisme de transfert alternatif proposé ou aux autres mesures dans les 30 jours ouvrés suivant la réception de la notification, le Mécanisme ou les mesures sont réputés avoir été approuvés. Si Seagate s'oppose à un tel Mécanisme de transfert alternatif ou à de telles mesures supplémentaires, le Fournisseur n'utilisera pas ce Mécanisme ni ces autres mesures. Si Seagate s'oppose à un Mécanisme de transfert alternatif ou à toute autre mesure, Seagate peut, à sa seule discrétion, résilier les Accords applicables conclus entre les parties et/ou leurs Sociétés affiliées sans encourir aucun coût ni aucune responsabilité à l'égard du Fournisseur.
- Transferts en dehors de pays où l'exportation de données est réglementée : lorsque des Lois sur la protection des données restreignent les exportations de données en imposant de prendre des mesures supplémentaires pour autoriser le transfert d'Informations personnelles Seagate au Fournisseur (ou à ses Sous-traitants indirects), le Fournisseur s'engage à se conformer auxdites exigences en matière de protection des données, y compris en obtenant les consentements requis ou en concluant les contrats de transfert de données requis (par exemple, des clauses contractuelles types) ou en recourant à une autre solution garantissant une protection appropriée pour un tel transfert.
- Autres dispositions relatives à la compétence juridictionnelle : le cas échéant, le Fournisseur s'engage à respecter les Exigences de juridictions particulières jointes dans l'Annexe III.
- CONFORMITÉ ET RESPONSABILITÉ
- Conformité : le Fournisseur s'engage à s'assurer que le Traitement des Informations personnelles Seagate par ses soins et par ses Sous-traitants respecte toutes les lois applicables, tous les cadres d'autoréglementation et toutes les exigences contractuelles applicables au Fournisseur et à ses Sous-traitants. Le Fournisseur s'engage à examiner annuellement les pratiques de ses Sous-traitants afin de s'assurer de leur conformité avec le présent Accord sur la protection des données et avec toutes les lois applicables. Le Fournisseur s'engage à coopérer à ses propres frais pour répondre aux demandes de Seagate que le Fournisseur établisse la preuve de sa conformité avec les conditions de protection et de sécurité des données stipulées dans le présent Accord sur la protection des données.
- Registre des activités de traitement : le Fournisseur s'engage à conserver un registre à jour répertoriant les informations suivantes : les coordonnées du représentant et du responsable de la protection des données du Fournisseur ; les catégories d'activités de traitement effectuées ; les informations concernant l'exportation de données ; la description générale des mesures de sécurité mises en œuvre en ce qui concerne les données traitées ; le nom, les coordonnées et les détails du traitement de chaque Sous-traitant ayant accès aux Informations personnelles de Seagate et, le cas échéant, du représentant et du responsable de la protection des données des Sous-traitants. Sur demande, le Fournisseur fournira un historique et une copie actualisée de ce registre à Seagate ou à l'Autorité de contrôle.
- Audit : le Fournisseur mettra à la disposition de Seagate, sur demande écrite, toutes les informations nécessaires pour démontrer la conformité au présent Accord sur la protection des données et aux Lois sur la protection des données. Il devra, par ailleurs, faciliter les audits, y compris les inspections sur site, par Seagate ou un auditeur tiers indépendant mandaté par Seagate en relation avec le Traitement des Informations personnelles Seagate, et y contribuer. Tout auditeur tiers indépendant est tenu de conclure un accord de non-divulgation avec les parties. Le Fournisseur s'engage à remédier à toute non-conformité dans un délai raisonnable. Si aucune correction n'est possible, Seagate peut résilier les Accords applicables conclus entre les parties et/ou leurs Sociétés affiliées, sans encourir aucun coût ni aucune responsabilité à l'égard du Fournisseur.
- RESPONSABILITÉS DU FOURNISSEUR APRÈS UNE VIOLATION DES DONNÉES
- Notification de la violation des données : le Fournisseur s'engage à aviser Seagate par écrit de toute Violation des données connue ou suspectée dans un délai maximum de 24 heures après avoir eu connaissance pour la première fois de ladite violation. Il s'engage, par ailleurs, à effectuer immédiatement les actions suivantes :
- aviser Seagate de la Violation des données par l'envoi d'un e-mail à l'adresse suivante : data.protection.officer@seagate.com ;
- enquêter sur l'incident de sécurité ou apporter son aide dans cette démarche ;
- fournir à Seagate des renseignements détaillés sur la Violation des données, y compris, mais de façon non limitative, les catégories, l'emplacement et le nombre approximatif de Personnes concernées ainsi que les catégories, l'emplacement et le nombre approximatif de dossiers d'Informations personnelles Seagate ; continuer à fournir rapidement à Seagate des renseignements supplémentaires sur la Violation des données dès que ceux-ci sont disponibles ;
- déployer des efforts commercialement raisonnables pour limiter les conséquences de la Violation des données, ou assister Seagate dans cette démarche ; et
- mettre en place un plan correctif, soumis à l'approbation de Seagate, et surveiller la résolution des Violations des données et des vulnérabilités liées aux Informations personnelles Seagate pour veiller à l'application opportune d'une action corrective pertinente.
- Maîtrise et correction : le Fournisseur s'engage à maîtriser et corriger immédiatement toute Violation des données et à prévenir toute nouvelle violation de ce type. De plus, il s'engage à prendre toutes les mesures nécessaires pour se conformer aux Lois sur la protection des données et aux normes du secteur applicables en vue de maîtriser et de corriger toute Violation des données.
