17 février 2022

Accord de partage de données

Le présent Accord de partage de données Snyk et ses annexes (« l’APD ») reflètent l’accord conclu entre les parties concernant le traitement de Données à caractère personnel par Snyk Limited et ses sociétés affiliées (ensemble « nous ») et vous (« le Cocontractant ») (ensemble « les parties ») dans le cadre des services que vous nous fournissez (« les Services ») aux termes d’un ou plusieurs accords de services (individuellement « l’Accord de services ») conclus entre les parties. 

Le présent APD s’ajoute aux Services que vous nous fournirez aux termes de l’Accord et prend effet à la date d’entrée en vigueur indiquée dans l’Accord de services. En cas de conflit ou d’incompatibilité entre l’une ou l’autre modalité du présent APD et celles de l’Accord de services, le présent APD prévaudra sur les modalités de l’Accord de services.

Nous pouvons à tout moment mettre à jour les conditions du présent APD et vous recommandons par conséquent de consulter régulièrement ce site web pour vous tenir au courant de tout changement. Nous indiquerons sur ce site la date à laquelle les conditions ont été modifiées pour la dernière fois. 

La durée du présent APD sera la même que celle de l’Accord de services. Les termes non définis dans le présent APD auront le même sens que celui énoncé dans l’Accord de services.

(A) En vue de fournir les Services à Snyk, il est possible que vous ayez accès à des Données à caractère personnel (telles que définies ci-dessous) ou que vous receviez ou fournissiez de telles Données à Snyk. Chacune des parties est soumise à certaines obligations concernant ces Données.

(B) Snyk agira en tant que Responsable du traitement des Données à caractère personnel, et le présent APD définit les conditions de fourniture des Données à caractère personnel et la manière dont elles peuvent être utilisées.

(C) Selon les activités de traitement et leurs finalités, le Cocontractant agira en tant que Responsable du traitement ou en tant que Sous-traitant. L’Accord de services indique la position du Cocontractant au regard des Services fournis et des activités de traitement réalisées. 

  1. Définitions et interprétation

    1.1 Dans le présent APD :
    (a) « CCPA » désigne le California Consumer Privacy Act of 2018, dans sa version modifiée (Cal. Civ. Code §§ 1798.100 à 1798.199), le règlement du CCPA (Cal. Code Regs tit. 11, §§ 999.300 à 999.337) et tout règlement ou toute orientation connexe fourni(e) par le procureur général de Californie. Les termes définis dans le CCPA, tels que les informations à caractère personnel, le fournisseur de services et les finalités, ont la même signification dans le présent APD.
    (b) « Finalités contractuelles » désigne les services décrits dans l’Accord de services pour lesquels le Cocontractant reçoit ou accède à des informations à caractère personnel.
    (c) « Snyk » désigne la société Snyk Limited, sise à Highlands House, Basingstoke Road, Spencers Wood, Reading, Berkshire, RG7 1NT Royaume-Uni et ses sociétés affiliées.
    (d) « Cocontractant » désigne l’autre partie à l’Accord de services.
    (e) « Responsable du traitement », « Personne concernée », « Données à caractère personnel », « Processus/Traitement », « Sous-traitant » et « Décision d’adéquation » ont le même sens que dans le RGPD.
    (f) « Clauses de transfert » désigne : (i) les Clauses contractuelles standard (CCS) approuvées par la décision de la Commission du 27 décembre 2004, dans leur version modifiée, pour le transfert de Données à caractère personnel depuis l’Espace Economique Européen (« EEE ») vers un pays tiers, conformément à l’annexe 1 du présent APD ; et (ii) les Clauses contractuelles standard approuvées par la décision de la Commission du 5 février 2010, dans leur version modifiée, pour le transfert de Données à caractère personnel depuis l’EEE vers un pays tiers, conformément à l’annexe 2 du présent APD.
    (g) « Législation sur la protection des données » désigne toute loi ou réglementation en vigueur relative à la protection des Données à caractère personnel ou à la vie privée des personnes, dans sa version modifiée, y compris mais sans s’y limiter le RGPD, la législation transposant les exigences du RGPD dans le droit de chaque État membre de l’UE et le California Consumer Privacy Act de 2018.
    (h) « RGPD » désigne le règlement de l’Union européenne (UE) n° 2016/679.

