ACCORD DE PROTECTION DES DONNÉES CORSEARCH
Cet Accord de protection des données (« DPA ») fait partie du Contrat-cadre de service Corsearch ou autre accord écrit passé entre Corsearch et le Client (le « Contrat »).
Si Corsearch traite des Données personnelles Client dans le cadre des Services, cet Accord s’applique. Cet Accord ne s’applique pas Services de Marque ; Corsearch ne traite pas des Données personnelles au nom du Client dans le cadre des Services de Marque. Corsearch est un responsable du traitement indépendant en lien avec Services de Marque.
1. Définitions
Les mots suivants, lorsqu’ils apparaissent avec une majuscule, ont la signification définie ci-dessous. Tout terme commençant par une majuscule utilisé, mais non défini dans les présentes, a la signification énoncée dans le Contrat.
« Données personnelles du Client » signifie les données personnelles telles que décrites dans l’Annexe A, traitées par ou au nom de Corsearch pour ou au nom du Client, en vertu du Contrat ou en lien avec ce dernier, y compris pour la fourniture des Services, mais excluant les Données personnelles d’Utilisateur.
« Violation de données » signifie toute infraction à la sécurité des Données personnelles du Client entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès accidentel ou illégal aux Données personnelles du Client, subie par Corsearch ou tout Sous-sous-traitant et dont Corsearch a connaissance pendant la Durée du Contrat, sauf lorsque l’infraction est provoquée par le Client ou tout Utilisateur.
« Lois de protection des données » signifie toutes les lois et règlementations en vigueur liées à la protection des données qui sont applicables au traitement des Données personnelles du Client en vertu du Contrat, y compris, mais sans s’y limiter, le Règlement général sur la protection des données de l’UE 2016/679 (« RGPD »), le RGPD tel que promulgué par le Royaume-Uni (« RGPD britannique »), la Loi californienne sur la protection de la vie privée des consommateurs de 2018 (« CCPA ») y compris telle que modifiée par la Loi californienne sur les droits à la vie privée de 2020 (« CPRA »), et la Loi sur la protection des informations personnelles de la République populaire de Chine (« PIPL »), dans chaque cas dans la mesure en vigueur et tel que mis à jour, modifié ou remplacé de temps en temps.
« Demande de personne concernée » signifie une demande valide d’une Personne concernée ou émise en son nom concernant les Données personnelles du Client pour exercer ses droits prévus par les Lois de protection des données.
« Transfert international » signifie un transfert de Données personnelles du Client entre les Parties, depuis l’Espace économique européen (« EEE »), le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord (« R.-U. ») et/ou la Suisse vers un pays tiers dont il n’est pas déterminé qu’il fournisse une protection adéquate des Données personnelles du Client en vertu des Lois de protection des données.
« CCT » signifie, lorsque le RGPD s’applique, les clauses contractuelles annexées à la Décision d’exécution de la Commission européenne (UE) 2021/914 du 4 juin 2021, telles qu’adoptées, modifiées ou remplacées par la Commission européenne (« CCT UE »), et lorsque le RGPD britannique s’applique, l’addendum britannique sur le transfert international de données aux clauses contractuelles types de la Commission européenne pour les transferts de données internationaux, tel qu’adopté, modifié ou mis à jour par le Bureau du Commissaire à l’information, le Parlement ou un Secrétaire d’État au Royaume-Uni (« CCT britanniques »).
« Données personnelles sensibles » signifie des données personnelles concernant des mineurs, ou révélant une origine raciale ou ethnique, des opinions politiques, des convictions religieuses ou philosophiques, une appartenance syndicale, des données génétiques, des données biométriques identifiant une personne de manière unique, des données de santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne.
« Sous-sous-traitant » signifie toute tierce partie engagée par Corsearch pour exécuter les activités de traitement spécifiques en lien avec les Données personnelles du Client.
« Données personnelles d’Utilisateur » signifie les données personnelles concernant les Utilisateurs, traitées par Corsearch à ses propres fins, y compris pour : (i) fournir et assurer la sécurité des Services ; (ii) accorder au Client et à ses Utilisateurs l’accès aux Données personnelles du Client ; et (iii) traiter les informations de compte et la facturation ; et (iv) communiquer avec le Client pour se conformer à ses obligations dans le cadre du Contrat.
