Le présent addendum au contrat de traitement des données de l'utilisateur final (" addendum ") est intégré aux conditions de partage des informations et joint au contrat de licence et au formulaire de profil et de commande (ensemble " EULSA ") entre InterSystems (" InterSystems ") et l'utilisateur final (" utilisateur final "), comme indiqué dans le EULSA. InterSystems et l'utilisateur final sont parties au présent addendum (chacun séparément "une partie", ensemble "les parties"). En considération des engagements et promesses mutuels contenus dans les présentes et d'autres contreparties de valeur, dont la réception et la suffisance sont reconnues par les présentes par les Parties, les Parties conviennent de ce qui suit :
Tous les termes en majuscules utilisés dans le présent Addendum et non définis ailleurs dans les présentes ou dans l'EULSA ont la même signification que ces termes utilisés ou définis dans le GDPR, tel que défini ci-dessous. Les conditions du présent addendum remplacent toutes les conditions contradictoires de l'EULSA et toutes les autres conditions relatives à la protection des données ou au traitement des informations.
Les parties reconnaissent que les services fournis par InterSystems dans le cadre de l'EULSA ne sont pas destinés à entraîner la création, la réception, la conservation, la transmission, l'utilisation, la divulgation ou tout autre traitement par InterSystems de données à caractère personnel relatives à une personne concernée dans un contexte opérationnel qui constitue des données d'utilisateur final, telles que définies ci-dessous ; toutefois, étant donné que l'utilisateur final, dans certaines circonstances, peut être tenu de se conformer au GDPR, tel que défini ci-dessous, l'utilisateur final exige de ses fournisseurs de services qui peuvent entrer en contact avec les données d'utilisateur final qu'ils concluent un accord de traitement des données avec l'utilisateur final, et InterSystems est disposé à conclure un tel accord dans le cas improbable où InterSystems traiterait des données d'utilisateur final sans concéder qu'InterSystems est généralement un processeur pour l'utilisateur final. Les parties conviennent, en ce qui concerne les autres données à caractère personnel traitées par InterSystems qui ne sont pas des données de l'utilisateur final ("données InterSystems"), qu'InterSystems est le contrôleur des données et que les parties ne sont pas des contrôleurs conjoints des données InterSystems.
- Définitions.
1.1. Dans le présent avenant, les expressions " données personnelles ", " responsable du traitement ", " sous-traitant ", " traitement " et " processus " ont la signification qui leur est attribuée par le règlement général sur la protection des données, règlement (UE) 2016/679.
1.2. Contrôleur des données. " Contrôleur de données " signifie, lorsqu'il est utilisé en référence dans le présent addendum, se référer à l'Utilisateur final, même si l'Utilisateur final est un Processeur pour un Contrôleur en ce qui concerne les Données personnelles traitées.
1.3. Propriétaire des données. " Propriétaire des données " signifie, pour chaque élément de données personnelles dans les données de l'utilisateur final, l'utilisateur final ou, si l'utilisateur final est un processeur pour un contrôleur en ce qui concerne les données personnelles, ce contrôleur.
1.4. Processeur de données. " Processeur de données " a généralement la même signification que le Processeur en vertu du GDPR et lorsque (1) InterSystems et l'Utilisateur final conviennent mutuellement qu'InterSystems agit en qualité de Processeur de l'Utilisateur final tel que défini dans des Règles d'engagement spécifiques et individuelles et (2) qu'InterSystems n'agit pas autrement en qualité de fournisseur de services, de vendeur tiers à l'Utilisateur final ou de Contrôleur.
1.5. Législation sur la protection des données. " Législation sur la protection des données " désigne le GDPR et les législations nationales de mise en œuvre ; la loi fédérale suisse sur la protection des données (telle que modifiée et remplacée de temps à autre) ; la loi britannique sur la protection des données (telle que modifiée et remplacée de temps à autre) ; et les lois sur la protection des données des pays de l'EEE (telles que modifiées et remplacées de temps à autre, chaque fois que cela est applicable).
1.6. Données de l'utilisateur final. "Données de l'utilisateur final " signifie toutes les données personnelles pour lesquelles l'utilisateur final ou, si l'utilisateur final est un processeur pour un contrôleur, le contrôleur détermine uniquement les objectifs et les moyens du traitement de ces données personnelles et sont fournies par ou au nom de l'utilisateur final à InterSystems ; à condition que les données de l'utilisateur final n'incluent pas les données personnelles définies comme données d'InterSystems ci-dessus.