- Communications : le Fournisseur s'engage à ne divulguer aucune communication relative à une Violation des données, d'aucune manière qui identifierait ou qui serait raisonnablement susceptible d'identifier Seagate, ou d'en révéler l'identité, sans l'accord préalable de Seagate.
- Conservation des éléments de preuve : le Fournisseur s'engage à conserver un plan de réponse aux incidents. Après la découverte d'une Violation des données, le Fournisseur s'engage à conserver les éléments de preuve liés à la Violation et maintenir une chaîne de commandement claire conforme à son plan de réponse aux incidents.
- Coopération : le Fournisseur s'engage à coopérer avec Seagate dans tout litige, toute enquête ou toute autre action demandée par Seagate en vue de protéger les droits de Seagate en lien avec l'utilisation, la divulgation, la protection et la conservation d'Informations personnelles Seagate. Le Fournisseur s'engage en outre à fournir l'assistance et la coopération raisonnables demandées par Seagate et/ou ses représentants désignés, dans la poursuite de toute correction, rectification ou recherche d'une Violation des données et/ou l'atténuation de tout dommage potentiel, y compris tout avis que Seagate peut juger approprié d'envoyer aux Personnes concernées, aux régulateurs ou aux tiers, et/ou la fourniture de tout service de rapport de crédit que Seagate estime approprié de fournir à ces Personnes. Le Fournisseur est responsable des dépenses raisonnablement engagées par Seagate en lien avec la Violation des données par le Fournisseur, y compris, mais sans s'y limiter, les enquêtes, les mesures correctives et les notifications.
- RETOUR ET SUPPRESSION SÉCURISÉE DES INFORMATIONS PERSONNELLES SEAGATE
- Intégrité des données : le Fournisseur s'engage à respecter toutes les instructions de Seagate en matière de conservation de l'intégrité, notamment, à mener les actions suivantes : (a) éliminer les Informations personnelles Seagate qui sont conservées par le Fournisseur, mais qui ne sont plus nécessaires à la fourniture des Services, sauf si la conservation des Informations personnelles Seagate est requise par les Lois sur la protection des données ; (b) s'assurer que toutes les Informations personnelles Seagate créées par le Fournisseur pour le compte de Seagate sont exactes et tenues à jour ; et (c) à la demande de Seagate, autoriser Seagate à accéder à toutes les Informations personnelles, toutes ces actions devant être menées en conformité avec les lois applicables.
- Retour et suppression des Informations personnelles Seagate : à la suite de l'événement qui parmi les deux événements suivants survient en premier, à savoir la (a) demande par Seagate ou (b) l'expiration ou la résiliation anticipée du ou des Accords conclus entre les parties et/ou leurs Sociétés affiliées en lien avec le Traitement des Informations personnelles Seagate, le Fournisseur s'engage, à la seule discrétion de Seagate, à exporter lesdites Informations Seagate ou à exiger de ses Sous-traitants indirects qu'ils les exportent, ou à donner à Seagate, ou à la personne désignée par Seagate comme étant habilitée à les exporter, la possibilité d'exporter toutes les Informations personnelles Seagate dans un format informatisé et interopérable déterminé par Seagate, sauf si la conservation des Informations personnelles Seagate est requise par les Lois sur la protection des données. Le Fournisseur s'engage à conserver les Informations personnelles Seagate pendant la durée que la société Seagate juge raisonnablement nécessaire pour lui permettre d'accéder à ces Informations, et de les exporter sans aucun coût. Chaque partie s'engage à identifier une personne à contacter pour effectuer la migration des Informations personnelles Seagate, et à agir promptement, avec diligence et en toute bonne foi pour faciliter un transfert rapide. Dans un délai de 90 jours suivant (a) la confirmation par Seagate de la réception et de la migration correctes des Informations personnelles Seagate ou (b) l'information du Fournisseur, par Seagate, de sa volonté de ne pas migrer lesdites Informations, le Fournisseur et les Sous-traitants s'engagent à détruire de manière sécurisée toutes les Informations personnelles Seagate, à supprimer le lien des identifiants d'espace de travail de Seagate, et remplacer par de nouvelles données ou détruire de toute autre manière les Informations personnelles Seagate par le biais d'une méthode approuvée d'écrasement des données.
- Destruction des Informations personnelles Seagate : si le Fournisseur élimine des supports papier, électroniques ou autres contenant des Informations personnelles Seagate, le Fournisseur s'engage à le faire en prenant toutes les mesures raisonnables (selon la sensibilité desdites Informations personnelles Seagate) pour détruire les Informations personnelles Seagate, sauf si la conservation des Informations personnelles Seagate est requise par les Lois sur la protection des données, par : (a) déchiquetage, (b) effacement et suppression permanents, (c) démagnétisation ou (d) modification des Informations personnelles Seagate pour les rendre illisibles, non reconstructibles et indéchiffrables. Si le Fournisseur déclasse ou met hors service de toute autre manière un disque dur contenant une copie des Informations personnelles Seagate, le Fournisseur s'engage à déchiqueter ou détruire de façon fiable le disque de manière à rendre illisibles et à détruire lesdites Informations conformément aux normes NIST 800-88, révision 1. Le Fournisseur s'engage à certifier par écrit que le disque a été déchiqueté ou détruit, et que les Informations personnelles Seagate ne peuvent être lues, récupérées, ni reconstruites d'aucune autre manière.