Les termes « responsable du traitement », « personne concernée », « organisation internationale », « traiter »/« traitement » (et leurs dérivés), « sous-traitant », « pays tiers », « entreprise », « consommateur », « informations personnelles », « vendre » « partager », « prestataire de services » et « autorité de contrôle » ont chacun les significations spécifiées dans les Lois de protection des données.
2. Termes généraux
2.1. Rôles. Concernant le traitement par chaque Partie des Données personnelles du Client, les Parties conviennent que le Client agit en tant que responsable du traitement et Corsearch en tant que sous-traitant. Les parties reconnaissent et conviennent que Corsearch sera un responsable du traitement indépendant en lien avec les Données personnelles d’Utilisateur.
2.2 Conformité aux lois. Dans leur traitement respectif des Données personnelles du Client, chaque Partie se conformera aux Lois de protection des données régissant ces Données personnelles du Client alors sous leur contrôle.
2.3 Obligations du Client. Le Client, pendant la durée du traitement des Données personnelles du Client :
– aura la responsabilité de déterminer les finalités et les moyens du traitement qu’il fait des données personnelles ;
– s’assurera que ses instructions à Corsearch pour le traitement des données personnelles sont et seront légales ;
– sera autorisé à transférer les Données personnelles d’Utilisateur à Corsearch ; et
– – ne divulguera pas de Données personnelles sensibles à Corsearch.
3. Détails du traitement
3.1 L’Annexe A définit les objectifs et la durée du traitement, les types de données personnelles et les catégories de personnes concernées, ainsi que la nature du traitement. Si l’Annexe A requiert une mise à jour à tout moment pendant la Durée du contrat, les Parties travailleront ensemble de bonne foi pour s’accorder mutuellement sur la mise à jour par écrit de l’Annexe A.
3.2 Corsearch traitera les Données personnelles du Client :
– seulement dans la mesure nécessaire pour remplir ses obligations dans le cadre du Contrat ; et
– conformément aux instructions documentées licites du Client, à moins que Corsearch ne soit autrement tenu de les traiter pour se conformer à toute Loi de protection des données, auquel cas Corsearch informera le Client de cette obligation juridique, à moins que la loi ne l’interdise.
3.3 Corsearch informera immédiatement le Client si, de son opinion raisonnable, une instruction du Client en lien avec le traitement des Données personnelles du Client enfreint les Lois de protection des données. Dans ce cas, Corsearch n’enfreindra pas cet Accord ou le Contrat ni ne portera aucune responsabilité pour son manquement à effectuer ce traitement.
4. Sécurité des données et Violations de données
4.1 Corsearch s’assurera que toutes les personnes qu’il autorise à traiter les Données personnelles du Client pour la fourniture des Services :
– se sont engagées à respecter la confidentialité ou sont autrement soumises à une obligation légale appropriée de confidentialité ;
– dans la mesure des efforts commercialement raisonnables de Corsearch, disposent des compétences et de la formation suffisantes pour le traitement des Données personnelles du Client ; et
– se conforment aux Lois de protection des données.
4.2 Corsearch, en tenant compte de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour sécuriser les Données personnelles du Client contre une Violation de données, comme détaillé ici. Corsearch révisera et pourra mettre à jour ces mesures techniques et organisationnelles de temps en temps, à condition que toute mise à jour de ce type ne diminue pas de façon importante le niveau global de sécurité des Données personnelles du Client.
4.3 En cas de Violation de données, Corsearch :
4.3.1. préviendra le Client dans les meilleurs délais (et dans tous les cas dans les 72 heures) après avoir eu connaissance de la survenue d’une Violation de données ;
4.3.2. fournira toutes les informations raisonnablement nécessaires, de manière échelonnée lorsque les informations ne sont pas disponibles dans leur intégralité, sans autre retard indu, incluant au moins :
– la nature de la Violation de données, y compris, lorsque cela est possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données personnelles concernés ;
– le nom et les coordonnées du point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
– les conséquences probables de la Violation de données ;
– décrira les mesures prises pour remédier à la Violation de données personnelles, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives ;
4.3.3. fournira toute la coopération et l’assistance raisonnablement requises par le Client pour se conformer à ses obligations en vertu des Lois de protection des données ;
4.3.4. prendra les mesures raisonnables et nécessaires pour remédier à la cause et atténuer l’impact de la Violation de données ; et
4.3.5. sauf dans la mesure requise par les Lois de protection des données pertinentes, ne notifiera aucune tierce partie (y compris toute autorité de contrôle ou personne concernée) en lien avec la Violation de données.
