Addenda de Traitement de Données dans le Cloud (France)
Dernière version: DPA vSeptember22 Nexthink 110.8
Nexthink France SASU, dont le siège social est situé au 62 rue de Caumartin, 75009 Paris, France (“Nexthink”), et le client utilisateur des licences (“Client”) concluent le présent addenda de Traitement des données dans le cloud (“ATD”), qui prend effet à la date de signature de Nexthink ci-dessous (la “Date d’Entrée en Vigueur”). Chacune des Parties peut être désignée dans les présentes comme une “Partie” et collectivement comme les “Parties”.
ATTENDU QUE les Parties (ou leurs affiliés respectifs) ont conclu un Contrat cadre de services ou un Contrat similaire (le “Contrat”), pour la fourniture des services Nexthink Cloud (les “Services”) ;
ATTENDU QUE dans le cadre de ces services, Nexthink et ses Affiliés traiteront certaines Données Personnelles pour le compte du Client ;
PAR CONSÉQUENT, les Parties conviennent de conclure les termes de ce ATD, dans le cadre de, et sans alléger, supprimer ou remplacer, les obligations ou les droits d'une Partie en vertu des Lois sur la Protection des Données.
1. Définitions
“Annexe de Traitement de Données Nexthink“ désigne l’Annexe de Traitement de Données qui se trouve sur le Site Nexthink, telle que modifiée de temps à autre et dont la version la plus récente est annexée aux présentes ;
“CCPA“ désigne le "California Consumer Privacy Act" (Cal. Civ. Code §§ 1798.100 et seq.) ;
“Clauses Contractuelles Types” signifie les Clauses Contractuelles Types pour le transfert international approuvées par la Commission européenne, l'Information Commissioner’s Office (ICO) britannique ou le Préposé fédéral à la protection des données et à la transparence (PFFDT) suisse selon lesquelles sont applicables.
“Lois sur la Protection des Données“ signifie les lois, règles et règlements pertinents en matière de protection des données et de confidentialité des données auxquels le Traitement des Données Personnelles par Nexthink dans le cadre des Services (pour le Client) est soumis, spécifiquement la Loi fédérale suisse sur la protection des données et le RGPD ;
“RGPD“ désigne le Règlement général sur la protection des données de l'UE 2016/679, y compris tel qu'il est intégré dans la législation britannique ;
“Site Nexthink“ signifie le site public et/ou le Trust Center et/ou le site communautaire de Nexthink ;
Les termes suivants ont la signification qui leur est donnée dans la RGPD, et les termes cognitifs sont construits en conséquence : “Responsable de Traitement“, “Personne Concernée“, “Données Personnelles“, “Violation de Données Personnelles”, “Sous-Traitant“, “Traitement“ et “Autorité de Contrôle“. Les termes en majuscules, non définis dans les présentes, ont la signification qui leur est attribuée dans le Contrat.
2. Relation entre les Parties et nature du Traitement
(i) Lorsque Nexthink, y compris ses Affiliés, traite des Données Personnelles pour le compte du Client dans le cadre de l'exécution de ses obligations au titre du Contrat, le Client est le Responsable de Traitement et Nexthink est le Sous-Traitant aux fins des Lois sur la Protection des Données.
(ii) L'annexe de Traitement des données de Nexthink énonce l'objet convenu du Traitement, la nature et la finalité du Traitement, la durée du Traitement, les types de Données Personnelles et les catégories de Personnes Concernées, ainsi que tout sous-traitant direct, mémorisant les instructions requises par la Section 4.
(iii) Sans préjudice de la généralité de la présente Section 2, le Client s'assurera qu'il dispose de tous les consentements et avis appropriés nécessaires pour permettre le Traitement licite et autorisé des Données Personnelles par Nexthink, pour la durée et les objectifs du Contrat afin que Nexthink puisse légalement et avec une autorisation suffisante Traiter les Données Personnelles conformément au Contrat pour le compte du Client.
3. Sécurité
(i) Chaque Partie doit s'assurer qu'elle a mis en place des mesures techniques et organisationnelles appropriées, pour se protéger contre une Violation de Données Personnelles, adaptées au préjudice qui pourrait résulter d'une telle Violation de Données Personnelles, en tenant compte de l'état du développement technologique et du coût de mise en œuvre de toute mesure.
(ii) Sans limiter ce qui précède, les Parties peuvent convenir de mesures techniques et organisationnelles spécifiques dans un Addenda de Sécurité de l'Information (“ASSI”), qui sera mis à disposition sur le Site de Nexthink en langue anglaise. Nexthink applique ses mesures techniques et organisationnelles à l'ensemble de la Clientèle de Nexthink recevant les mêmes Services. Nexthink peut modifier les mesures à tout moment sans préavis tant qu'elle maintient un niveau de sécurité comparable ou supérieur. Les mesures individuelles peuvent être remplacées par de nouvelles mesures qui servent le même objectif sans diminuer le niveau de sécurité protégeant les Données Personnelles.