- Avis de conservation : si le Fournisseur a une obligation légale de conserver les Informations personnelles Seagate au-delà de la période permise par le présent Accord sur la protection des données, il doit en aviser Seagate par écrit, limiter le Traitement des Informations personnelles Seagate à la seule conservation desdites Informations dans le cadre de ses obligations légales de Fournisseur, et s'engage à retourner ou détruire les Informations personnelles Seagate dès que possible après la fin de la période de conservation légale. Le présent Accord sur la protection des données demeurera en vigueur jusqu'à ce que le Fournisseur cesse d'avoir la garde, le contrôle ou l'accès à des Informations personnelles Seagate.
- Documentation : le Fournisseur s'engage à documenter les conditions dans lesquelles il conserve ou élimine des Informations personnelles Seagate en vertu du présent Accord sur la protection des données. À la demande de Seagate, le Fournisseur s'engage à fournir un document de conservation et un certificat écrit précisant que les Informations personnelles Seagate ont été détruites de façon sécurisée en vertu du présent Accord sur la protection des données.
- DIVERS
- Durée : le présent Accord sur la protection des données demeurera en vigueur jusqu'à (i) ce qu'il n'y ait aucun autre Accord actif entre les parties et (ii) que le Fournisseur ait cessé d'avoir la garde, le contrôle ou l'accès à des Informations personnelles Seagate. Le Fournisseur s'engage à Traiter les Informations personnelles Seagate jusqu'à ce que la relation prenne fin, comme spécifié dans l'Accord. Les obligations du Fournisseur et les droits de Seagate en vertu du présent Accord sur la protection des données restent en vigueur tant que le Fournisseur traite les Informations personnelles Seagate.
- Ordre de priorité : en cas de divergences entre le présent Accord sur la protection des données et les Accords conclus entre les parties et/ou leurs Sociétés affiliées, les dispositions des présentes prévaudront, sauf en cas de divergences relatives à l'Annexe II (Normes de sécurité), auquel cas les autres Accords prévaudront, dans la mesure où les normes de sécurité de ces autres Accords s'ajoutent aux exigences minimales énoncées à l'Annexe II. Le présent Accord sur la protection des données ne saurait limiter ou restreindre les Clauses standard. Il ne doit être considéré que comme un complément.
- Mises à jour : le Fournisseur s'engage à collaborer raisonnablement pour mettre à jour le présent Accord sur la protection des données selon les besoins, afin d'assurer le respect des lois et règlements applicables.
- Tiers bénéficiaires : les Sociétés affiliées de Seagate sont des tiers bénéficiaires désignés du présent Accord ; chacune d'elles peut appliquer les dispositions des présentes comme si elle était un signataire dudit Accord. Seagate peut également appliquer les dispositions du présent Accord sur la protection des données pour le compte de ses Sociétés affiliées, au lieu d'introduire une cause d'action de façon séparée à l'encontre du Fournisseur.
- Communication de l'Accord sur la protection des données à l'Autorité de contrôle : Seagate peut fournir un résumé ou une copie du présent Accord sur la protection des données à toute Autorité de contrôle.
- Principe de séparation : Si l'une des dispositions du présent Accord sur la protection des données est inefficace ou nulle, les autres dispositions n'en sont pas affectées. Les parties doivent remplacer la disposition non valide ou nulle par une disposition légale qui reflète l'objet de la disposition en question. En cas d'absence d'une disposition nécessaire, les parties doivent en ajouter une qui soit appropriée et de bonne foi.
- Interprétation : les rubriques du présent Accord sur la protection des données ne sont fournies qu'à titre indicatif et n'auront aucune incidence sur l'interprétation des présentes.
ANNEXE I
DESCRIPTION DU TRAITEMENT DES DONNÉES
Cette Annexe I fait partie des Clauses standard.
MODULE DEUX : Transfert – Responsable du traitement à Sous-traitant (pertinent pour les Informations personnelles Seagate) (C2P)
A. LISTE DES PARTIES
EXPORTATEUR DE DONNÉES |
Nom et adresse | Seagate Technology LLC signant au nom de ses Sociétés affiliées et filiales 47488 Kato Road, Fremont, CA, 94538 |
Nom et coordonnées du contact | Seagate Technology LLC signant au nom de ses Sociétés affiliées et filiales 47488 Kato Road, Fremont, CA, 94538 data.protection.officer@seagate.com |
Activités en rapport avec les données transférées en vertu des présentes Clauses standard | Seagate Technology LLC, signant au nom de ses Sociétés affiliées et filiales, est un fournisseur de produits matériels, de solutions logicielles et de services facilitant la gestion des activités dans différents secteurs. |
Signature et date : | En concluant les Accords incluant cet Accord sur la protection des données, l'exportateur de données est réputé avoir signé les présentes Clauses standard qui y sont incorporées, y compris leurs Annexes, à la date d'entrée en vigueur desdits Accords. |
Rôle de l'exportateur de données (Responsable du traitement/Sous-traitant) : | Défini à la Section 2.1 (Statut des Parties) du présent Accord sur la protection des données. |
IMPORTATEUR DE DONNÉES |
Nom et adresse | Nom et adresse du Fournisseur (tels que spécifiés dans le ou les Accords) |
Nom, fonction et coordonnées du contact : | Nom et adresse du Fournisseur (tels que spécifiés dans les Accords) |
Activités en rapport avec les données transférées en vertu des présentes Clauses standard : | Le Fournisseur est un prestataire de services et d'assistance auprès de l'exportateur de données, tel que décrit dans les Accords. |
Signature et date : | En concluant les Accords incluant cet Accord sur la protection des données, l'importateur de données est réputé avoir signé les présentes Clauses standard qui y sont incorporées, y compris leurs Annexes, à la date d'entrée en vigueur des Accords. |
Rôle de l'importateur de données | Défini à la Section 2.1 (Statut des Parties) du présent Accord sur la protection des données. |
B. DESCRIPTION DU TRANSFERT
