Dernière modification : septembre 2023
Le présent accord de traitement des données, y compris ses appendices et annexes (« ATD »), est conclu entre Avigilon Corporation, filiale à 100 % de Motorola Solutions, Inc. (« Motorola Solutions ») pour son propre compte et celui de ses sociétés affiliées et filiales (« Avigilon ») et le client identifié dans le bloc de signature ci-dessous (« client ») et reflète l’accord des parties en ce qui concerne le traitement des données du client, qui peuvent inclure des données à caractère personnel conformément à l’accord du client (« accord ») avec un revendeur agréé d’Avigilon. En cas de conflit entre le présent ATD, l’accord ou tout(e) appendice, annexe ou autre avenant à l’accord, le présent ATD prévaut.
Lorsque le client renouvelle ou achète de nouveaux produits ou services, l’ATD alors en vigueur doit s’appliquer et ne doit pas être modifié pendant la durée applicable. Lorsqu’elle fournit de nouvelles fonctionnalités ou des suppléments aux produits ou services, Avigilon peut apporter des conditions supplémentaires ou des mises à jours au présent ATD, lesquelles s’appliquent impérativement à l’utilisation par le client de ces nouvelles fonctionnalités ou suppléments.
1. Définitions.
Tous les termes qui ne sont pas définis dans ce paragraphe ont la signification qui leur est donnée dans l’accord (lorsqu’ils apparaissent entre parenthèses et entre guillemets). Tous les autres termes qui ne sont pas définis dans le présent ATD ont la signification qui leur est donnée à l’article 4 du RGPD s’ils y sont définis, que le RGPD s’applique ou non.
« Données d’Avigilon » : données appartenant à Avigilon et mises à la disposition du client par le biais des produits et services.
« Coordonnées du client » : données recueillies par Avigilon auprès du client, de ses utilisateurs autorisés et de leurs utilisateurs finaux à des fins de contact commercial, y compris, mais sans s’y limiter, à des fins de marketing, de publicité, d’octroi de licences et de vente.
« Données du client » : données, y compris images, textes, vidéos et contenus audio, fournies à Avigilon par, par l’intermédiaire ou pour le compte du client et de ses utilisateurs autorisés ou de leurs utilisateurs finaux, dans le cadre de l’utilisation des produits et services. Les données du client n’incluent pas les coordonnées du client, les données relatives à l’utilisation des services autres que la partie composée d’informations personnelles, ou les données de tiers.
« Législation en matière de protection des données » : ensemble des lois et règlements en matière de protection des données qui s’appliquent à une partie en ce qui concerne le traitement des données à caractère personnel dans le cadre de l’accord.
« Personne concernée » : personne identifiée ou identifiable à laquelle se rapportent les données à caractère personnel.
« Métadonnées » : données qui décrivent d’autres données.
« Données à caractère personnel » ou « Informations personnelles » : toute information relative à une personne physique identifiée ou identifiable transmise à Avigilon par, par l’intermédiaire ou pour le compte du client et de ses utilisateurs autorisés ou de leurs utilisateurs finaux dans le cadre des données du client. Une personne physique identifiable est un individu qui peut être identifié, directement ou indirectement, notamment via un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou un ou plusieurs facteurs spécifiques à son identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale.
« Sous-traitant » : personne physique ou morale, autorité publique, agence ou autre organisme chargé de traiter les données à caractère personnel pour le compte du responsable du traitement. Un sous-traitant agit pour le compte du responsable du traitement concerné et sous son autorité. À ce titre, il sert les intérêts du responsable du traitement plutôt que ses propres intérêts.
« Traitement » : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, la copie, l’analyse, la mise en cache, l’organisation, la structuration, le stockage, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction.
« Incident de sécurité » : incident entraînant la destruction, la perte, l’altération ou la divulgation accidentelle ou illégale de données du client ou l’accès à ces données, lesquelles peuvent inclure des données à caractère personnel, au cours de leur traitement par Avigilon.
« Données relatives à l’utilisation des services » : données relatives à l’utilisation des produits et services générées par le biais de leur utilisation par le client ou de l’assistance apportée par Avigilon, lesquelles peuvent inclure des métadonnées, des données à caractère personnel, des informations relatives aux performances des produits et aux erreurs, des journaux d’activité, ainsi que la date et l’heure d’utilisation.
« Clauses contractuelles types » : clauses figurant à l’appendice 1 des présentes, telles qu’établies par la décision de la Commission européenne C/2021/3972 du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n’assurent pas un niveau approprié de protection des données.
« Sous-traitant ultérieur » : tout autre sous-traitant engagé par Avigilon pour traiter les données des clients, lesquelles peuvent inclure des données à caractère personnel.
« Données de tiers » : informations obtenues par Avigilon à partir de sources accessibles au public ou de ses fournisseurs de contenu tiers et mises à la disposition du client par le biais des produits ou des services.
2. Traitement des données du client.
2.1 Rôles des parties. Les parties conviennent qu’en ce qui concerne le traitement des données à caractère personnel en vertu des présentes, le client est le responsable du traitement et Avigilon est le sous-traitant, lequel peut engager des sous-traitants ultérieurs conformément aux exigences du paragraphe 6 intitulé « Sous-traitants ultérieurs » ci-dessous.
2.2 Traitement des données du client par Avigilon. Avigilon et le client conviennent qu’Avigilon ne peut utiliser et traiter les données du client, y compris les informations personnelles intégrées dans les données relatives à l’utilisation des services, que conformément aux instructions documentées du client aux fins suivantes : (i) exécuter les services et fournir les produits en vertu de l’accord ; (ii) analyser les données du client pour exploiter, entretenir, gérer et améliorer les produits et services d’Avigilon ; et (iii) créer de nouveaux produits et services. Le client convient que son accord (y compris le présent ATD), ainsi que la documentation relative aux produits et services et l’utilisation et la configuration par le client des fonctionnalités des produits et services, constituent les instructions documentées complètes et finales du client à Avigilon pour le traitement de ses données. Toute instruction supplémentaire ou alternative doit être acceptée conformément à la procédure de modification de l’accord du client. Le client certifie et garantit à Avigilon que ses instructions, y compris la désignation d’Avigilon en tant que sous-traitant ou sous-traitant ultérieur, ont été autorisées par le responsable du traitement concerné. Les données du client peuvent être traitées par Avigilon dans n’importe lequel de ses sites internationaux et/ou divulguées à des sous-traitants. Il appartient au client de notifier aux utilisateurs autorisés la collecte et l’utilisation par Avigilon de ses données et d’obtenir tous les consentements requis, de transmettre tous les avis nécessaires et de satisfaire à toutes les autres exigences légales applicables en ce qui concerne cette collecte et cette utilisation. Le client certifie et garantit à Avigilon qu’il s’est conformé aux modalités de cette disposition.
Afin de lever toute ambiguïté, tant qu’elles n’identifient pas spécifiquement le client, les « données du client » telles que définies dans l’accord n’incluent pas, et Avigilon est libre d’utiliser, de partager et d’exploiter les renseignements sur les menaces de sécurité et les données d’atténuation des risques en général, y compris les vecteurs de menace de tiers et les adresses IP, les informations de hachage de fichier, les noms de domaine, les signatures et informations de logiciels malveillants, les informations obtenues de sources tierces, les indicateurs de compromission et les tactiques, techniques et procédures utilisées, apprises ou développées dans le cadre de la fourniture des services.
2.3 Détails du traitement. L’objet du traitement des données à caractère personnel par Avigilon en vertu des présentes, la durée du traitement, les catégories de personnes concernées et les types de données à caractère personnel sont indiqués à l’annexe I du présent ATD.
2.4 Divulgation des données traitées. Avigilon ne doit pas divulguer les données du client à un tiers ni les partager, à l’exception des sous-traitants ultérieurs, fournisseurs et partenaires de distribution d’Avigilon dans la mesure où cela s’avère nécessaire pour fournir les produits et les services, sauf si le présent accord le permet, si le client l’autorise ou si la loi l’exige. Dans le cas où un gouvernement ou une autorité de surveillance exige l’accès aux données du client, dans la mesure permise par la loi, Avigilon doit transmettre au client un accusé de réception de la demande afin de lui donner suffisamment de temps pour déposer un recours approprié devant la juridiction compétente. En toutes circonstances, Avigilon conserve le droit de se conformer à la législation applicable. Avigilon doit s’assurer que son personnel est soumis à un devoir de confidentialité, et obligera contractuellement ses sous-traitants ultérieurs à un devoir de confidentialité, en ce qui concerne le traitement des données du client et de toutes données à caractère personnel contenues dans les données relatives à l’utilisation des services.