4. Instructions
(i) Nexthink traitera les Données Personnelles uniquement en accord avec les instructions documentées du Client. Le Contrat (y compris le présent ATD) constitue de telles instructions initiales documentées, et le Client peut fournir d'autres instructions pendant l'exécution des Services. Nexthink fournira des efforts raisonnables pour suivre toutes les autres instructions du Client, tant qu'elles sont requises par les Lois sur la Protection des Données, qu'elles sont techniquement réalisables et qu'elles ne nécessitent pas de modifications de l'exécution des Services. Si l'une des exceptions susmentionnées s'applique, ou si Nexthink ne peut pas se conformer à une instruction ou est d'avis qu'une instruction enfreint les Lois sur la Protection des Données, Nexthink en informera rapidement le Client.
(ii) Lorsque Nexthink se base sur les Lois sur la Protection des Données pour traiter les Données Personnelles, Nexthink en informera rapidement le Client avant d'effectuer le Traitement requis par les Lois sur la Protection des Données, à moins que les lois applicables n'interdisent à Nexthink d'en informer le Client.
(iii) Pour enlever toute ambiguïté et sans préjudice des autres clauses du présent ATD, Nexthink n'utilisera pas les Données Personnelles à des fins de marketing, qu’il soit direct ou indirect.
5. Personnel
Pour traiter les Données Personnelles, Nexthink et ses sous-traitants ne donnent accès qu'au personnel autorisé qui s'est engagé à la confidentialité.
6. Assistance
(i) Prenant en considération la nature du Traitement et les informations dont dispose Nexthink, Nexthink fournira une assistance raisonnable au Client pour assurer le respect de ses obligations en vertu des Lois sur la Protection des Données en ce qui concerne les évaluations d'impact sur la protection des données, les analyses d’impact des transferts de Données Personnes, les notifications de Violations de Données Personnelles et les consultations avec les autorités de surveillance ou les régulateurs.
(ii) Nexthink assistera le Client de sorte à l’aider à remplir ses obligations de réponse aux demandes des Personnes Concernées exerçant leurs droits, en tenant compte de la nature du Traitement en vertu des présentes. Nexthink informera le Client, dans les meilleurs délais et par écrit, de toute demande reçue par Nexthink de la part d'une Personne Concernée. Nexthink ne répondra pas à la demande elle-même, sauf si le Client l'autorise à le faire.
7. Notification de Violation de Données Personnelles
(i) Sans limiter les exigences d’efficacité de l'ASSI, Nexthink devra au minimum notifier le Client conformément aux Lois sur la Protection des Données, et dans tous les cas dans les meilleurs délais, dès qu'il aura connaissance d'une Violation de Données Personnelles les Données Personnelles Traitées pour le compte du Client. Une telle notification ne doit pas être interprétée comme une reconnaissance de faute ou de responsabilité de la part de Nexthink.
(ii) Nexthink coopérera avec le Client si nécessaire pour atténuer ou remédier à la Violation de Données Personnelles.
(iii) Nexthink coopérera avec le Client et prendra les mesures commercialement raisonnables demandées par le Client pour aider à l'investigation, à l'atténuation et à la correction d'une telle Violation de Données Personnelles en vertu des lois applicables sur la protection des données. Dans la mesure où le Client dispose de droits ou d'obligations supplémentaires dans le cadre du Contrat ou de l’ASSI, en accord avec les Lois sur la Protection des Données, les termes des présentes ne doivent pas limiter la portée ou l'efficacité de telles dispositions corollaires.
8. Suppression des données
Sur instructions écrites du Client, et dans la mesure où cela est raisonnable (ou alors conservé par Nexthink), Nexthink restituera au Client les Données Personnelles dans un format structuré, couramment utilisé et lisible par machine et dans un délai de 30 jours suivant la fin du Contrat. En l’absence de telles instructions, Nexthink supprimera les Données Personnelles et les copies de celles-ci à la fin du Contrat, à l'exception des Données Personnelles que Nexthink est tenu de conserver conformément à la loi applicable et/ou des sauvegardes de routine automatisées des Données du Client qui peuvent inclure des Données Personnelles ; ces sauvegardes peuvent être conservées conformément à la politique de conservation de Nexthink, à condition que les Données Personnelles qui s'y trouvent restent soumises aux obligations contenues dans cet ATD.