Catégories de personnes concernées | Les données à caractère personnel transférées peuvent être associées aux catégories suivantes de personnes concernées : - antérieur et actuel : o employés, conseillers, consultants, fournisseurs, entrepreneurs, sous-traitants et agents de Seagate ; o partenaires commerciaux et partenaires commerciaux potentiels de Seagate, et leurs employés, partenaires, conseillers, consultants, fournisseurs, entrepreneurs, sous-traitants et agents ; o prospects potentiels, et les clients antérieurs et actuels ; o clients antérieurs et actuels de Seagate, et leurs employés, partenaires, conseillers, consultants, fournisseurs, entrepreneurs, sous-traitants et agents. |
Catégories de données à caractère personnel transférées | Données à caractère personnel remises au Fournisseur par Seagate ou au nom de Seagate, ou collectées par ses soins, en rapport avec les Catégories de personnes concernées énoncées ci-dessus, et dont le Fournisseur a besoin pour proposer les Services à Seagate en vertu des Accords et conformément aux instructions légales documentées de Seagate, susceptibles de comporter des coordonnées, telles que le prénom, le nom, l'adresse e-mail, l'adresse professionnelle, le numéro de téléphone et toute autre donnée à caractère personnel fournie par Seagate. |
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées tenant pleinement compte de la nature des données et des risques inhérents** | Telles que définies dans les Accords |
Fréquence du transfert | Continue, sauf indication contraire dans les Accords ou dans un document conclu entre les parties. |
Nature du Traitement/des Activités de traitement | Telle que décrite dans les Accords. |
Finalité du transfert et du traitement des données | Fournir les Services en vertu des Accords pertinents. |
Période pendant laquelle les données à caractère personnel seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période | Les données à caractère personnel seront conservées : (a) conformément à la Section 6.2 du présent Accord sur la protection des données (retour et suppression des Informations personnelles Seagate) ; ou (b) tel que l'exige la loi ; ou (c) pour la durée fixée dans les Accords ou tout autre document conclu entre les parties et contenant les informations pertinentes applicables aux Services concernés ; la plus longue de ces périodes étant retenue. |
Pour les transferts à des sous-traitants indirects, préciser également l'objet, la nature et la durée du traitement | Le Fournisseur doit indiquer l'objet, la nature et la durée du traitement des transferts aux sous-traitants indirects à l'adresse data.protection.officer@seagate.com, si ces informations ne sont pas par ailleurs déjà stipulées dans les Accords ou tout autre document convenu entre les parties. |
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
L'autorité de contrôle compétente, conformément à la Clause 13 des CCT de l'UE, est soit (i) l'autorité de contrôle applicable à l'exportateur de données dans son pays d'établissement dans l'EEE, soit (ii) lorsque l'exportateur des données n'est pas établi dans l'EEE, l'autorité de contrôle applicable dans le pays de l'EEE où le représentant de l'UE de l'exportateur des données a été désigné conformément à l'article 27, paragraphe 1, du RGPD de l'UE, soit (iii) lorsque l'exportateur des données n'est pas obligé de désigner un représentant, l'autorité de contrôle applicable au pays de l'EEE où se trouvent les personnes concernées par le transfert. En ce qui concerne le Traitement des Données à caractère personnel auxquelles le RGPD britannique s'applique, l'autorité de contrôle compétente est l'Information Commissioners Office (l'« ICO »). En ce qui concerne le Traitement des données à caractère personnel auxquelles la Loi fédérale suisse sur la protection des données (LPD) s'applique, l'autorité de contrôle compétente est le Préposé fédéral à la protection des données et à la transparence.
ANNEXE II
NORMES DE SÉCURITÉ
Cette Annexe II fait partie des Clauses standard.
La présente Annexe II représente les mesures de sécurité minimales qui seront prises par le Fournisseur. Si un ou plusieurs Accords entre les parties exigent que le Fournisseur ait un niveau de sécurité plus élevé ou des mesures de sécurité plus étendues, le Fournisseur s'engage à respecter ces conditions. Le Fournisseur doit maintenir et appliquer divers processus, politiques et normes conçus pour sécuriser les Informations personnelles Seagate et d'autres données conformément aux normes de l'industrie, par exemple le référentiel cybersécurité du NIST et les normes ISO 27001 ou 27002, auxquelles les employés du Fournisseur ont accès.
- Politiques et normes de sécurité de l'information : le Fournisseur doit mettre en œuvre, pour le personnel et tous les sous-traitants, fournisseurs ou agents qui ont accès aux Informations personnelles Seagate, des exigences de sécurité qui sont conçues pour :
- empêcher les personnes non autorisées d'accéder aux systèmes de traitement des Informations personnelles Seagate (contrôle d'accès physique) ;
- empêcher l'utilisation des systèmes de traitement des Informations personnelles Seagate sans autorisation (contrôle d'accès logique) ;
- s'assurer que les personnes autorisées à utiliser un système de traitement des Informations personnelles Seagate ne peuvent avoir accès à ces Informations que dans le cadre de leurs droits d'accès approuvés et que, pendant le traitement ou l'utilisation et après le stockage, les Informations personnelles Seagate ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation (contrôle d'accès aux données) ;
- s'assurer que les Informations personnelles Seagate ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation pendant leur transmission électronique, leur transport ou leur stockage, et que les entités cibles pour tout transfert d'Informations personnelles Seagate au moyen d'équipements de transmission de données peuvent être établies et vérifiées (contrôle du transfert des données) ;
- assurer l'établissement d'une piste de vérification pour préciser si et par qui les Informations personnelles Seagate ont été entrées, modifiées, transférées ou retirées du traitement qui leur est applicable (contrôle d'entrée) ;
- s'assurer que les Informations personnelles Seagate sont traitées uniquement sur la base des instructions fournies (contrôle des instructions) ;
- s'assurer que les Informations personnelles Seagate sont protégées contre la destruction ou la perte accidentelle (contrôle de disponibilité) ; et
- veiller à ce que les Informations personnelles Seagate collectées à d'autres fins puissent être traitées séparément (contrôle de la séparation).