2.5 Obligations du client. Il incombe pleinement au client de respecter l’ensemble de la législation en matière de protection des données ainsi que de mettre en place et d’appliquer ses propres politiques et procédures pour garantir ce respect. Le client ne doit pas utiliser les produits et services d’une manière qui enfreindrait la législation applicable en matière de protection des données. Le client est seul responsable (a) de la légalité de tout transfert de données à caractère personnel à Avigilon, (b) de l’exactitude, de la qualité et de la légalité des données à caractère personnel fournies à Avigilon, (c) des moyens par lesquels il a acquis les données à caractère personnel et (d) de la fourniture de tous les avis requis aux personnes concernées et de l’obtention de l’ensemble des confirmations, autorisations ou consentements nécessaires de leur part. Le client assume l’entière responsabilité du maintien de la quantité de données à caractère personnel fournies à Avigilon au minimum nécessaire pour permettre à Avigilon d’agir conformément à l’accord. Il incombe pleinement au client de respecter la législation applicable en matière de protection des données. Le client convient qu’il a mis en œuvre, pour son environnement et ses opérations, des mesures de protection administratives, physiques et techniques au moins aussi rigoureuses que les pratiques acceptées dans l’industrie et qu’il veillera à ce que toutes ces mesures de protection soient conformes à la législation applicable en matière de protection des données et de la vie privée. Le client convient qu’Avigilon ne peut être tenue responsable de tout incident de sécurité découlant de la violation de cette exigence de sa part.
2.6 Indemnisation par le client. Le client défendra et indemnisera Avigilon et ses sous-traitants, filiales et autres sociétés affiliées et les dégagera de toute responsabilité en cas de dommages, pertes, dettes et dépenses (y compris les honoraires et frais d’avocats raisonnables) découlant de toute réclamation, exigence, action ou procédure de tiers, effective ou potentielle, résultant de ou liée au non-respect par le client de ses obligations en vertu du présent accord et/ou de la législation applicable en matière de protection des données. Avigilon informera rapidement le client par écrit de toute réclamation faisant l’objet de l’indemnisation susmentionnée. Avigilon coopérera, à ses propres frais, avec le client pour sa défense ou le règlement de la réclamation.
3. Données relatives à l’utilisation des services. À l’exception des informations personnelles, le client comprend et accepte qu’Avigilon puisse collecter et utiliser les données relatives à l’utilisation des services à ses propres fins, à condition que celles-ci soient conformes à la législation applicable en matière de protection des données. Les données relatives à l’utilisation des services peuvent être traitées par Avigilon dans n’importe lequel de ses sites internationaux et/ou divulguées à des sous-traitants.
4. Données de tiers et données d’Avigilon. Les données d’Avigilon et les données de tiers peuvent être mises à la disposition du client par le biais des produits et services. Le client et ses utilisateurs autorisés peuvent utiliser les données d’Avigilon et de tiers dans la limite autorisée par Avigilon et le fournisseur de données tiers applicable, comme indiqué dans l’accord. Sauf autorisation expresse dans l’accord, le client ne doit pas effectuer les actions suivantes et doit s’assurer du respect de ces interdictions par ses utilisateurs autorisés : (a) utiliser les données d’Avigilon ou les données de tiers à des fins autres que les objectifs commerciaux internes du client ou divulguer ces données à des tiers ; (b) utiliser ces données en « marque blanche » ou présenter de manière trompeuse leur source ou leur propriété, ou revendre, distribuer, accorder en sous-licence ou exploiter commercialement les données de quelque manière que ce soit ; (c) utiliser ces données d’une manière qui enfreint la législation applicable ; (d) utiliser ces données dans le cadre d’activités ou à des fins où la confiance accordée à ces données pourrait entraîner la mort, des blessures ou des dommages matériels ; (e) supprimer, masquer, altérer ou falsifier toute marque ou tout avis de droits de propriété indiquant la source, l’origine ou la propriété des données ; ou (f) modifier ces données ou les combiner avec les données du client ou d’autres données, ou utiliser les données pour constituer des bases de données. Des restrictions supplémentaires peuvent être énoncées dans l’accord. Tous les droits accordés au client ou aux utilisateurs autorisés en ce qui concerne les données d’Avigilon ou les données de tiers prennent impérativement et immédiatement fin à la résiliation ou à l’expiration de l’accord. En outre, Avigilon ou le fournisseur de données tiers applicable peut suspendre, modifier ou résilier l’accès du client ou de tout utilisateur autorisé aux données d’Avigilon ou aux données de tiers si l’un ou l’autre estime que l’utilisation des données par le client ou l’utilisateur autorisé enfreint l’accord, la législation applicable ou l’accord d’Avigilon avec le fournisseur de données tiers applicable. En cas de résiliation des droits d’utilisation des données d’Avigilon ou de tiers, le client et tous les utilisateurs autorisés doivent immédiatement cesser d’utiliser ces données, en supprimer toutes les copies et garantir cette suppression à Avigilon. Nonobstant toute disposition contraire de l’accord, Avigilon n’est pas responsable des données de tiers ou des données d’Avigilon mises à disposition par le biais des produits et services. Avigilon et ses fournisseurs de données tiers se réservent tous les droits sur les données d’Avigilon et de tiers qui ne sont pas expressément accordés dans l’accord.
5. Avigilon en tant que responsable du traitement ou responsable conjoint du traitement. Chaque fois qu’Avigilon agit en tant que responsable du traitement, elle se conforme impérativement aux dispositions applicables de la déclaration de confidentialité disponible à l’adresse https://www.avigilon.com/about…, laquelle est susceptible d’être mise à jour périodiquement. Avigilon détient toutes les coordonnées du client en tant que responsable du traitement et a l’obligation de les traiter conformément à la déclaration de confidentialité d’Avigilon. Chaque fois qu’Avigilon agit en tant que responsable conjoint du traitement avec le client, les parties doivent conclure un avenant distinct à l’accord pour répartir les rôles respectifs en tant que responsables conjoints du traitement.
6. Sous-traitants ultérieurs.
6.1 Recours à des sous-traitants ultérieurs. Le client convient qu’Avigilon peut faire appel à des sous-traitants ultérieurs qui, à leur tour, peuvent engager des sous-traitants ultérieurs pour traiter les données à caractère personnel conformément à l’ATD. Une liste actualisée des sous-traitants ultérieurs figure à l’annexe III. Lorsqu’elle fait appel à des sous-traitants ultérieurs, Avigilon doit conclure des accords avec ces derniers pour les lier à des obligations substantiellement similaires ou plus strictes que celles énoncées dans le présent ATD.
6.2 Changements apportés au traitement ultérieur. Le client consent par la présente à ce qu’Avigilon fasse appel à des sous-traitants ultérieurs pour traiter les données du client, étant entendu que : (i) Avigilon doit s’efforcer dans la mesure du raisonnable de transmettre un préavis d’au moins 10 jours en cas d’ajout ou de suppression de tout sous-traitant ultérieur, lequel peut être donné en publiant les informations relatives à cet ajout ou cette suppression sur une URL fournie au client à l’annexe III du présent accord ; (ii) Avigilon impose des modalités de protection des données à tout sous-traitant ultérieur qu’il désigne, modalités qui protègent les données du client selon les mêmes critères que ceux prévus par le présent accord ; et (iii) Avigilon demeure entièrement responsable de toute violation de cette clause résultant d’un acte, d’une erreur ou d’une omission de la part de son (ou ses) sous-traitant(s) ultérieur(s). Le client peut s’opposer à la désignation ou au remplacement par Avigilon d’un sous-traitant ultérieur avant sa désignation ou son remplacement, à condition que cette opposition se fonde sur des motifs raisonnables liés à la protection des données. Dans ce cas, Avigilon désignera ou remplacera le sous-traitant ultérieur ou, si elle estime que cela n’est pas possible, le client peut résilier le présent accord et recevoir un remboursement au prorata de tous les frais de service ou d’assistance payés à l’avance en tant que compensation totale de toute réclamation découlant de cette résiliation.
6.3 Demandes des personnes concernées. Avigilon doit, dans la mesure où la loi le permet, informer rapidement le client si elle reçoit une demande de la part d’une personne concernée, notamment des demandes d’accès, de correction, de modification, de transport ou de suppression des données à caractère personnel de cette personne et, dans la mesure du possible, Avigilon doit proposer au client une coopération et une assistance commercialement raisonnables en ce qui concerne toute réclamation, tout avis ou toute communication émanant d’une personne concernée. Le client doit répondre à toutes les demandes émanant des personnes concernées qu’Avigilon lui transmet et s’y plier sans délai. Le client assume tous les coûts raisonnables découlant de la fourniture par Avigilon d’une telle assistance en vertu du présent paragraphe.