    1.2 Les références au singulier incluent le pluriel et vice versa.

    1.3 Les mots qui suivent les mots « comprennent », « comprend », « notamment », « en particulier » ou tout autre mot ou expression semblable seront interprétés sans limitation et ne limiteront donc pas le sens des mots qui les précèdent.

Lorsque le Cocontractant est le Responsable du traitement, les conditions suivantes sont d’application :

  1. Conformité avec la législation en vigueur

    2.1 Les deux parties se conforment à la Législation sur la protection des données dans le cadre de la collecte et du traitement des Données à caractère personnel qu’elles collectent elles-mêmes ou reçoivent de l’autre partie en vertu du présent APD. 

    2.2 Les parties reconnaissent et conviennent qu’aucune d’entre elles n’agira en tant que Responsable du traitement des données pour le compte de l’autre et qu’elles sont chacune responsables du respect de leurs obligations respectives en vertu de la Législation sur la protection des données.

  2. Garanties du Cocontractant

    3.1 Le Cocontractant garantit : 
    (a) qu’il fournira un avis de confidentialité à toutes les Personnes concernées conformément à la Législation en vigueur sur la protection des données dans les 14 jours suivant la réception des Données à caractère personnel de Snyk ;
    (b) qu’il répondra rapidement à toutes les demandes de renseignements provenant de Snyk ou de Personnes concernées au sujet de Données à caractère personnel, et notamment donnera suite, à la demande d’une Personne concernée ou de Snyk, à toute demande provenant d’une Personne concernée souhaitant exercer ses droits en vertu de la Législation sur la protection des données.

Lorsque le Cocontractant est le Sous-traitant, les conditions suivantes sont d’application :

4.1 En tant que Sous-traitant de notre entreprise, vous acceptez de :
(a) ne traiter les Données à caractère personnel que conformément au présent APD et à nos instructions ;
(b) nous informer rapidement et sans retard injustifié en cas de violation de la Législation sur la protection des données ;
(c) mettre en œuvre des mesures techniques et organisationnelles appropriées afin d’assurer un niveau de sécurité adapté aux risques présentés par le traitement, tels que la protection des Données à caractère personnel contre la destruction, la perte et l’altération, de manière accidentelle ou illicite, desdites Données et contre la divulgation et l’accès non autorisés ;
(d) ne permettre à vos employés, agents ou sous-traitants (« le Personnel ») que d’accéder aux Données à caractère personnel nécessaires à l’exécution des Services et vous assurer que le Personnel est soumis à des obligations de confidentialité ;
(e) nous informer sans délai de toute violation de la sécurité entraînant la destruction, la perte et l’altération, de manière accidentelle ou illicite, des Données à caractère personnel en votre possession ou sous votre contrôle et contre la divulgation et l’accès non autorisés auxdites Données ;
(f) nous fournir une aide raisonnable en cas de violation de la sécurité ainsi que toutes les informations en votre possession concernant cette violation ;
(g) nous aider, dans la mesure du raisonnable, à réaliser des études d’impact sur la protection des données, à répondre aux demandes des Personnes concernées qui souhaitent exercer leurs droits en vertu du RGPD et à correspondre avec les autorités de contrôle ; 
(h) tenir des registres de vos activités de traitement conformément à l’article 30, paragraphe 2, du RGPD et mettre ces registres à la disposition de l’autorité de contrôle compétente sur demande.