1.7. GDPR. " GDPR " désigne le règlement général sur la protection des données (règlement (UE) 2016/679)
- Propriété des données.
2.1. Les données de l'utilisateur final, que le responsable du traitement traite pour le compte du contrôleur des données, resteront à tout moment la propriété du propriétaire des données.
2.2. Si l'une des parties, pour quelque raison que ce soit, résilie le CLUF, l'utilisateur final décidera si chaque élément des données de l'utilisateur final, dans la mesure où le responsable du traitement des données conserve encore ces éléments, sera restitué à l'utilisateur final ou supprimé. Tous les traitements effectués par le responsable du traitement des données prendront fin, à l'exception de tout traitement requis par la loi ou nécessaire pour mettre fin à l'EULSA.
2.3. Le responsable du traitement des données peut à tout moment exiger du responsable du traitement des données qu'il cesse de traiter les données de l'utilisateur final et qu'il supprime ou renvoie les données de l'utilisateur final au responsable du traitement des données.
2.4. Dans le cas où le Responsable du traitement des données détermine que le retour ou la destruction des Données de l'utilisateur final comme requis dans cette section est irréalisable, le Responsable du traitement des données étend les protections du présent Addendum à ces Données de l'utilisateur final, et limite le traitement ultérieur de ces Données de l'utilisateur final, aux fins qui rendent le retour ou la destruction irréalisable, tant que le Responsable du traitement des données conserve ces Données de l'utilisateur final. - Obligations et activités du responsable du traitement des données.
3.1. Le Responsable du traitement s'engage à traiter les Données de l'utilisateur final sous réserve de mesures de sécurité techniques et organisationnelles d'un type qui, si le Responsable du traitement était le Contrôleur en ce qui concerne ces données, satisferait l'article 32 du GDPR, Sécurité du traitement, c'est-à-dire : " Compte tenu de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque " et de prendre des mesures raisonnables pour assurer le respect de ces mesures.
3.2. Le responsable du traitement des données s'engage à traiter ces données de l'utilisateur final uniquement conformément aux instructions de l'utilisateur final, que ce dernier fournit par écrit de temps à autre.
3.3. Le responsable du traitement des données accepte de se conformer à toutes les obligations imposées par l'article 32 du GDPR comme si le responsable du traitement des données était le contrôleur en ce qui concerne ces données d'utilisateur final.
3.4. Le responsable du traitement des données s'engage à veiller à ce que tous les membres du personnel, agents, sous-traitants et autres personnes ayant accès aux données de l'utilisateur final soient informés que les données sont confidentielles et ne doivent pas être divulguées à quiconque n'est pas soumis à une obligation de confidentialité exécutoire à cet égard. Seuls les membres du personnel, etc. qui ont un besoin opérationnel d'accéder aux données de l'utilisateur final doivent être autorisés et (en termes de mesures de sécurité logiques, physiques ou autres) capables de le faire.
3.5. Si le responsable du traitement souhaite sous-traiter le traitement des données de l'utilisateur final, il doit imposer à tout sous-traitant les mêmes obligations contractuelles en matière de protection et de sécurité des données que celles qui ont été établies aux termes du présent addendum.
3.6. Le responsable du traitement des données s'engage à informer rapidement le contrôleur des données de toute violation de la sécurité concernant les données des utilisateurs finaux au sein de sa propre organisation ou de celle de tout sous-traitant.
3.7. Le responsable du traitement des données s'engage à veiller à ce que l'ensemble du personnel impliqué dans le traitement des données de l'utilisateur final reçoive une formation appropriée sur les procédures de protection des données, identifie et conserve des dossiers sur la formation reçue par ce personnel et le contenu de tous les cours. Le responsable du traitement des données veille à ce qu'aucun autre agent ou employé du responsable du traitement des données n'ait accès aux données de l'utilisateur final.
3.8. Le responsable du traitement des données convient que les données du contrôleur ne seront pas transférées vers un pays ou un territoire situé en dehors de l'Espace économique européen sans l'approbation écrite de l'utilisateur final, sauf si (1) ce pays ou territoire assure un niveau de protection adéquat des droits et libertés des personnes concernées par le traitement des données à caractère personnel, tel que déterminé par l'autorité compétente en matière de protection des données ; (2) sans violation implicite de la présente disposition, lorsque le responsable du traitement des données a conclu des clauses contractuelles types, telles qu'approuvées par la Commission européenne, concernant un tel transfert ; ou (3) lorsque le responsable du traitement des données s'est engagé à respecter des règles d'entreprise contraignantes, telles qu'approuvées ou acceptées par une autorité compétente en matière de protection des données ; à condition que l'utilisateur final puisse restreindre de tels transferts dans le cadre de règles d'engagement spécifiques et individuelles, tant que l'utilisateur final accepte qu'InterSystems ne viole pas ses obligations en vertu de l'EULSA, si InterSystems détermine qu'un tel transfert est nécessaire pour fournir le service r
- Obligations de l'utilisateur final.