7. Transferts de données. Avigilon convient qu’elle ne doit pas transférer de données à caractère personnel en vertu du présent accord d’une juridiction à une autre, à moins que ces transferts ne soient effectués en conformité avec le présent accord et la législation applicable en matière de protection des données. Avigilon accepte de conclure des accords appropriés avec ses sociétés affiliées et ses sous-traitants ultérieurs, lesquels permettront de transférer des données à caractère personnel à ces derniers. Avigilon accepte de modifier, si nécessaire, son accord avec le client de manière à permettre le transfert de données à caractère personnel d’Avigilon au client. Avigilon accepte également d’aider le client à conclure des accords avec ses sociétés affiliées et sous-traitants ultérieurs si la législation applicable en matière de protection des données l’exige pour les transferts nécessaires. Dans la mesure où Avigilon est un sous-traitant ou un sous-traitant ultérieur de données à caractère personnel soumis au Règlement général sur la protection des données (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD »), et abrogeant la directive 95/46/CE, les clauses contractuelles types figurant à l’appendice 1 des présentes doivent s’appliquer aux transferts de données.
8. Sécurité. Avigilon doit mettre en œuvre les mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque posé par le traitement des données à caractère personnel, en tenant compte des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de variation de la probabilité et de la gravité des préjudices subis par les personnes concernées. Les mesures techniques et organisationnelles appropriées mises en œuvre par Avigilon sont énoncées à l’annexe II. Lors de l’évaluation du niveau de sécurité approprié, Avigilon doit mesurer les risques posés par le traitement, en particulier en ce qui concerne la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, stockées ou traitées d’une autre manière, ou l’accès à ces données, que ce soit de manière accidentelle ou illicite.
9. Signalement des incidents de sécurité. Si Avigilon a connaissance d’un incident de sécurité, elle doit (a) en informer le client dans les meilleurs délais, (b) enquêter sur cet incident et renseigner le client en détail et (c) prendre des mesures commercialement raisonnables pour mettre fin à toute perte continue de données à caractère personnel due à l’incident de sécurité, si c’est en son pouvoir. Le signalement d’un incident de sécurité ne doit pas être interprété comme une reconnaissance ou une acceptation par Avigilon de la moindre faute ou responsabilité en rapport avec cet incident. Avigilon doit s’efforcer dans la limite du raisonnable d’aider le client à remplir les obligations qui lui incombent en vertu de la législation en matière de protection des données, à savoir notifier cet incident à l’autorité de surveillance compétente et aux personnes concernées.
10. Conservation et suppression des données. À l’exception des données du client anonymisées, comme décrit ci-dessus, ou conformément aux dispositions de l’accord, Avigilon supprime toutes les données du client quatre-vingt-dix (90) jours après la résiliation ou l’expiration de l’accord, sauf si leur conservation est nécessaire pour se conformer à la législation en vigueur. Nonobstant ce qui précède, Avigilon conservera les données du client pendant au moins trente (30) jours après la résiliation ou l’expiration afin de répondre à une demande du client relative à ses données. Si, au cours de ces trente (30) jours, le client en fait la demande (par écrit), Avigilon mettra ses données à sa disposition pour exportation ou téléchargement pendant une période de trente (30) jours. Avigilon n’a aucune obligation de conserver ces données au-delà de cette période. Sous réserve du paragraphe 12.4 relatif aux données CJIS, Avigilon peut supprimer toutes les données relatives à l’utilisation des services en cas de résiliation ou d’expiration de l’accord.
11. Droits d’audit
11.1 Audit périodique. Avigilon autorisera le client à effectuer un audit d’une portée et d’une durée raisonnables des opérations d’Avigilon relatives aux produits et services achetés dans le cadre de l’accord, aux frais exclusifs du client, afin de vérifier le respect des mesures techniques et organisationnelles énoncées à l’annexe II, dans les cas suivants : (a) Avigilon notifie au client un incident de sécurité qui compromet à proprement parler les produits et/ou services achetés ; (b) le client a des raisons de penser qu’Avigilon ne respecte pas ses engagements en matière de sécurité dans le cadre du présent ATD ; ou (c) un tel audit est requis par législation en matière de protection des données. Tout audit doit être réalisé conformément aux procédures énoncées au paragraphe 11.3 du présent ATD et ne peut être effectué plus d’une fois par an. Si un tel audit nécessite l’accès à des informations confidentielles d’autres clients, fournisseurs ou agents d’Avigilon, cette partie de l’audit ne peut être réalisée que par des auditeurs tiers indépendants du client, reconnus au niveau national, conformément aux procédures énoncées au paragraphe 11.3 du présent ATD. Sauf si le RGPD l’exige ou si la loi ou une décision de justice l’impose, aucun audit n’est autorisé dans un centre de données pour des raisons de sécurité et de conformité. Avigilon ne doit en aucun cas offrir au client la possibilité de procéder à un audit de toute partie de ses logiciels, produits et services dont on pourrait raisonnablement s’attendre à ce qu’il compromette la confidentialité des informations ou des données à caractère personnel d’un tiers.
11.2 Satisfaction de la demande d’audit. À la réception d’une demande écrite d’audit, et sous réserve de l’accord du client, Avigilon peut satisfaire cette demande d’audit en fournissant au client une copie confidentielle de son examen de sécurité applicable le plus récent effectué par un auditeur tiers indépendant reconnu au niveau national, tel qu’un rapport SOC2 Type II ou une certification ISO 27001, afin que le client puisse raisonnablement vérifier le respect des normes industrielles par Avigilon.
11.3 Processus d’audit. Le client doit informer Avigilon par écrit au moins soixante (60) jours à l’avance d’une demande de réalisation de l’audit décrit au paragraphe 11.1. Tous les audits doivent être effectués pendant les heures normales d’ouverture, sur les sites concernés ou à distance, selon les indications d’Avigilon. Les lieux d’audit, s’ils ne sont pas distants, sont généralement les lieux où les données des clients sont consultées ou traitées. L’audit ne doit pas interférer de manière déraisonnable avec les activités quotidiennes d’Avigilon. Un audit doit être effectué aux frais et dépens exclusifs du client et dans le respect des obligations de confidentialité énoncées dans l’accord. Avant le début d’un tel audit, Avigilon et le client doivent convenir mutuellement de l’heure et de la durée de l’audit. Avigilon a l’obligation de coopérer à l’audit dans la mesure du raisonnable, notamment en accordant à l’auditeur désigné le droit d’examiner, mais non de copier, ses informations ou ressources relatives à la sécurité, à condition que cet auditeur ait signé un accord de non-divulgation approprié. La politique d’Avigilon consiste à partager la méthodologie et les informations de synthèse, et non des données brutes ou des informations privées. Le client doit fournir gratuitement à Avigilon une copie complète de toutes les conclusions de l’audit.
12. Conditions spécifiques en matière de réglementation
RGPD. Dans la mesure où Avigilon agit en tant que sous-traitant ou sous-traitant ultérieur de données à caractère personnel soumises au RGPD (tel que défini au paragraphe 7 des présentes), les clauses contractuelles types énoncées à l’appendice 1 des présentes doivent s’appliquer.
13. Contact d’Avigilon. Si le client estime qu’Avigilon ne respecte pas ses obligations en matière de confidentialité ou de sécurité en vertu des présentes, il doit contacter le responsable de la protection des données de Motorola chez Motorola Solutions, Inc., 500 W. Monroe St., Chicago, IL 60661 – 3618, États-Unis, ou à l’adresse électronique suivante : privacy1@motorolasolutions.com.
Appendice 1
CLAUSES CONTRACTUELLES TYPES
SECTION I
Clause 1
Finalités et champ d’application
(a) Les présentes clauses contractuelles types visent à garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), pour le transfert de données à caractère personnel vers un pays tiers.
(b) Les parties :
(c) Les présentes clauses s’appliquent au transfert de données à caractère personnel précisé à l’annexe I.B.
(d) L’appendice aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des présentes clauses.
Clause 2
Effet et invariabilité des clauses
(a) Les présentes clauses établissent des garanties appropriées, notamment des droits opposables pour la personne concernée et des voies de droit effectives, en vertu de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, point (c) du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types conformément à l’article 28, paragraphe 7 du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le(s) module(s) approprié(s) ou pour ajouter ou mettre à jour des informations dans l’appendice. Ceci n’empêche pas les parties d’inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les présentes clauses et qu’elles ne portent pas atteinte aux libertés ou droits fondamentaux des personnes concernées.
(b) Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.