5.1 En outre, vous agissez en tant que fournisseur de services aux termes du CCPA et devez, à ce titre, vous conformer aux obligations suivantes : 
(a) Vous ne pouvez recueillir, utiliser, conserver ou divulguer les informations à caractère personnel que pour les Finalités contractuelles pour lesquelles le client fournit lesdites informations ou vous permet d’accéder à celles-ci conformément à l’Accord de services ; 
(b) Vous ne pouvez pas recueillir, utiliser, conserver, divulguer, vendre ou autrement rendre accessibles des informations à caractère personnel pour vos propres finalités ou d’une manière qui ne serait pas conforme au CCPA. Si une loi exige du Cocontractant qu’il divulgue des informations à caractère personnel pour des finalités qui sont sans rapport avec les Finalités contractuelles, le Cocontractant doit d’abord informer Snyk de cette exigence légale et lui donner la possibilité de s’y opposer ou de la contester, sauf si la loi lui interdit de l’en informer ;
(c) Vous devez limiter la collecte, l’utilisation, la conservation et la divulgation des informations à caractère personnel à des activités qui, dans la mesure du raisonnable, sont nécessaires et proportionnelles pour réaliser les Finalités contractuelles ou toute autre finalité opérationnelle compatible ; 
(d) Vous devez vous conformer rapidement à toute demande ou instruction de Snyk exigeant du Cocontractant qu’il fournisse, modifie, transfère ou supprime des informations à caractère personnel, ou qu’il interrompe, atténue ou corrige tout traitement non autorisé ;
(e) Si les Finalités contractuelles nécessitent la collecte d’informations à caractère personnel auprès de particuliers au nom de Snyk, le Cocontractant fournira toujours au moment de la collecte un avis conforme au CCPA que Snyk aura au préalable expressément approuvé par écrit. Le Cocontractant ne modifiera pas cet avis de quelque manière que ce soit sans le consentement écrit préalable de Snyk ;

5.2 Nous acceptons que vous utilisiez des sous-traitants approuvés pour le traitement des Données à caractère personnel. Vous êtes tenu d’exiger de vos sous-traitants actuels et futurs qu’ils se conforment à des conditions essentiellement similaires à celles qui vous sont imposées dans le présent APD, et vous serez responsable de tout acte, de toute erreur ou de toute omission de la part d’un sous-traitant. 

5.3 Vous pouvez autoriser de nouveaux sous-traitants sous réserve d’un préavis écrit de 14 jours minimum. Nous pourrons nous opposer à tout futur sous-traitant pour des motifs raisonnables de protection des données avant que ce changement ne prenne effet et, pour peu que les deux parties ne soient pas en mesure de trouver une solution à cette objection dans un délai raisonnable, nous pourrons résilier l’Accord de services sans pénalité.

6.1 Nous pouvons exercer notre droit d’audit en vertu de la Législation sur la protection des données de la manière suivante :
(a) Dans le cadre de votre engagement à respecter la Législation sur la protection des données lorsque vous traitez des Données à caractère personnel, vous acceptez de nous permettre, à nous ou à un tiers que nous mandatons, d’effectuer des audits et, dans la mesure du raisonnable, de nous fournir l’assistance nécessaire pour les effectuer. Nous vous en informerons par écrit 30 jours avant la réalisation de l’audit, à moins que nous ayons de bonnes raisons de croire à l’existence ou à l’imminence d’une violation de la sécurité ou que vous ayez violé vos obligations aux termes du présent APD. Vous acceptez, dans la mesure du raisonnable, de nous fournir, à nous et/ou à nos représentants, l’assistance nécessaire pour effectuer lesdits audits.
(b) Nous pouvons exercer notre droit d’audit aux termes de la Législation sur la protection des données en vous demandant de fournir un rapport d’audit ou une certification ne datant pas de plus de 12 mois rédigé(e) par un auditeur externe indépendant, qui prouve que vos mesures techniques et organisationnelles sont conformes aux exigences réglementaires. 

Pour toutes les parties  : 

7. Transferts internationaux des Données à caractère personnel

7.1 Lorsque des Données à caractère personnel provenant de l’Espace économique européen (« l’EEE ») ou relevant de toute autre manière du règlement général de l’UE sur la protection des données sont fournies par Snyk et traitées par le Cocontractant en dehors de l’EEE en l’absence d’une décision d’adéquation actuelle (« un Pays adéquat »), le Cocontractant accepte de se conformer aux Clauses de transfert, en vertu desquelles Snyk sera considéré comme l’exportateur de données et le Cocontractant comme l’importateur de données.

7.2 En cas d’incompatibilité entre les dispositions des Clauses de transfert et le présent APD ou d’autres accords conclus entre les parties, les Clauses de transfert primeront. Les modalités du présent APD ne peuvent modifier de quelque manière que ce soit les Clauses de transfert, et les Clauses de transfert peuvent uniquement être modifiées ou résiliées de la manière spécifiquement définie dans celles-ci.