4.1. L'utilisateur final ne fournira les données de l'utilisateur final à InterSystems que lorsque cela est strictement nécessaire aux fins de l'EULSA et dans le respect total de la législation sur la protection des données. Il accepte de ne fournir que les données personnelles minimales nécessaires en rapport avec le service ou le support fourni.
4.2. L'Utilisateur final ne demandera pas au Responsable du traitement de traiter les Données de l'Utilisateur final d'une manière que l'Utilisateur final ne pourrait pas faire en tant que Responsable du traitement ou en tant que Responsable du traitement pour un Responsable du traitement ; à condition qu'InterSystems notifie rapidement l'Utilisateur final par écrit en fournissant des informations suffisantes pour décrire l'objection, si InterSystems considère que l'une des instructions de l'Utilisateur final enfreint la législation sur la protection des données. Si l'utilisateur final est d'accord avec la détermination d'InterSystems selon laquelle les instructions de l'utilisateur final enfreignent la législation sur la protection des données, l'utilisateur final en informera InterSystems et InterSystems ne sera pas tenu de se conformer à cette instruction et InterSystems ne sera pas considéré comme étant en infraction avec le CLUF pour tout manquement à cette instruction. Si l'utilisateur final s'oppose à la détermination d'InterSystems selon laquelle les instructions de l'utilisateur final enfreignent la législation sur la protection des données, l'utilisateur final doit fournir une explication écrite de la raison pour laquelle ces instructions sont conformes à la législation sur la protection des données et InterSystems peut s'appuyer sur cette explication pour exécuter les instructions de l'utilisateur final.
4.3. L'Utilisateur final déclare et garantit qu'il (ou dans le cas où l'Utilisateur final est un Responsable du traitement des données, le Propriétaire des données concerné) peut traiter les Données de l'Utilisateur final de la manière dont le Responsable du traitement des données est autorisé à traiter les Données personnelles en vertu du présent Addendum.
4.4. L'Utilisateur final est responsable de l'utilisation de mesures de protection administratives, physiques et techniques à tout moment pour maintenir et garantir la confidentialité, le respect de la vie privée et la sécurité des Données de l'Utilisateur final transmises au Responsable du traitement des données conformément aux normes et exigences de la Législation sur la protection des données, jusqu'à ce que ces Données de l'Utilisateur final soient reçues par le Responsable du traitement des données.
4.5. L'utilisateur final doit obtenir tout consentement ou autorisation pouvant être requis par la loi applicable afin que le responsable du traitement des données puisse fournir ses services en vertu du CLUF
- Divers.
5.1. Références. Toute référence, dans le présent addendum, à une disposition du GDPR désigne cette disposition telle qu'elle est en vigueur ou telle qu'elle a été modifiée, et à compter de sa date de conformité applicable.
5.2. Modifications du présent addendum. L'utilisateur final accepte qu'InterSystems, de bonne foi, puisse modifier le présent addendum ou l'EULSA si nécessaire pour se conformer à toute modification de la législation sur la protection des données.
5.3. La survie. Les droits et obligations respectifs du responsable du traitement des données et du contrôleur des données survivront à la résiliation tant que le responsable du traitement des données ou le contrôleur des données traitera les données de l'utilisateur final en vertu du présent addendum ou du CLUF.
5.4. Interprétation. Toute ambiguïté dans le présent addendum doit être résolue pour permettre aux parties de se conformer à la législation sur la protection des données
- Les droits et obligations prévus par le présent addendum s'ajoutent et ne se substituent pas aux droits et obligations existant entre les parties en vertu de tout autre contrat ou du droit commun
- En cas de violation ou de violation présumée par une personne d'une obligation de confidentialité que cette personne doit à l'une des Parties aux présentes en ce qui concerne les Données de l'Utilisateur Final auxquelles cette personne a ou a eu accès en raison du présent Addendum, la Partie à laquelle l'obligation est due s'engage à faire tout son possible pour faire respecter l'obligation en question