Clause 3
Tiers bénéficiaires
(a) Les personnes concernées peuvent invoquer et faire valoir les présentes clauses, en tant que tiers bénéficiaires, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes :
(b) Le paragraphe (a) est sans préjudice des droits des personnes concernées au titre du règlement (UE) 2016/679.
Clause 4
Interprétation
(a) Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ceux-ci ont la même signification que dans ledit règlement.
(b) Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.
(c) Les présentes clauses ne sont pas interprétées dans un sens contraire aux droits et obligations prévus par le règlement (UE) 2016/679.
Clause 5
Hiérarchie
En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties, existant au moment où les présentes clauses sont convenues ou souscrites par la suite, les présentes clauses prévalent.
Clause 6
Description du ou des transferts
Les détails du ou des transferts, et en particulier les catégories de données à caractère personnel qui sont transférées ainsi que la ou les finalités pour lesquelles elles le sont, sont précisés à l’annexe I.B.
Clause 7 – Facultative
Clause d’adhésion
(a) Une entité qui n’est pas partie aux présentes clauses peut, avec l’accord des parties, y adhérer à tout moment, soit en tant qu’exportateur de données, soit en tant qu’importateur de données, en remplissant l’appendice et en signant l’annexe I.A.
(b) Une fois l’appendice rempli et l’annexe I.A signée, l’entité adhérente devient partie aux présentes clauses et a les droits et obligations d’un exportateur ou d’un importateur de données selon sa désignation dans l’annexe I.A.
(c) L’entité adhérente n’a aucun droit ni aucune obligation découlant des présentes clauses pour la période antérieure à son adhésion à celles-ci.
SECTION II – OBLIGATIONS DES PARTIES
Clause 8
Garanties en matière de protection des données
L’exportateur de données garantit qu’il a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses.
8.1 Instructions
(a) L’importateur de données ne traite les données à caractère personnel que sur instructions documentées de l’exportateur de données. L’exportateur de données peut donner ces instructions pendant toute la durée du contrat.
(b) S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement l’exportateur de données.
8.2 Limitation des finalités
L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du transfert, telles que précisées à l’annexe I.B, sauf en cas d’instructions supplémentaires de l’exportateur de données.
8.3 Transparence
Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, notamment de l’appendice tel que rempli par les parties. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les mesures décrites à l’annexe II et les données à caractère personnel, l’exportateur de données peut occulter une partie du texte de l’appendice aux présentes clauses avant d’en communiquer une copie, mais il fournit un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en comprendre le contenu ou d’exercer ses droits. Les parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des occultations, dans la mesure du possible sans révéler les informations occultées. Cette clause est sans préjudice des obligations qui incombent à l’exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.
8.4 Exactitude
Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes, ou sont obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour effacer ou rectifier les données.
8.5 Durée du traitement et effacement ou restitution des données
Le traitement par l’importateur de données a lieu uniquement pendant la durée spécifiée à l’annexe I.B. Au terme de la prestation des services de traitement, l’importateur de données, à la convenance de l’exportateur de données, efface toutes les données à caractère personnel traitées pour le compte de ce dernier et lui en apporte la preuve, ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel, ce dernier garantit qu’il continuera de veiller au respect des présentes clauses et qu’il ne traitera les données que dans la mesure où et aussi longtemps que cette législation locale l’exige. Ceci est sans préjudice de la clause 14, en particulier de l’obligation imposée à l’importateur de données par la clause 14, paragraphe (e) d’informer l’exportateur de données pendant toute la durée du contrat s’il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences de la clause 14, paragraphe (a).
8.6 Sécurité du traitement
(a) L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de ces données ou l’accès non autorisé à celles-ci (ci-après la « violation de données à caractère personnel »). Lors de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement, ainsi que des risques inhérents au traitement pour les personnes concernées. Les parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée spécifique restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données. Pour s’acquitter des obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe II. Il procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié.
(b) L’importateur de données ne donne l’accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
(c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes clauses, ce dernier prend les mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données informe également l’exportateur de données dans les meilleurs délais après en avoir eu connaissance. Ce signalement contient les coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus informations, ainsi qu’une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), de ses conséquences probables et des mesures prises ou proposées pour y remédier, y compris, le cas échéant, des mesures visant à en atténuer les effets négatifs potentiels. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, le signalement initial contient les informations disponibles à ce moment-là et les autres informations sont fournies par la suite, dans les meilleurs délais, au fur et à mesure qu’elles deviennent disponibles.
(d) L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter les obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment celle d’informer l’autorité de contrôle compétente et les personnes concernées, compte tenu de la nature du traitement et des informations à la disposition de l’importateur de données.
8.7 Données sensibles
Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après les « données sensibles »), l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires décrites à l’annexe I.B.
8.8 Transferts ultérieurs
L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées de l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne (4) (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après « transfert ultérieur ») que si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié, ou si :
(a) le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur ;
(b) le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question ;
(c) le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou
(d) le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.
Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties prévues au titre des présentes clauses, en particulier de la limitation des finalités.
8.9 Documentation et conformité
(a) L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de l’exportateur de données concernant le traitement au titre des présentes clauses.
(b) Les parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de traitement menées pour le compte de l’exportateur de données.
(c) L’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations prévues par les présentes clauses et, à la demande de l’exportateur de données, pour permettre la réalisation d’audits des activités de traitement couvertes par les présentes clauses et contribuer à ces audits, à intervalles raisonnables ou s’il existe des indications de non-respect. Lorsqu’il décide d’un examen ou d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues par l’importateur de données.
(d) L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.
(e) Les parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les informations mentionnées aux paragraphes (b) et (c), y compris les résultats de tout audit.
Clause 9
Recours à des sous-traitants ultérieurs
(a) OPTION 1 : AUTORISATION PRÉALABLE SPÉCIFIQUE. L’importateur de données ne sous-traite aucune des activités de traitement qu’il mène pour le compte de l’exportateur de données au titre des présentes clauses à un sous-traitant ultérieur sans l’autorisation écrite spécifique préalable de l’exportateur de données. L’importateur de données soumet la demande d’autorisation spécifique au moins [précisez le délai] avant le recrutement du sous-traitant ultérieur, avec les informations nécessaires pour permettre à l’exportateur de données de se prononcer sur l’autorisation. La liste des sous-traitants ultérieurs déjà autorisés par l’exportateur de données est disponible à l’annexe III. Les parties tiennent cette annexe à jour.
OPTION 2 : AUTORISATION ÉCRITE GÉNÉRALE. L’importateur de données a l’autorisation générale de l’exportateur de données de recruter un ou plusieurs sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe expressément par écrit l’exportateur de données de tout changement concernant l’ajout ou le remplacement de sous-traitants ultérieurs au moins [précisez le délai] à l’avance, donnant ainsi à l’exportateur de données suffisamment de temps pour émettre des objections à l’encontre de ces changements ou avant le recrutement du ou des sous-traitants ultérieurs. L’importateur de données fournit à l’exportateur de données les informations nécessaires pour lui permettre d’exercer son droit d’émettre des objections.
(b) Lorsque l’importateur de données engage un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte de l’exportateur de données), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données au titre des présentes clauses, y compris en ce qui concerne les droits du tiers bénéficiaire pour les personnes concernées (8). Les parties conviennent qu’en respectant la présente clause, l’importateur de données satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses.
(c) L’importateur de données fournit à l’exportateur de données, à la demande de celui-ci, une copie du contrat avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en communiquer une copie.
(d) L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu dudit contrat.
(e) L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner instruction à ce dernier d’effacer ou de restituer les données à caractère personnel.
Clause 10
Droits des personnes concernées
(a) L’importateur de données informe rapidement l’exportateur de données de toute demande reçue d’une personne concernée. Il ne répond pas lui-même à cette demande, à moins d’y avoir été autorisé par l’exportateur de données.
(b) L’importateur de données aide l’exportateur de données à s’acquitter de son obligation de répondre aux demandes des personnes concernées désireuses d’exercer leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide requise.
(c) Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes (a) et (b), l’importateur de données se conforme aux instructions de l’exportateur de données.
Clause 11
Voies de recours
(a) L’importateur de données informe les personnes concernées, sous une forme transparente et aisément accessible, au moyen d’une notification individuelle ou sur son site web, d’un point de contact autorisé à traiter les réclamations. Celui-ci traite sans délai toute réclamation reçue d’une personne concernée.
[OPTION : L’importateur de données convient que les personnes concernées peuvent également déposer, sans frais, une réclamation auprès d’un organe de règlement des litiges indépendant. Il informe les personnes concernées, de la manière indiquée au paragraphe (a), de ce mécanisme de recours et du fait qu’elles ne sont pas tenues d’y recourir ni de respecter une hiérarchie dans les recours.]