9. Audits
Nexthink tiendra des registres et des informations complets et précis pour démontrer sa conformité au présent ATD. Sans limiter les exigences d’efficacité de l’ASSI, au minimum, Nexthink évaluera régulièrement, au moins une fois par an, la conformité et l'adéquation de ses mesures de sécurité techniques et organisationnelles et sera en mesure de démontrer leur mise en œuvre et leur efficacité réelles, ainsi que sa conformité à ses propres politiques de sécurité, en soumettant son système informatique à des tests et audits réguliers réalisés par des auditeurs indépendants. Sous réserve des conditions du Contrat, pendant la durée du Contrat et sur demande écrite préalable raisonnable du Client, pas plus d'une fois par an, Nexthink fournira au Client les Parties non confidentielles de tout rapport d'audit préparé par, et autorisé à être divulgué par, les auditeurs indépendants de Nexthink.
10. Sous-traitants
(i) Dans la mesure où cela s'applique aux Services utilisés par le Client, le Client consent à ce que Nexthink désigne les Sous-Traitants Ultérieurs énumérés dans l'annexe de Traitement des données de Nexthink pour traiter les Données Personnelles en vertu du présent ATD et du Contrat. Le Client confirme qu'il a donné à Nexthink une autorisation générale écrite préalable de modifier l'annexe de Traitement des données de Nexthink conformément aux présentes.
(ii) Nexthink confirme qu'elle a conclu, ou qu'elle conclura le cas échéant, des contrats écrits avec ses Sous-Traitants Ultérieurs contenant des dispositions substantiellement similaires aux conditions énoncées dans le présent ATD. Entre le Client et Nexthink, Nexthink restera entièrement responsable de tous les actes ou omissions de tout sous-Sous-Traitant tiers nommé par lui en vertu du présent ATD.
(iii) En cas de modification de l’Annexe de Traitement de Données de Nexthink, celle-ci sera publiée (en langue anglaise) sur le site de Nexthink avec un préavis de trente (30) jours avant la mise en œuvre de tout nouveau Sous-Traitant Ultérieur. Dans le cas où le Client soulève une objection fondée sur des motifs raisonnables relatifs à la protection des données à l'égard de ce nouveau Sous-Traitant Ultérieur, Nexthink déploiera des efforts raisonnables pour mettre à la disposition du Client une modification des Services ou recommander une modification commercialement raisonnable de la configuration ou de l'utilisation des Services par le Client afin d'éviter le Traitement des Données Personnelles par le nouveau Sous-Traitant Ultérieur faisant l'objet de l'objection, sans imposer une charge déraisonnable au Client. Si Nexthink n'est pas en mesure de mettre à disposition une telle modification dans un délai raisonnable, qui n'excédera pas soixante (60) jours, le Client peut résilier le(s) bon(s) de commande applicable(s) en ce qui concerne uniquement les services qui ne peuvent être fournis sans l'utilisation du nouveau sous-traitant auquel il s'est opposé, par écrit à Nexthink.
11. Transferts Internationaux de Données
(i) Lorsque le Client l'exige et si cela s'avère nécessaire, Nexthink s'engage à conclure des Clauses Contractuelles Types ou tout autre accord équivalent avec le Client ou toute autre entité concernée ou à fournir d'autres garanties appropriées afin de légaliser le transfert de données vers ledit pays tiers.
(ii) Lorsque Nexthink engage un sous-traitant conformément à l'article 10 ou ses affiliés, et que cet engagement implique un transfert international de Données Personnelles, Nexthink prendra les mesures nécessaires pour s'assurer que le transfert est conforme aux Lois sur la Protection des Données.
12. Demande d’Accès par une Autorité de Contrôle d’un Pays-Tiers
(i) Dans le cas où Nexthink reçoit une demande juridiquement contraignante d'une autorité de contrôle en vertu des lois d'un pays tiers ou si Nexthink prend connaissance d'un accès direct aux Données Personnelles par une autorité de contrôle d'un pays tiers, Nexthink en informera le Client dans les meilleurs délais. Cette notification comprendra toutes les informations concernant la demande ou l'accès aux données dont dispose Nexthink.
(ii) S’il est interdit à Nexthink de notifier le Client, Nexthink accepte de faire ses meilleurs efforts pour obtenir une dérogation à cette interdiction, de sorte communiquer le plus d'informations possible au Client et dans les meilleurs délais. Nexthink s'engage à documenter ses efforts afin d'être en mesure de les démontrer sur demande du Client.
(iii) Nexthink documentera le processus interne mis en place pour le traitement de ces demandes d'accès ou d’accès direct aux données dans une charte écrite et mettra cette charte à la disposition du Client.