4.4 Le Client accepte de se coordonner avec Corsearch de bonne foi concernant le contenu de toute déclaration publique et/ou tout avis requis envers les personnes concernées affectées et/ou les autorités de contrôle pertinentes, dans chaque cas s’il fait spécifiquement référence à Corsearch, aux employés de Corsearch, à tout Sous-sous-traitant et/ou aux Services, concernant toute Violation de données.
5. Demandes des personnes concernées
5.1 Si Corsearch reçoit une Demande de personne concernée directement, dans la mesure où Corsearch est raisonnablement capable d’identifier que le Client est le responsable du traitement des données personnelles de la personne concernée, Corsearch usera d’efforts commercialement raisonnables pour transmettre rapidement la Demande de la personne concernée au Client sans répondre à cette demande.
5.2 En tenant compte de la nature du traitement, Corsearch fournira une coopération et une assistance raisonnables pour permettre au Client de répondre à la Demande de personne concernée et de se conformer à ses obligations conformément aux Lois de protection des données pertinentes. Dans la mesure légalement permise, le Client sera responsable des coûts et dépenses raisonnables entraînés par l’assistance apportée par Corsearch.
5.3 Sauf expressément convenu autrement par écrit, Corsearch n’est pas et ne sera dans aucune circonstance tenu de répondre à une quelconque Demande de personne concernée.
6. Demandes émanant de gouvernements ou d’organismes de contrôle
6.1 Si Corsearch reçoit une demande d’un gouvernement ou d’un organisme de contrôle, y compris, sans limitation, une demande d’une autorité de contrôle ou une demande d’accès juridiquement contraignante émise par un gouvernement, en lien avec des Données personnelles du Client et/ou le traitement par Corsearch des Données personnelles du Client dans le cadre de ce DPA, Corsearch, sauf autrement en cas d’interdiction prévue par la loi, en informera rapidement le Client sans répondre à cette demande et redirigera la demande au Client.
6.2 Si Corsearch n’a légalement pas le droit d’émettre un avis à destination du Client ou de rediriger la demande au Client, Corsearch (i) rejettera la demande, sauf s’il est juridiquement contraint de s’y conformer ; ou (ii) contestera la validité de cette demande s’il détermine raisonnablement que la demande n’est pas juridiquement fondée.
6.3 Si Corsearch est tenu de répondre à cette demande, Corsearch fera les efforts commercialement raisonnables pour obtenir une dispense afin de notifier le Client et autrement, s’assurera que les informations divulguées sont proportionnées et limitées à la quantité minimale strictement nécessaire afin de se conformer à cette demande.
6.4 Le Client sera responsable de tous les coûts de Corsearch, y compris les frais juridiques raisonnables de Corsearch réellement engagés pour se conformer à cette demande et/ou de tous les coûts et dépenses raisonnables découlant de l’assistance apportée par Corsearch au Client.
7. Analyses d’impact relatives à la protection des données et consultations préalables
En tenant compte de la nature du traitement et des informations à disposition de Corsearch, Corsearch fournira au Client l’assistance raisonnablement demandée pour permettre au Client de se conformer à ses obligations, en ce qui concerne les Données personnelles du Client, pour mener des analyses d’impact relatives à la protection des données et/ou consulter les autorités de contrôle dans le cadre des Lois de protection des données.
8. Sous-sous-traitants
8.1 Le Client fournit par les présentes à Corsearch une autorisation écrite générale à engager tout Sous-sous-traitant, directement ou par le biais de toute Société affiliée de Corsearch, que Corsearch estime nécessaire pour la fourniture des Services, y compris tous les Sous-sous-traitants engagés par Corsearch à la Date d’entrée en service. Les Sous-sous-traitants actuels de Corsearch sont listés ici.
8.2 Corsearch imposera à chaque Sous-sous-traitant des obligations de protection des données dont le niveau de protection n’est pas inférieur à celui des obligations énoncées dans ce DPA.
8.3 Corsearch restera responsable et redevable envers le Client de l’exécution des obligations de chaque Sous-sous-traitant.
8.4 Corsearch fournira au Client un préavis écrit d’au moins 30 jours au sujet de toute modification envisagée concernant l’ajout ou le remplacement des Sous-sous-traitants. Corsearch fournit au Client, par le biais du lien susmentionné, un mécanisme d’inscription pour recevoir les mises à jour de la liste des Sous-sous-traitants, auquel le Client s’inscrira pour recevoir ces notifications.