(b) En cas de litige entre une personne concernée et l’une des parties portant sur le respect des présentes clauses, cette partie met tout en œuvre pour parvenir à un règlement à l’amiable dans les meilleurs délais. Les parties se tiennent mutuellement informées de ces litiges et, s’il y a lieu, coopèrent pour les résoudre.
(c) Lorsque la personne concernée invoque un droit du tiers bénéficiaire en vertu de la clause 3, l’importateur de données accepte la décision de la personne concernée :
(d) Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l’article 80, paragraphe 1 du règlement (UE) 2016/679.
(e) L’importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de l’UE ou d’un État membre.
(f) L’importateur de données convient que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural et matériel de cette dernière d’obtenir réparation conformément à la législation applicable.
Clause 12
Responsabilité
(a) Chaque partie est responsable envers l’autre ou les autres parties de tout dommage qu’elle cause à l’autre ou aux autres parties du fait d’un manquement aux présentes clauses.
(b) L’importateur de données est responsable à l’égard de la personne concernée, et la personne concernée a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’importateur de données ou son sous-traitant ultérieur du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses.
(b) Nonobstant le paragraphe (b), l’exportateur de données est responsable à l’égard de la personne concernée, et celle-ci a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’exportateur ou l’importateur de données (ou son sous-traitant ultérieur) du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données et, si l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du traitement, de la responsabilité de ce dernier au titre du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas.
(d) Les parties conviennent que, si l’exportateur de données est reconnu responsable, en vertu du paragraphe (c), du dommage causé par l’importateur de données (ou son sous-traitant ultérieur), il a le droit de réclamer auprès de l’importateur de données la part de la réparation correspondant à la responsabilité de celui-ci dans le dommage.
(e) Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement et la personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties.
(f) Les parties conviennent que, si la responsabilité de l’une d’entre elles est reconnue en vertu du paragraphe (e), elle est en droit de réclamer auprès de l’autre ou des autres parties la part de la réparation correspondant à sa/leur responsabilité dans le dommage.
(g) L’importateur de données ne peut invoquer le comportement d’un sous-traitant ultérieur pour se soustraire à sa propre responsabilité.
Clause 13
Surveillance
(a) [Si l’exportateur de données est établi dans un État membre de l’UE :] L’autorité de contrôle chargée de garantir le respect par l’exportateur de données du règlement (UE) 2016/679 en ce qui concerne le transfert de données, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente.
[Si l’exportateur de données n’est pas établi dans un État membre de l’UE, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2, et a désigné un représentant en vertu de l’article 27, paragraphe 1 dudit règlement :] L’autorité de contrôle de l’État membre dans lequel le représentant au sens de l’article 27, paragraphe 1 du règlement (UE) 2016/679 est établi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente.
[Si l’exportateur de données n’est pas établi dans un État membre de l’UE, mais relève du champ d’application territorial du règlement (UE) 2016/679 en vertu de son article 3, paragraphe 2, sans toutefois avoir à désigner un représentant en vertu de l’article 27, paragraphe 2 du règlement (UE) 2016/679 :] L’autorité de contrôle de l’un des États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont transférées au titre des présentes clauses en lien avec l’offre de biens ou de services qui leur est faite, ou dont le comportement fait l’objet d’un suivi, telle qu’indiquée à l’annexe I.C, agit en qualité d’autorité de contrôle compétente.
(b) L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à garantir le respect des présentes clauses. En particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, notamment les mesures correctrices et compensatoires. Il confirme par écrit à l’autorité de contrôle que les mesures nécessaires ont été prises.
SECTION III – LÉGISLATIONS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS DES AUTORITÉS PUBLIQUES
Clause 14
Législations et pratiques locales ayant une incidence sur le respect des clauses
(a) Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses. Cette disposition repose sur l’idée que les législations et pratiques qui respectent l’essence des droits et libertés fondamentaux et qui n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour préserver l’un des objectifs énumérés à l’article 23, paragraphe 1 du règlement (UE) 2016/679, ne sont pas en contradiction avec les présentes clauses.
(b) Les parties déclarent qu’en apportant la garantie mentionnée au paragraphe (a), elles ont tenu dûment compte, en particulier, des éléments suivants :
(c) L’importateur de données garantit que, lors de l’évaluation au titre du paragraphe (b), il a déployé tous les efforts possible pour fournir des informations pertinentes à l’exportateur de données et convient qu’il continuera de coopérer avec ce dernier pour garantir le respect des présentes clauses.
(d) Les parties conviennent de conserver une trace documentaire de l’évaluation au titre du paragraphe (b) et de mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande.
(e) L’importateur de données accepte d’informer sans délai l’exportateur de données si, après avoir souscrit aux présentes clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences du paragraphe (a), notamment à la suite d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application pratique de cette législation qui n’est pas conforme aux exigences du paragraphe (a). [Pour le module 3 : L’exportateur de données transmet la notification au responsable du traitement.]
(f) À la suite d’une notification au titre du paragraphe (e), ou si l’exportateur de données a d’autres raisons de croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des présentes clauses, l’exportateur de données identifie sans délai les mesures appropriées (par ex. des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) à adopter par l’exportateur et/ou l’importateur de données pour remédier à la situation [Pour le module 3 : le cas échéant, en concertation avec le responsable du traitement]. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée ne peut être fournie pour ce transfert, ou si [pour le module 3 : le responsable du traitement ou] l’autorité de contrôle compétente lui en donne l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement. Lorsque le contrat est résilié en vertu de la présente clause, les paragraphes (d) et (e) de la clause 16 s’appliquent.
Clause 15
Obligations de l’importateur de données en cas d’accès des autorités publiques
15.1 Notification
(a) L’importateur de données convient d’informer sans délai l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données) :
(b) Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de pouvoir en apporter la preuve à l’exportateur de données, si celui-ci en fait la demande.
(c) Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations utiles que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, la ou les autorités requérantes, la contestation ou non des demandes et l’issue de ces contestations, etc.). [Pour le module 3 : L’exportateur de données transmet ces informations au responsable du traitement.]
(d) L’importateur de données accepte de conserver les informations mentionnées aux paragraphes (a) à (c) pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande.
(e) Les paragraphes (a) à (c) sont sans préjudice de l’obligation incombant à l’importateur de données, en vertu de la clause 14, paragraphe (e) et de la clause 16, d’informer sans délai l’exportateur de données lorsqu’il n’est pas en mesure de respecter les présentes clauses.
15.2 Contrôle de la légalité et minimisation des données
(a) L’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier de vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données exerce les possibilités d’appel ultérieures dans les mêmes conditions. Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se prononce sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant que les règles de procédure applicables ne l’y obligent pas. Ces exigences sont sans préjudice des obligations incombant à l’importateur de données en vertu de la clause 14, paragraphe (e).
(b) L’importateur de données accepte de garder une trace documentaire de son évaluation juridique ainsi que de toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, de mettre les documents concernés à la disposition de l’exportateur de données. Il les met également à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande. [Pour le module 3 : L’exportateur de données met l’évaluation à la disposition du responsable du traitement.]
(c) L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.
SECTION IV – DISPOSITIONS FINALES
Clause 16
Non-respect des clauses et résiliation
(a) L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses, quelle qu’en soit la raison.
(b) Dans le cas où l’importateur de données enfreint les présentes clauses ou n’est pas en mesure de les respecter, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que le respect des présentes clauses soit à nouveau garanti ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14, paragraphe (f).
L’exportateur de données est en droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses, dans les cas suivants :
Dans ces situations, il informe l’autorité de contrôle compétente [pour le module 3 : et le responsable du traitement] de ce non-respect. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement.
(d) Les données à caractère personnel qui ont été transférées avant la résiliation du contrat au titre du paragraphe (c) sont immédiatement restituées à l’exportateur de données ou effacées dans leur intégralité, à la convenance de celui-ci. Il en va de même pour toute copie des données. L’importateur de données apporte la preuve de l’effacement des données à l’exportateur de données. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel transférées, ce dernier garantit qu’il continuera de veiller au respect des présentes clauses et qu’il ne traitera les données que dans la mesure où et aussi longtemps que cette législation locale l’exige.
(e) Chaque partie peut révoquer son consentement à être liée par les présentes clauses (i) si la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3 du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s’appliquent ; ou (ii) si le règlement (UE) 2016/679 est intégré dans le cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations applicables au traitement en question au titre du règlement (UE) 2016/679.
Clause 17
Droit applicable
Les présentes clauses sont régies par le droit de l’État membre de l’UE dans lequel l’exportateur de données est établi. Si ce droit ne reconnaît pas de droits au tiers bénéficiaire, les clauses sont régies par le droit d’un autre État membre de l’UE qui reconnaît de tels droits. Les parties conviennent qu’il s’agit du droit danois.