Le Fournisseur s'engage à évaluer périodiquement les risques et à examiner et, le cas échéant, réviser ses pratiques en matière de sécurité de l'information au moins une fois par an ou chaque fois qu'il y aura un changement important dans les pratiques commerciales du Fournisseur qui pourrait raisonnablement affecter la sécurité, la confidentialité ou l'intégrité des Informations personnelles Seagate, à condition que le Fournisseur ne modifie pas ses pratiques en la matière de manière à affaiblir ou compromettre la confidentialité, la disponibilité et l'intégrité de ces Informations.
- Sécurité physique : le Fournisseur doit maintenir des systèmes de sécurité commercialement raisonnables sur tous les sites dont il dispose et où se trouve un système d'information qui utilise ou héberge des Informations personnelles Seagate. Le Fournisseur restreint raisonnablement et de façon appropriée l'accès à ces Informations personnelles Seagate.
- Sécurité organisationnelle :
- lorsque des supports doivent être éliminés ou réutilisés, des procédures doivent être mises en œuvre pour empêcher toute récupération ultérieure des Informations personnelles Seagate qui y sont stockées avant leur retrait des stocks. Lorsque les supports doivent quitter le lieu où se trouvent les dossiers à la suite d'opérations de maintenance, des procédures doivent être mises en œuvre pour empêcher la récupération indue des Informations personnelles Seagate qui y sont stockées.
- Le Fournisseur doit mettre en œuvre des politiques et des procédures de sécurité pour classer les Informations sensibles, clarifier les responsabilités en matière de sécurité et sensibiliser les employés.
- Tous les incidents concernant la sécurité des Informations personnelles Seagate doivent être gérés conformément aux procédures d'intervention prévues en cas d'incident.
- Le Fournisseur doit chiffrer, à l'aide d'outils de chiffrement conformes aux normes de l'industrie, toutes les Informations sensibles en transit et au repos.
- Sécurité du réseau : le Fournisseur doit assurer la sécurité du réseau à l'aide d'équipements disponibles dans le commerce et de techniques conformes aux normes du secteur, y compris les pare-feu, les systèmes de détection et de prévention des intrusions, les listes de contrôle des accès et les protocoles de routage.
- Contrôle d'accès : le Fournisseur doit maintenir des contrôles d'accès appropriés, y compris, mais sans s'y limiter, restreindre l'accès aux Informations personnelles Seagate au nombre minimum de ses employés qui ont besoin d'un tel accès.
- Seul le personnel autorisé peut accorder, modifier ou révoquer l'accès à un système d'information qui utilise ou héberge des Informations personnelles Seagate. Le Fournisseur doit tenir des registres d'accès appropriés, qui seront présentés à Seagate sur sa demande.
- Les procédures d'administration des utilisateurs doivent définir les rôles des utilisateurs et leurs privilèges, et la façon dont l'accès est accordé, modifié et résilié ; traiter de la séparation appropriée des tâches, et définir les exigences et les mécanismes d'enregistrement et de surveillance.
- Tous les employés du Fournisseur doivent se voir attribuer des ID utilisateur uniques.
- Les droits d'accès doivent être mis en œuvre en respectant le principe du « moindre privilège ».
- Le Fournisseur doit mettre en œuvre des mesures de sécurité physiques et électroniques commercialement raisonnables pour créer et protéger les mots de passe.
- Lutte contre les virus et les logiciels malveillants : le Fournisseur doit installer et conserver les tout derniers logiciels antivirus et de protection contre les logiciels malveillants sur le système, et mettre en place un programme de surveillance et de recherche des logiciels malveillants afin de protéger les Informations personnelles Seagate contre les menaces ou les dangers prévus, et de prévenir tout accès non autorisé à ces Informations ou leur utilisation.
- Personnel : avant de donner accès aux Informations personnelles Seagate aux membres de son personnel, le Fournisseur doit exiger d'eux qu'ils se conforment à son propre programme de sécurité de l'information. Le Fournisseur doit mettre en œuvre un programme de sensibilisation à la sécurité afin de former le personnel à ses obligations en matière de sécurité. Ce programme comprendra une formation sur les obligations en matière de classification des données, les contrôles de sécurité physique, les pratiques de sécurité et la déclaration des incidents de sécurité. Le Fournisseur définira des rôles et des responsabilités clairs pour ses employés. Une présélection sera mise en œuvre avant l'embauche, et les conditions d'emploi seront appliquées de façon appropriée. Les employés du Fournisseur doivent suivre rigoureusement les politiques et procédures de sécurité établies. Un processus disciplinaire doit être appliqué si les employés violent les données.
- Continuité des activités : le Fournisseur met en œuvre des plans appropriés de sauvegarde, de reprise après sinistre et de reprise des activités. Le Fournisseur examine régulièrement le plan de continuité des opérations et l'évaluation des risques. Les plans de continuité des opérations sont testés et mis à jour régulièrement pour s'assurer qu'ils sont à jour et efficaces.