8.5 Le Client peut s’opposer à la désignation de tout Sous-sous-traitant si ce dernier a objectivement posé ou risque de poser un risque pour la sécurité et le traitement sûr des Données personnelles du Client ou vis-à-vis de la capacité du Client à se conformer aux Lois de protection des données. Sinon, le Client ne s’opposera pas déraisonnablement à la désignation de tout nouveau Sous-sous-traitant, et si le Client ne s’oppose pas par écrit à la désignation de tout nouveau Sous-sous-traitant conformément à cette clause, le Client sera réputé avoir approuvé cette désignation.
8.6 Si dans les dix (10) jours suivant la réception par le Client de l’avis, le Client s’oppose raisonnablement par écrit auprès de Corsearch à la désignation d’un tel nouveau Sous-sous-traitant, les Parties collaboreront de bonne foi pour parvenir à une résolution mutuellement acceptable afin de répondre à cette opposition, y compris, lorsque cela est possible, en continuant pour Corsearch à fournir les Services sans l’implication d’un tel nouveau Sous-sous-traitant. Si les Parties ne parviennent pas à une résolution mutuellement acceptable et que Corsearch n’est raisonnablement pas capable de continuer à fournir les Services sans l’implication d’un tel nouveau Sous-sous-traitant, chaque Partie aura le droit de mettre fin à la portion des Services concernée à laquelle il est prévu que ce nouveau Sous-sous-traitant soit associé (si cela n’est pas possible, au Contrat tout entier) immédiatement sur avis écrit adressé à l’autre Partie. Rien dans cette Clause ne libère le Client de toute obligation de paiement de frais concernant les Services fournis par Corsearch et reçus par le Client jusqu’à la date de fin énoncée dans les présentes.
9. Transferts internationaux
9.1 Corsearch peut, comme nécessaire pour fournir les Services, transférer les Données personnelles du Client à ses Sociétés affiliées et/ou à des Sous-sous-traitants en dehors de l’EEE, à condition qu’un tel transfert (et tout traitement ultérieur) soit réalisé conformément aux Lois de protection des données.
9.2 Lorsque les Données personnelles du Client sont transférées vers un pays tiers et que ce transfert constitue un Transfert international en vertu des Lois de protection des données, Corsearch conclura les CCT pertinents avec le Client et chacune de ses Sociétés affiliées et chacun de ses Sous-sous-traitants, le cas échéant. Les CCT conclues par les Parties, telles que présentées ici, sont intégrées à ce DPA et par son biais ou par l’utilisation des Services. Si toute CCT sur laquelle se basent les Parties est mise à jour ou autrement rendue non valide, les Parties conviennent que ces CCT nouvelles ou mises à jour telles que pouvant être imposées par les Lois de protection des données s’appliqueront entre les Parties sans qu’il y ait besoin de modifier ce DPA. Corsearch se réserve le droit d’apporter des changements que les Parties sont légalement tenues de mettre en œuvre via le lien suivant :
9.3 En cas de conflit entre ce DPA et les CCT applicables, les conditions des CCT applicables prévaudront.
10. Conservation et suppression des données
Après l’expiration ou la résiliation du Contrat pour quelque motif que ce soit, Corsearch supprimera rapidement (ou, au choix du Client, renverra et supprimera, sous réserve que le Client donne à Corsearch un préavis d’au moins 30 jours) les copies existantes des Données personnelles du Client, qui en aucun cas n’incluront de copies de données personnelles traitées au nom d’un autre client de Corsearch, traitées par Corsearch et/ou tout Sous-sous-traitant, à moins que des Lois de protection des données exigent la conservation de ces Données personnelles du Client.
11. Audit
Le Client ou tout auditeur tiers mandaté par le Client et lié par des obligations de confidentialité appropriées, peut auditer la conformité de Corsearch à ce DPA, en :
– exigeant de Corsearch qu’il remplisse le questionnaire d’évaluation de la sécurité du Client ; et/ou
– dans la mesure applicable et disponible pour Corsearch, demandant des copies des informations, enregistrements, certifications et rapports d’audit appropriés émis par des tierces parties indépendantes réputées, à condition qu’il n’y ait pas eu de changements significatifs apportés aux contrôles utilisés par Corsearch depuis l’émission de la certification ou du rapport d’audit.