Clause 18
Élection de for et juridiction
(a) Tout litige survenant du fait des présentes clauses est tranché par les juridictions d’un État membre de l’UE.
(b) Les parties conviennent qu’il s’agit des tribunaux danois.
(c) La personne concernée peut également poursuivre l’exportateur et/ou l’importateur de données devant les juridictions de l’État membre dans lequel elle a sa résidence habituelle.
(d) Les parties acceptent de se soumettre à la compétence de ces juridictions.
ANNEXE I
A. LISTE DES PARTIES
Exportateur(s) de données : [Identité et coordonnées de l’exportateur ou des exportateurs de données et, le cas échéant, de leur délégué à la protection des données et/ou de leur représentant dans l’Union européenne]
1.
Nom : …
Adresse : …
Nom, fonction et coordonnées du contact : …
Activités en rapport avec les données transférées au titre des présentes clauses : …
Rôle (responsable du traitement/sous-traitant) : Responsable du traitement
2.
…
Importateur(s) de données : [Identité et coordonnées de l’importateur ou des importateurs de données, y compris de tout contact chargé de la protection des données]
1.
Nom : Motorola Solutions, Inc.
Adresse : 500 W. Monroe St., Chicago, IL 60661 USA
Nom, fonction et coordonnées du contact : Irene Amu, DPD, Privacy1@MotorolaSolutions.com
Activités en rapport avec les données transférées au titre des présentes clauses : Fourniture de services liés à la sécurité vidéo et/ou au système de contrôle d’accès dans les locaux du responsable du traitement.
Rôle (responsable du traitement/sous-traitant) : Sous-traitant
2.
…
B. DESCRIPTION DU TRANSFERT
Catégories de personnes concernées dont les données à caractère personnel sont transférées
Les personnes concernées comprennent les représentants de l’exportateur de données et les utilisateurs finaux, y compris les employés, contractuels, collaborateurs et clients de l’exportateur de données. Les personnes concernées peuvent également être des individus qui tentent de communiquer ou de transférer des informations personnelles aux utilisateurs des services fournis par l’importateur de données. Avigilon reconnaît que, selon l’utilisation du service en ligne par le client, ce dernier peut choisir d’inclure dans les données du client des données à caractère personnel provenant de l’un des types de personnes concernées suivants :
employés, contractuels et travailleurs temporaires (actuels, anciens et potentiels) de l’exportateur de données ;
personnes à charge des personnes susmentionnées ;
collaborateurs/contacts de l’exportateur de données (personnes physiques) ou employés, contractuels ou travailleurs temporaires des collaborateurs/contacts de l’entité juridique (actuels, anciens et potentiels) ;
utilisateurs (par ex. clients, patients, visiteurs, etc.) et autres personnes concernées qui utilisent les services de l’exportateur de données ;
partenaires, parties prenantes ou individus qui collaborent activement, communiquent ou interagissent d’une autre manière avec les employés de l’exportateur de données et/ou utilisent des outils de communication tels que des applications et des sites web fournis par l’exportateur de données ;
parties prenantes ou individus qui interagissent passivement avec l’exportateur de données (par ex. parce qu’ils font l’objet d’une enquête ou d’une recherche ou sont mentionnés dans des documents ou une correspondance émanant de l’exportateur de données ou lui étant destinés) ;
personnes mineures ; ou
professionnels bénéficiant d’un privilège professionnel (par ex. médecins, avocats, notaires, religieux, etc.).
Catégories de données à caractère personnel transférées
Dans le cadre de son utilisation des produits et services, le client peut choisir d’inclure dans ses données des données à caractère personnel relevant des catégories suivantes :
données à caractère personnel de base (par ex. lieu de naissance, nom de la rue et numéro [adresse], code postal, ville de résidence, pays de résidence, numéro de téléphone portable, prénom, nom de famille, initiales, adresse électronique, sexe, date de naissance), y compris les données à caractère personnel de base relatives aux membres de la famille et aux enfants ;
données d’authentification (par ex. nom d’utilisateur, mot de passe ou code PIN, question de sécurité, piste d’audit) ;
coordonnées (par ex. adresses, adresse électronique, numéros de téléphone, identifiants sur les réseaux sociaux, contact en cas d’urgence) ;
numéros d’identification uniques et signatures (par ex. numéro de sécurité sociale, numéro de compte bancaire, numéro de passeport et de carte d’identité, numéro de permis de conduire et données d’immatriculation du véhicule, adresses IP, numéro d’employé, numéro d’étudiant, numéro de patient, signature, identifiant unique utilisé dans les cookies de suivi ou toute autre technologie similaire) ;
identifiants pseudonymes ;
informations financières et d’assurance (par ex. numéro d’assurance, nom et numéro de compte bancaire, nom et numéro de carte de crédit, numéro de facture, revenus, type d’assurance, comportement de paiement, solvabilité) ;
informations commerciales (par ex. historique des achats, offres spéciales, informations sur les abonnements, historique des paiements) ;
informations biométriques (par ex. ADN, empreintes digitales et scanners de l’iris) ;
données de localisation (par ex. Cell ID, données de géolocalisation du réseau, localisation au début de l’appel/à la fin de l’appel, données de localisation dérivées de l’utilisation de points d’accès WiFi) ;
photos, fichiers vidéo et audio ;
activité sur Internet (par ex. historique de navigation, historique de recherche, lectures, programmes télévisés visionnés, programmes de radio écoutés) ;
identification de l’appareil (par ex. numéro IMEI, numéro de carte SIM, adresse MAC) ;
profilage (par ex. sur la base d’un comportement criminel ou antisocial observé ou de profils pseudonymes basés sur les URL visités, les flux de clics, les journaux de navigation, les adresses IP, les domaines, les applications installées, ou de profils basés sur les préférences marketing) ;
données relatives aux ressources humaines et au recrutement (par ex. déclaration de statut professionnel, informations relatives au recrutement [CV, parcours professionnel, parcours scolaire, etc.], données relatives à l’emploi et au poste, y compris les heures travaillées, les évaluations et le salaire, les données relatives au permis de travail, les disponibilités, les conditions d’emploi, les données fiscales, les données relatives à la rémunération, les données d’assurance et la localisation, ainsi que les organisations) ;
données scolaires (par ex. parcours scolaire, formation actuelle, notes et résultats, diplôme le plus élevé obtenu, troubles de l’apprentissage) ;
informations relatives à la citoyenneté et à la résidence (par ex. citoyenneté, statut de naturalisation, état civil, nationalité, statut d’immigration, données du passeport, données relatives au titre de séjour ou permis de travail) ;
informations traitées pour l’exécution d’une tâche effectuée dans l’intérêt public ou dans l’exercice d’une autorité officielle ;
catégories particulières de données (par ex. origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques aux fins d’identifier une personne physique de manière unique, données concernant la santé, données concernant la vie sexuelle ou l’orientation sexuelle d’une personne, données relatives à des condamnations pénales et à des infractions) ; ou
toute autre donnée à caractère personnel identifiée à l’article 4 du RGPD.
Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, telles qu’une limitation stricte des finalités, des restrictions d’accès (notamment un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, des restrictions applicables aux transferts ultérieurs ou des mesures de sécurité supplémentaires.
…
Fréquence du transfert (par ex. si les données sont transférées de manière ponctuelle ou continue).
Les données peuvent être transférées de manière continue pendant la durée de l’accord ou de tout autre accord auquel le présent ATD s’applique.
Nature du traitement
La nature, la portée et la finalité du traitement de données à caractère personnel sont l’exécution des obligations d’Avigilon en ce qui concerne la fourniture des produits et services achetés dans le cadre de l’accord. L’importateur de données utilise un réseau mondial de centres de données et d’installations de gestion/d’assistance, et le traitement peut avoir lieu dans toute juridiction où l’importateur de données ou ses sous-traitants ultérieurs utilisent ces installations.
Finalité(s) du transfert et du traitement ultérieur des données
La nature, la portée et la finalité du traitement de données à caractère personnel sont l’exécution des obligations d’Avigilon en ce qui concerne la fourniture des produits et services achetés dans le cadre de l’accord. L’importateur de données utilise un réseau mondial de centres de données et d’installations de gestion/d’assistance, et le traitement peut avoir lieu dans toute juridiction où l’importateur de données ou ses sous-traitants ultérieurs utilisent ces installations.
Durée de conservation des données à caractère personnel ou, lorsque cela n’est pas possible, critères utilisés pour déterminer cette durée
La conservation des données est régie par le paragraphe 10 du présent accord sur le traitement des données.