- Responsable en charge de la sécurité : le Fournisseur doit communiquer à Seagate le nom du Responsable en charge de la sécurité qu'il aura désigné. Ce responsable a en charge la gestion et la coordination de l'exécution des obligations du Fournisseur énoncées dans son propre programme de sécurité de l'information et dans le présent Accord sur la protection des données
- Audit : Seagate se réserve le droit de vérifier les engagements du Fournisseur tels qu'énoncés à la présente Annexe IIconformément à la section 4.4 « Audit » du présent Accord sur la protection des données.
- Violation : s'il est déterminé que le Fournisseur a enfreint le présent Accord sur la protection des données, ce dernier doit y remédier dans les plus brefs délais et, en tout état de cause, dans les 30 jours civils. Les violations connues ou soupçonnées des données sont régies par l'article 5, « Responsabilités du Fournisseur après une violation des données » du présent Accord sur la protection des données.
Annexe III
EXIGENCES EN MATIÈRE DE PROTECTION DES DONNÉES POUR LES JURIDICTIONS SPÉCIFIQUES
Les exigences suivantes s'appliquent aux juridictions spécifiées :
- AUSTRALIE
- Applicabilité : les dispositions de la présente Section 1 s'appliquent lorsque (a) le Fournisseur reçoit des Informations personnelles Seagate d'une Société affiliée Seagate située en Australie, ou qu'il y accède ; ou (b) Seagate informe le Fournisseur que les Informations personnelles Seagate sont soumises à ces exigences.
- Appartenance à une association professionnelle ou commerciale : le terme « Informations sensibles » désigne également les Informations personnelles relatives à l'appartenance d'une personne à une association professionnelle ou commerciale.
- Principes australiens de protection de la vie privée : le Fournisseur s'engage à se conformer à toutes les obligations applicables en vertu du Privacy Act 1988 (Cth), y compris les principes de confidentialité de l'Australie, lorsqu'il manipule des Informations personnelles Seagate ou lorsqu'il fournit les services en vertu du présent Accord sur la protection des données.
- Remarque sur l'utilisation ou la divulgation à des fins d'exécution : si le Fournisseur utilise ou divulgue des Informations personnelles pour une ou plusieurs activités coercitives conduites par un organisme chargé de l'application de la loi, ou pour le compte de celui-ci, le Fournisseur s'engage à conserver un enregistrement écrit d'une telle utilisation et divulgation et à fournir rapidement une copie de l'enregistrement à Seagate, sauf disposition contraire de la loi.
- Identifiants liés au gouvernement australien : dans les cas où les Informations personnelles incluent des identifiants liés au gouvernement australien, le Fournisseur s'engage (a) à ne pas adopter l'identifiant lié au gouvernement australien comme son propre identifiant d'une personne, sauf instruction expresse de Seagate ; et (b) à ne pas utiliser ni divulguer l'identifiant lié au gouvernement australien, sauf lorsque cela est raisonnablement nécessaire pour vérifier l'identité de la personne ou sauf indication contraire de Seagate.
- Collecte des Informations personnelles : lorsque les instructions de Seagate au Fournisseur exigent que ce dernier recueille des Informations personnelles au nom de Seagate, le Fournisseur doit (a) demander des instructions à Seagate concernant (i) les informations qui doivent être fournies à la Personne concernée relativement à la collecte des Informations personnelles la concernant ; et (ii) tout consentement préalable requis à des fins de marketing direct ; et (b) ne recueillir aucune Information sensible ou sans le consentement de la Personne concernée.
- Accords fournisseurs avec le gouvernement australien : si Seagate est un fournisseur de services sous contrat avec une entité du gouvernement australien au niveau fédéral, étatique ou du territoire, et dans la mesure où Seagate est tenu de se conformer à des obligations supplémentaires de protection des données en vertu d'un accord avec l'entité gouvernementale concernée, Seagate imposera des obligations équivalentes au Fournisseur, comme requis par la législation australienne applicable. Seagate et le Fournisseur conviennent de conclure des accords supplémentaires, si nécessaire, pour refléter ces obligations.
- CHINE
- Applicabilité : les dispositions de la présente Section 2 s'appliquent lorsque le Fournisseur reçoit des Informations personnelles Seagate d'une Société affiliée Seagate située en Chine, ou qu'il y accède ; ou (b) Seagate informe le Fournisseur que les Informations personnelles Seagate sont soumises à ces exigences.
- Rôles de la PIPL : en vertu de la Loi sur la protection des informations personnelles de la RPC (PIPL), Seagate joue le rôle de responsable des informations personnelles, et décidera des objectifs et des modalités du Traitement. Le Fournisseur sera la partie mandatée chargée de traiter les Informations personnelles au nom de Seagate conformément aux exigences du présent Accord sur la protection des données et aux instructions de Seagate.
- Sous-traitants indirects : nonobstant la Section 2.4 de l'Accord sur la protection des données, le Fournisseur n'engagera pas de Sous-traitant indirect pour Traiter les informations personnelles Seagate sans le consentement exprès de Seagate. Les conditions d'un tel consentement sont soumises à la section 2.5 de l'Accord sur la protection des données.
- Temps de Traitement limité : le Fournisseur s'engage à Traiter les Informations personnelles Seagate uniquement pendant la période nécessaire pour réaliser les finalités de Traitement, sauf si les parties ont convenu d'une durée différente.