12. Dispositions spécifiques des Lois de protection des données
12.1 CCPA / CRPA. Cette Section s’applique uniquement si les Données personnelles du Client sont soumises au CCPA/CRPA :
12.2.1. les définitions suivantes seront interprétées comme faisant référence à la définition correspondante en vertu du CCPA : « Client » signifie « Entreprise » (« Business ») ; « Corsearch » signifie « Prestataire de service » (« Service Provider ») et « Données personnelles » signifie « Informations personnelles » (« Personal Information »).
12.2.2. Corsearch (a) ne vendra ni ne partagera les Données personnelles du Client, (b) ne conservera, n’utilisera ni ne divulguera les Données personnelles du Client à aucune fin (y compris à des fins commerciales) autre que la fourniture des Services en vertu du Contrat, ou tel qu’autrement permis par le CCPA, (c) n’enregistrera aux fins de la réalisation des Services dans le cadre du Contrat, ne conservera, n’utilisera ni ne divulguera de Données personnelles du Client en dehors de la relation professionnelle directe entre le Client et Corsearch, (d) ni ne combinera les Données personnelles du Client à des Informations personnelles reçues d’une autre source.
12.2 PIPL. Cette Section s’applique uniquement si les Données personnelles du Client sont soumises au PIPL :
12.2.1. les définitions suivantes seront interprétées comme faisant référence à la définition correspondante en vertu du PIPL : « Données personnelles » signifie « Informations personnelles » (« Personal Information ») ; « Client » signifie « Sous-traitant des informations personnelles » (« Personal Information Processor ») ; « Corsearch » signifie « Partie en charge » (« Entrusted Party ») ; et « Données sensibles » signifie les informations personnelles susceptibles de porter atteinte à la dignité personnelle d’une personne physique ou à sa sécurité personnelle ou celle de ses biens matériels une fois celles-ci divulguées ou utilisées à mauvais escient, y compris les informations personnelles concernant l’identification biométrique, les convictions religieuses, l’identité spécifique, la santé médicale, les comptes financiers et les déplacements, ainsi que les informations personnelles des mineurs de moins de 14 ans.
12.2.2. En vertu de ce Contrat, Corsearch ne traite que les Informations personnelles qui ont été rendues publiques par les personnes concernées elles-mêmes.
12.2.3. 12.2.3. Les Transferts internationaux sont réputés être des transferts d’Informations personnelles transfrontaliers dans le cadre du PIPL et Corsearch a mis en œuvre des mesures adéquates et applicables, telles que définies dans ce DPA, pour s’assurer que ces transferts sont effectués conformément au PIPL.
12.2.4. Le Client ne divulguera pas de Données sensibles à Corsearch.
ANNEXE A – PORTÉE DU TRAITEMENT
Finalité du traitement | La finalité du traitement exécuté par Corsearch en tant que sous-traitant pour le compte du Client en ce qui concerne les Données personnelles du Client est la fourniture des Services conformément au Contrat. |
Nature du traitement | Réception de données, y compris collecte, accès, extraction, enregistrement et saisie de données ; Conservation de données, y compris stockage, organisation et structuration ; Utilisation de données, y compris analyse et test ; Mise à jour de données, y compris correction et rectification ; Accès aux données par le Client et les Utilisateurs ; et Renvoi des données au Client (et si demandé, effacement ou destruction des données). |
Catégories de personnes concernées | Les vendeurs et annonceurs de contrefaçons potentielles des produits/services du Client et/ou les contrefacteurs potentiels des Droits de propriété intellectuelle du Client. |
Catégories de données personnelles | Les informations disponibles publiquement liées aux, et telles que publiées par les personnes concernées ou autrement accessibles par registre public, y compris (le cas échéant et si disponibles) : – des noms ; – des coordonnées (dont numéros de téléphone, adresses et adresses électroniques) ; – adresses IP ; – numéros de comptes bancaires ; – comptes de réseaux sociaux reliés aux personnes concernées et noms d’utilisateur et publications associés ; et – informations de site web (y compris, le cas échéant, informations de déposant de nom de domaine). |
Durées de conservation des données | Toute la durée du Contrat. Si possible et s’il y a lieu, les durées de conservation de la ou des Plateformes Corsearch, telles que présentées dans le Contrat, s’appliqueront. |
Fréquence du traitement (et/ou transfert) | De façon continue. |