Pour les transferts à des sous-traitants (ultérieurs), précisez également l’objet, la nature et la durée du traitement
Les transferts vers les sous-traitants ultérieurs sont uniquement destinés à l’exécution des obligations d’Avigilon en ce qui concerne la fourniture des produits et services achetés dans le cadre de l’accord. La durée du traitement est celle de l’accord. L’importateur de données utilise un réseau mondial de centres de données et d’installations de gestion/d’assistance, et le traitement peut avoir lieu dans toute juridiction où l’importateur de données ou ses sous-traitants ultérieurs utilisent ces installations.
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
Agence danoise de protection des données
ANNEXE II
MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES
NOTE EXPLICATIVE :
Les mesures techniques et organisationnelles doivent être décrites en termes spécifiques (et non génériques). Voir également le commentaire général à la première page de l’appendice, en particulier sur la nécessité d’indiquer clairement les mesures qui s’appliquent à chaque transfert/ensemble de transferts.
Description des mesures techniques et organisationnelles mises en œuvre par le ou les importateurs de données (y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.
[Exemples de mesures possibles :
Mesures de pseudonymisation et de chiffrement des données à caractère personnel
Lorsque cela est techniquement possible et que cela n’a pas d’incidence sur les services fournis :
Avigilon minimise les données qu’elle recueille en les limitant aux informations qu’elle juge nécessaires pour communiquer, fournir et assurer une assistance pour les produits et services, ainsi qu’aux informations nécessaires pour se conformer aux obligations légales.
Avigilon chiffre les données en transit et au repos.
Avigilon pseudonymise et limite les comptes administratifs qui ont accès au processus inversé de pseudonymisation.
Mesures visant à garantir en permanence la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement
Afin de garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement, la politique d’Avigilon en matière de protection des informations impose l’institutionnalisation de la protection des informations tout au long des cycles de développement et d’exploitation des solutions. Avigilon dispose d’équipes de sécurité dédiées à la sécurité des informations internes et à ses produits et services. Ses pratiques et politiques de sécurité font partie intégrante de ses activités et revêtent un caractère obligatoire pour tous les employés et contractuels d’Avigilon. Le responsable de la sécurité des informations d’Avigilon assume la responsabilité vis-à-vis de ces politiques et assure leur surveillance au niveau exécutif, y compris la gouvernance formelle, la gestion des révisions, la formation du personnel et la conformité. Avigilon s’aligne généralement sur le cadre de cybersécurité du NIST ainsi que sur la norme ISO 27001.
Une partie de la configuration du système est sous le contrôle du client.
Mesures visant à garantir la capacité de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique
Procédures en cas d’incident de sécurité. Avigilon applique un plan global de réponse aux incidents afin de traiter rapidement tout incident physique ou technique. Avigilon tient un registre des violations de sécurité avec une description de la violation, sa durée, ses conséquences, le nom de l’auteur du signalement et de ses destinataires, ainsi que la procédure appliquée pour récupérer les données. Pour chaque violation de sécurité qui constitue un incident de sécurité, un signalement est effectué conformément au paragraphe « Signalement des incidents de sécurité » du présent ATD.
Continuité des activités et préparation aux catastrophes. Avigilon applique des plans de continuité des activités et de préparation aux catastrophes pour les fonctions et systèmes critiques sous le contrôle d’Avigilon qui sous-tendent les produits et services achetés dans le cadre de l’accord afin d’éviter les interruptions de services et de minimiser les risques de récupération.
Procédures visant à tester, à apprécier et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement
Avigilon évalue périodiquement ses processus et systèmes afin de garantir le respect permanent des obligations imposées par la loi, la réglementation ou contractuellement en ce qui concerne la confidentialité, l’intégrité, la disponibilité et la sécurité des données des clients, y compris des informations personnelles. Avigilon garde une trace documentaire des résultats de ces évaluations et de toutes les mesures correctrices prises en réponse à ces évaluations. Avigilon fait périodiquement réaliser des évaluations par des tiers en fonction des normes industrielles applicables, telles que ISO 27001, 27017, 27018 et 27701.
Mesures d’identification et d’autorisation des utilisateurs
Identification et authentification. Avigilon emploie des pratiques conformes aux normes industrielles pour identifier et authentifier les utilisateurs qui tentent d’accéder aux systèmes d’information d’Avigilon. Lorsque les mécanismes d’authentification sont basés sur des mots de passe, Avigilon exige que ceux-ci comportent au moins huit caractères et qu’ils soient changés régulièrement. Avigilon emploie des pratiques de protection des mots de passe conformes aux normes industrielles, y compris des pratiques conçues pour préserver la confidentialité et l’intégrité des mots de passe lorsqu’ils sont attribués et distribués et pendant leur stockage.
Politique d’accès et administration. Avigilon tient un registre des privilèges de sécurité des personnes ayant accès aux données des clients, y compris aux informations personnelles. Avigilon applique des processus appropriés pour la demande, l’approbation et l’administration de comptes et de privilèges d’accès dans le cadre du traitement des données des clients. Seul le personnel autorisé peut accorder, modifier ou révoquer les accès autorisés aux données et aux ressources. Lorsqu’une personne a accès à des systèmes contenant des données de clients, des identifiants distincts et uniques lui sont attribués. Avigilon désactive périodiquement les identifiants d’authentification.
Mesures de protection des données lors de leur transmission
Les données sont généralement chiffrées lors de leur transmission dans les environnements gérés par Avigilon. En règle générale, le chiffrement en transit est également exigé de tout sous-traitant ultérieur. En outre, la protection des données en transit est également assurée par les contrôles des accès, la sécurité physique et environnementale et la sécurité du personnel décrits dans la présente annexe II.
Mesures de protection des données lors de leur stockage
Les données sont généralement chiffrées lors de leur stockage dans les environnements gérés par Avigilon. En règle générale, le chiffrement en stockage est également exigé de tout sous-traitant ultérieur. En outre, la protection des données en stockage est également assurée par les contrôles des accès, la sécurité physique et environnementale et la sécurité du personnel décrits dans la présente annexe II.
Mesures visant à assurer la sécurité physique des lieux où sont traitées les données à caractère personnel
Avigilon applique des contrôles de sécurité physiques et environnementaux appropriés afin d’empêcher tout accès non autorisé aux données des clients, y compris aux informations personnelles. Cela comprend des mesures physiques appropriées pour contrôler l’accès aux installations d’Avigilon, telles que des points d’entrée contrôlés par carte et un bureau d’accueil doté de personnel, afin d’empêcher toute entrée non autorisée. L’accès aux zones contrôlées d’un site est restreint selon la fonction exercée et soumis à une autorisation. L’utilisation d’un badge d’accès pour pénétrer dans une zone contrôlée est enregistrée et ces journaux sont conservés conformément à la politique d’Avigilon. Avigilon révoque l’accès des employés aux installations d’Avigilon et aux zones contrôlées au moment de leur départ de la société, conformément aux politiques d’Avigilon. Les politiques d’Avigilon imposent des mesures de contrôle des postes de travail, appareils et supports conformes aux normes industrielles, conçues pour renforcer la protection des données des clients, y compris des informations personnelles.
Mesures visant à assurer la sécurité du personnel
Accès aux données des clients. Avigilon applique des processus d’autorisation et de supervision de ses employés et contractuels en ce qui concerne le contrôle de l’accès aux données des clients. Avigilon exige de ses employés, contractuels et agents qui ont ou sont susceptibles d’avoir accès aux données de clients qu’ils se conforment aux dispositions de l’accord, y compris à la présente annexe et à tout autre accord applicable liant Avigilon.
Sensibilisation à la sécurité et à la protection de la vie privée. Avigilon doit veiller à ce que ses employés et contractuels soient informés des pratiques de sécurité et de protection de la vie privée conformes aux normes industrielles et de leurs responsabilités en matière de protection des données des clients et des données à caractère personnel. Cela doit inclure, sans s’y limiter, la protection contre les logiciels malveillants, la protection et la gestion des mots de passe, ainsi que l’utilisation des postes de travail et des comptes du système informatique. Avigilon exige une formation périodique à la sécurité de l’information, à la protection de la vie privée et à l’éthique des affaires pour l’ensemble des employés et des ressources contractuelles.
Politique de sanctions. Avigilon applique une politique de sanctions pour traiter les infractions aux exigences de sécurité internes d’Avigilon ainsi qu’à celles imposées par la loi, la réglementation ou contractuellement.
Vérification des antécédents. Avigilon applique ses exigences standard en matière de vérification obligatoire à tous les nouveaux employés. Conformément à la politique interne d’Avigilon, ces exigences doivent être revues périodiquement et comprennent de manière non exhaustive la vérification du casier judiciaire, une preuve de la validation de l’identité et toute autre vérification jugée nécessaire par Avigilon.