- Transferts restreints : le Fournisseur s'engage à ne pas transférer les Informations personnelles Seagate hors de Chine sans le consentement exprès de Seagate dans le cas où ces informations sont stockées ou conservées en Chine. Seagate donne par la présente son accord au Fournisseur pour qu'il transfère lesdites informations personnelles si nécessaire, sous réserve que le Fournisseur ait pris toutes les mesures nécessaires en vertu des Lois sur la protection des données pour protéger ces Informations personnelles
- INDE
- Applicabilité : les dispositions de la présente Section 3 s'appliquent lorsque la loi Information Technology Act de 2000 (« IT Act ») et les Règles sur les technologies de l'information (Pratiques et procédures de sécurité raisonnables et données ou informations à caractère personnel sensibles), de 2011 (« Règles de confidentialité »), telles que modifiées et remplacées de temps à autre, s'appliquent au Traitement par le Fournisseur des Informations personnelles Seagate fournies par une Société affiliée Seagate en Inde, que le Traitement ait lieu ou non en Inde.
- La Clause 1.12 de l'Accord sur la protection des données doit être modifiée afin d'y inclure les catégories de Données à caractère personnel visées à l'Article 3 des Règles de confidentialité.
- JAPON
- Applicabilité : les dispositions de la présente Section 3 s'appliquent aux Informations personnelles Seagate que le Fournisseur reçoit d'une Société affiliée Seagate située au Japon, ou auxquelles il accède.
- Personnel du Fournisseur : le Fournisseur est tenu de superviser son personnel pour s'assurer qu'il respecte l'Accord sur la protection des données.
- Mesures de gestion de l'emploi : le Fournisseur s'engage à protéger les Informations personnelles Seagate en lien avec la gestion de l'emploi comme indiqué par les directives de gestion de l'emploi du Ministère japonais de la Santé, du Travail et des Affaires sociales (« MLHW », Ministry of Health, Labor and Welfare).
- Informations personnelles apprises dans le cadre de l'emploi : le Fournisseur devra s'assurer que ses employés ne divulguent pas ni n'utilisent de façon inappropriée les Informations personnelles Seagate apprises dans le cadre de leur emploi.
- Consentement préalable au transfert ou à la divulgation : le Fournisseur s'engage à obtenir le consentement écrit préalable de Seagate avant de divulguer ou de transférer des numéros de sécurité sociale ou des numéros d'identification fiscale à un tiers (y compris une Société affiliée) qui n'est pas partie au présent Accord, y compris à des Sous-traitants.
- Retour ou destruction après réalisation de la finalité : le Fournisseur s'engage à cesser de traiter et à retourner ou détruire les Informations personnelles Seagate en sa possession une fois qu'il a réalisé la finalité pour laquelle les Informations personnelles ont été collectées.
- Finalités de sauvegarde : le Fournisseur s'engage à ne pas copier ni reproduire les Informations personnelles Seagate, excepté à des fins de sauvegarde.
- CORÉE DU SUD
- Applicabilité : les dispositions de la présente Section 4 s'appliquent aux Informations personnelles Seagate que le Fournisseur reçoit d'une Société affiliée Seagate située en Corée du Sud, ou auxquelles il accède.
- Accès limité : le Fournisseur s'engage à limiter l'accès aux Informations personnelles au personnel du Fournisseur qui requiert raisonnablement un tel accès aux fins du Traitement.
- Garanties nécessaires : le Fournisseur s'engage à établir et maintenir des garanties notamment les suivantes :
- procédures internes pour la gestion sécurisée des Informations personnelles ;
- garanties techniques telles que des pare-feu, des logiciels antivirus et anti-programme malveillant ;
- restrictions d'accès physiques, telles que les verrouillages ;
- mesures pour empêcher l'altération ou la falsification des journaux d'accès ou des enregistrements de Traitement ;
- mesures pour sécuriser le stockage et le transfert des Informations personnelles, telles que le chiffrement des Informations personnelles lorsque cela est requis par la loi sur la protection des informations personnelles (PIPA, Personal Information Protection Act), le code d'exécution de la loi PIPA (Enforcement Regulations of PIPA), la loi sur la promotion de l'utilisation des réseaux d'informations et de communication et la protection des informations (PICNU, Promotion of Information and Communications Network Utilization and Protection of Information), les règlements d'exécution de la loi PICNU (« Règlements PICNU »), la loi sur l'utilisation et la protection des informations de crédit (UPCIA, Utilization and Protection of Credit Information Act) et toute autre loi coréenne, selon les cas.
- Chiffrement des données d'identification particulières : le Fournisseur s'engage à chiffrer les numéros d'enregistrement de résident, les numéros de permis de conduire et les numéros de passeport lorsque ceux-ci sont :
- transmis via un réseau informatique ou de communication ;
- stockés sur des supports ou des périphériques de stockage portables ;
- stockés sur un réseau informatique externe, ou dans une zone démilitarisée ou sur un ordinateur personnel ou appareil mobile ; ou
- stockés sur le réseau interne du Fournisseur si le système du Fournisseur ne remplit pas les critères de risque spécifiés par Seagate.
- Chiffrement du mot de passe et des données biométriques : le Fournisseur s'engage à chiffrer tous les mots de passe et toutes les données biométriques stockés sous toute forme.
- Information préalable à la Divulgation : avant de divulguer ou de transférer des Informations personnelles Seagate à un tiers, le Fournisseur devra en aviser Seagate dans un délai de préavis raisonnable. Sur demande de Seagate, le Fournisseur devra fournir les informations suivantes : (a) les activités de Traitement à sous-traiter ; (b) l'identité du tiers chargé du traitement des données et (c) toute modification apportée à (a) ou (b).
- Formation : le Fournisseur s'engage à participer aux formations que Seagate peut choisir de lui fournir pour se prémunir contre le vol, la fuite, la modification ou la détérioration des Informations personnelles Seagate au cours de leur Traitement.