Mesures visant à garantir la journalisation des événements
Avigilon applique des politiques exigeant une surveillance continue et la journalisation des événements sur toutes les ressources d’information liées à la production. Les journaux d’audit des applications doivent être consignés sur toutes les ressources d’information d’Avigilon liées à la production. Les journaux d’audit des ressources d’information d’Avigilon liées à la production sont régulièrement examinés et des mesures correctrices appropriées sont prises si nécessaire.
Mesures visant à garantir la configuration du système, notamment la configuration par défaut
Mesures relatives à la gouvernance et à la gestion internes de l’informatique et de la sécurité informatique
L’organisation de la sécurité de l’information en entreprise de Motorola Solutions est structurée comme suit : Gouvernance/Risque/Conformité, Renseignements sur les menaces et gestion des vulnérabilités, Détection, Protection et Réponse. Avigilon évalue chaque année l’efficacité de l’organisation par l’intermédiaire d’évaluateurs externes qui communiquent les résultats de l’évaluation aux services d’audit d’Avigilon, qui assurent le suivi des éventuelles mesures correctrices identifiées. De plus amples informations sont disponibles dans le Trust Center d’Avigilon à l’adresse suivante : https://www.motorolasolutions.com/en_us/about/trust-center/security.html
Mesures de certification/assurance des procédés et des produits
Avigilon réalise des audits de sécurité internes Secure Application Review et Secure Design Review, ainsi que des examens de l’état de préparation à la production (Production Readiness Review) relatifs à la sécurité avant la mise en place du service. Le cas échéant, des évaluations de la protection de la vie privée sont effectuées pour les produits et services d’Avigilon. Un registre des risques est créé à la suite des audits internes et les tâches sont confiées au personnel approprié. Des audits de sécurité sont réalisés chaque année et des audits supplémentaires sont effectués si nécessaire. Des évaluations supplémentaires de la protection de la vie privée, y compris des cartes de données mises à jour, sont effectuées lorsque des changements substantiels sont apportés aux produits ou aux services. En outre, Avigilon Solution a obtenu la certification SOC2 Type 2 de l’AICPA et la certification ISO/IEC 27001:2013 pour un grand nombre de ses opérations de développement et d’assistance.
Mesures visant à garantir la minimisation des données
Les politiques d’Avigilon exigent que toutes les informations personnelles soient traitées conformément à la législation applicable, y compris lorsque celle-ci exige la minimisation des données. En outre, Avigilon procède à des évaluations de la confidentialité de ses produits et services et détermine si ces produits et services respectent les principes relatifs au traitement énoncés à l’article 5 du RGPD, notamment la minimisation des données.
Mesures visant à garantir la qualité des données
Les politiques d’Avigilon exigent que toutes les informations personnelles soient traitées conformément à la législation applicable, y compris lorsque celle-ci exige de garantir la qualité et l’exactitude des données. En outre, Avigilon procède à des évaluations de la confidentialité de ses produits et services et détermine si ces derniers respectent les principes relatifs au traitement énoncés à l’article 5 du RGPD, notamment la garantie de la qualité des données.
Mesures visant à garantir une conservation limitée des données
Avigilon applique une politique de conservation des données qui prévoit un calendrier de conservation définissant les périodes de stockage des données à caractère personnel. Ce calendrier est basé sur les besoins de l’entreprise et fournit suffisamment d’informations pour identifier tous les enregistrements et pour mettre en œuvre les décisions d’élimination conformément au calendrier. La politique est revue et mise à jour périodiquement.
Mesures visant à garantir la reddition de comptes
Afin de garantir le respect du principe de reddition de comptes, Avigilon applique un programme de protection de la vie privée qui aligne généralement ses activités sur le cadre de gestion et de responsabilité en matière de protection de la vie privée de Nymity et sur le cadre de protection de la vie privée du NIST. Le programme de protection de la vie privée fait l’objet d’un audit annuel par les services d’audit de Motorola Solutions.
Mesures visant à permettre la portabilité des données et à garantir leur effacement
Lorsqu’une personne concernée demande le déplacement, la copie ou le transfert de ses données à caractère personnel, Avigilon fournit ces données dans un format structuré, couramment utilisé et lisible par machine. Dans la mesure du possible et si une personne le demande, Avigilon peut transmettre directement les informations personnelles à une autre organisation.
Pour les transferts vers des sous-traitants (ultérieurs), décrivez également les mesures techniques et organisationnelles spécifiques que le sous-traitant (ultérieur) doit prendre pour être en mesure d’aider le responsable du traitement et, pour les transferts d’un sous-traitant à un sous-traitant ultérieur, l’exportateur de données.
Le sous-traitant passe des contrats avec ses sous-traitants ultérieurs de manière à ce qu’il puisse respecter les obligations qui lui incombent vis-à-vis du responsable du traitement. En ce qui concerne les sociétés affiliées du sous-traitant situées dans le monde entier, le sous-traitant a mis en place des règles d’entreprise contraignantes (BCR). En ce qui concerne les fournisseurs tiers, le sous-traitant passe des contrats appropriés, y compris des CCT le cas échéant, et effectue une évaluation de la sécurité avant de divulguer toutes données de clients au fournisseur.
ANNEXE III
LISTE DES SOUS-TRAITANTS ULTÉRIEURS
NOTE EXPLICATIVE :
Cette annexe doit être remplie pour les modules 2 et 3, en cas d’autorisation spécifique de sous-traitants ultérieurs (clause 9, paragraphe (a), option 1).
Le responsable du traitement a autorisé le recours aux sous-traitants ultérieurs suivants :
Nom et Services (Nom et adresse enregistrés de l’entité du fournisseur ou du sous-traitant, avec une brève description des Services correspondants) | Lieu/Transferts (Lieu où l’entité traitera les données personnelles. Indiquer où a lieu le transfert et de qui, si pertinent) | Mécanisme (Mécanisme convenu pour s’assurer que tout transfert est conforme aux lois sur la protection des données) |
Microsoft Azure (plateforme dans le cloud) | U.E. | s.o. |
Elastic (services de stockage dans le cloud pour documents JSON) | U.E. | s.o. |
Google Ireland Ltd (Ava Security cloud) | USA, U.E., UK, CA, AU, | SCCs |
OpenPath Security, Inc. (une entreprise MSI) | USA, U.E. | SCCs |
Amazon Web Services EMEA | USA | SCCs |
Freshworks Inc. | USA | SCCs |
Wasabi.com | USA, U.E., AU, CA | SCCs ou un mécanisme contractuel similaire applicable, le cas échéant |
Digital Ocean | USA, U.E., UK, CA, SG | SCCs ou un mécanisme contractuel similaire applicable, le cas échéant |
Mixpanel, Inc. | USA, U.E. | SCCs |
Bugfender | USA, U.E. | SCCs |
Bugsnag | USA, U.E. | SCCs |
Avigilon Corporation (une entreprise MSI) | USA/CA/U.E. | SCCs |
Avigilon USA Corporation (une entreprise MSI) | USA/U.E. | SCCs |
Millicast | USA | SCCs |
Netsuite | USA | SCCs |
Hubspot | USA | SCCs |
Locize | U.E. | s.o. |
Mouseflow | USA | SCCs |
AVIGILON UNITY
Nom et Services (Nom et adresse enregistrés de l’entité du fournisseur ou du sous-traitant, avec une brève description des Services correspondants)
|
Lieu/Transferts (Lieu où l’entité traitera les données personnelles. Indiquer où a lieu le transfert et de qui, si pertinent)
|
Mécanisme (Mécanisme convenu pour s’assurer que tout transfert est conforme aux lois sur la protection des données)
|
Applicable uniquement pour les services dans le cloud |
Microsoft Corporation |
USA, Australie et Canada |
Mécanismes contractuels appropriés |
Oui |
US, Australie et Canada |
Mécanismes contractuels appropriés |
Oui |
|
Google, Inc. |
Mondial |
Mécanismes contractuels appropriés |
|
Apple, Inc. |
Mondial |
Mécanismes contractuels appropriés |
|
Motorola Solutions, Inc., including subsidiaries |
Mondial |
Mécanismes contractuels appropriés |
|
Flexera |
USA |
Mécanismes contractuels appropriés |
|
Mondial |
Mécanismes contractuels appropriés |
||
Twilio |
USA |
Mécanismes contractuels appropriés et BCR |
Oui |
PubNub |
USA |
Mécanismes contractuels appropriés |
Oui |
Salesforce |
USA |
Mécanismes contractuels appropriés et BCR |