- SINGAPOUR
- Applicabilité : les dispositions de la Section 6 s'appliquent lorsque la Loi sur la protection des Données à caractère personnel de 2012 (Singapore Personal Data Protection Act, n° 26 de 2012) s'applique au Traitement par le Fournisseur des Informations personnelles Seagate.
- La Clause 1.3 de l'Accord sur la protection des données est remplacée par la clause suivante :
1.3 Le terme « Violation des données » désigne toute violation de la sécurité entraînant une destruction, une perte, une altération, une divulgation non autorisée, une consultation ou une acquisition accidentelle ou illégale d'Informations personnelles Seagate, y compris : (a) la consultation, la collecte, l'utilisation, la divulgation, la copie, la modification ou l'élimination non autorisée d'Informations personnelles Seagate ; ou (b) la perte de tout support ou dispositif de stockage sur lequel sont stockées des Informations personnelles Seagate dans des circonstances où la consultation, la collecte, l'utilisation, la divulgation, la copie, la modification ou l'élimination non autorisée desdites Informations est susceptible de se produire.
- La Clause 5.1 de l'Accord sur la protection des données est remplacée par la clause suivante :
5.1 Notification de la violation des données : lorsque le Fournisseur a des raisons de penser qu'une Violation des données s'est produite, le Fournisseur doit en informer Seagate par écrit dans les plus brefs délais, et s'engage à :
- enquêter sur ledit incident ou apporter son aide raisonnable dans cette démarche ;
- fournir à Seagate des renseignements détaillés sur la Violation de données, et lui fournir rapidement les autres renseignements pertinents lorsque ceux-ci sont disponibles ; et
- déployer des efforts commercialement raisonnables pour contenir la Violation des données, limiter ses conséquences ou assister Seagate dans cette démarche, aux frais du Fournisseur.
- TAÏWAN
- Applicabilité : les dispositions de la présente Section 5 s'appliquent aux Informations personnelles Seagate que le Fournisseur reçoit d'une Société affiliée Seagate située à Taïwan, ou auxquelles il accède.
- Sous-traitants indirects : nonobstant la Section 2.4 de l'Accord sur la protection des données, le Fournisseur s'engage à ne divulguer ou transférer les Informations personnelles Seagate à aucun Sous-traitant indirect, et à ne pas autoriser leur accès à un Sous-traitant indirect sans le consentement écrit explicite de Seagate.
- Temps de Traitement limité : le Fournisseur s'engage à Traiter les Informations personnelles Seagate uniquement pendant la période nécessaire pour réaliser les finalités de Traitement, sauf si les parties ont convenu d'une durée différente.
- Conservation des enregistrements des accès : le Fournisseur s'engage à conserver les enregistrements des accès pendant la durée nécessaire pour garantir leur examen périodique en vue de détecter les accès non autorisés.
- THAÏLANDE
- Applicabilité : les dispositions de la présente Section 6 s'appliquent lorsque la Loi thaïlandaise sur la protection des données à caractère personnel (Personal Data Protection Act) B.E. 2562 (2019) (« PDPA »), dans sa version modifiée et remplacée de temps à autre, s'applique aux Informations personnelles Seagate que le Fournisseur reçoit d'une Société affiliée Seagate située en Thaïlande, ou auxquelles il accède.
- La Clause 1.3 de l'Accord sur la protection des données est remplacée par la clause suivante :
1.3 Le terme « Violation des données » désigne une violation des mesures de sécurité engendrant la perte, la consultation, l'utilisation, la modification ou la divulgation de données à caractère personnel illégalement ou sans autorisation, résultant d'un acte intentionnel, intentionnel, négligent, accidentel, non autorisé ou illégal, ou d'un acte lié à des crimes informatiques, cybermenaces, erreurs ou accidents, ou tout autre acte, comme exigé par la notification émise en vertu de la loi PDPA.
- La Clause 1.12 de l'Accord sur la protection des données doit être modifiée afin d'y inclure les catégories de Données à caractère personnel visées à la Section 26 de la loi PDPA.
- Normes de sécurité : le Fournisseur s'engage à déployer tous les efforts et à prendre toutes les mesures raisonnables pour mettre en œuvre et maintenir des normes de sécurité qui doivent au moins être conformes aux exigences de l'Annexe II, ainsi qu'aux dispositions et exigences stipulées dans le cadre de la loi PDPA et toute autre règle, réglementation, notification et/ou ordonnance émises en vertu de celles-ci, notamment, mais sans s'y limiter, la notification du Comité de protection des données à caractère personnel : Mesures de sécurité du Responsable du traitement des données B/E/ 2565 (2022), qui peuvent être modifiées, complétées ou remplacées de temps à autre.
L'Accord de confidentialité des données est entré en vigueur le 20 juin 2024.
Pour les accords conclus entre le 8 décembre 2022 et le 20 juin 2024, reportez-vous au PDF suivant : Accord sur la protection des données du 20 juin 2024
Pour les accords conclus entre le 11 août 2020 et le 8 décembre 2022, reportez-vous au PDF suivant : Accord sur la protection des données du 8 décembre 2022
Pour les accords conclus entre le 20 novembre 2019 et le 10 août 2020, reportez-vous au PDF suivant : Accord sur la protection des données du 10 août 2020
Pour les accords conclus entre le 31 mars 2019 et le 19 novembre 2019, reportez-vous au PDF suivant : Exigences de protection des données du 20 novembre 2019
Pour les accords conclus avant le 31 mars 2019, reportez-vous au PDF suivant : Exigences de protection des données du 31 mars 2019