8. En plus de conclure les Clauses de Transfert, le Cocontractant s’engage à :
(a) mettre en œuvre toutes les mesures techniques nécessaires pour protéger le transfert des Données à caractère personnel, y compris, le cas échéant, le chiffrement et la pseudonymisation de bout en bout ;
(b) indiquer à Snyk toute loi de surveillance à laquelle le Cocontractant est soumis et, dans toute la mesure possible prévue par la législation, la réglementation ou les obligations contractuelles applicables, l’informer de toutes les demandes de Données à caractère personnel émanant d’autorités publiques que le Cocontractant a reçues à ce jour, que ces demandes se rapportent ou non aux Données à caractère personnel de Snyk ;
(c) informer Snyk par écrit, d’une part, dans le cas où le Cocontractant n’est plus en mesure de respecter ses engagements contractuels aux termes du présent APD et, d’autre part, avant toute divulgation de Données à caractère personnel ;
(d) pour peu que le Cocontractant fasse l’objet d’une demande émanant d’une autorité publique et visant à divulguer de quelconques Données à caractère personnel de Snyk, le Cocontractant accepte de contrôler la légalité d’une telle demande et, si le Cocontractant conclut qu’il existe une raison de le faire en application du droit national, de contester cette demande. Dans la mesure où cela est juridiquement possible, le Cocontractant informera Snyk par écrit de toute demande émanant d’une autorité publique sans retard injustifié et dans les 72 heures minimum suivant sa réception ;
(e) après avoir contrôlé la légalité de ladite demande, pour peu que le Cocontractant se soit assuré qu’il reste légalement tenu de divulguer des Données à caractère personnel, il doit :
i. divulguer uniquement la quantité minimale de Données à caractère personnel requise ; et
ii. conserver la preuve (registres d’audit, par exemple) que toute divulgation de Données à caractère personnel aux autorités publiques a été effectuée conformément aux restrictions prévues dans le présent APD et mettre cette preuve à la disposition de Snyk sur demande sans retard injustifié ;
(f) ne pas divulguer volontairement des Données à caractère personnel à une autorité publique sans obtenir au préalable le consentement écrit de Snyk, dans la mesure où cela est juridiquement possible.

9. Les deux parties reconnaissent qu’une version révisée des Clauses de transfert (« CCS révisées ») a été publiée par la Commission européenne et sont à l’état de projet à l’heure de la signature de l’Accord de services. Dès que les CCS révisées auront été finalisées et approuvées par la Commission européenne, les deux parties conviennent de conclure lesdites CCS révisées.

10. Pour peu que les Clauses de transfert soient remplacées ou abrogées par la Commission européenne, ou si le droit en vigueur autre que celui décrit au point 8.2 l’exige, Snyk publiera la version mise à jour des Clauses de Transfert sur ce site web ou une autre solution pour permettre le transfert des Données à caractère personnel dans le plus grand respect de la Législation sur la protection des données.

11. Divers

11.1 Pour peu qu’une disposition quelconque du présent APD soit jugée inapplicable ou invalide par une juridiction compétente, ladite disposition sera limitée ou supprimée dans la plus petite mesure requise afin que le présent APD demeure par ailleurs pleinement applicable.

11.2 Snyk est autorisée à modifier le présent APD (exception faite des dispositions de fond des Clauses de transfert) et toute modification au présent APD sera publiée sur ce site web https://snyk.io/procurement/data-sharing-amendments/.

ANNEXE 1 : Clauses contractuelles standard pour le transfert de Données à caractère personnel depuis la Communauté vers des pays tiers (transferts de responsable de traitement à responsable de traitement)

Accord de transfert de données

Entre
la société Snyk Limited, sise à Highlands House, Basingstoke Road, Spencers Wood, Reading, Berkshire, RG7 1NT Royaume-Uni (« exportateur de données »),
et
le Cocontractant, tel que défini dans l’Accord de services (« importateur de données »),
dénommées individuellement « partie » et ensemble « les parties ».

Définitions

Au sens des clauses :
a) « données à caractère personnel », « catégories spéciales de données/données sensibles », « processus/traitement », « responsable », « sous-traitant », « personne concernée » et « autorité/autorité de contrôle » ont le même sens que dans la directive 95/46/CE du 24 octobre 1995 (où « l’autorité » désigne l’autorité compétente en matière de protection des données sur le territoire où l’exportateur de données est établi) ;
b) « l’exportateur de données » désigne le responsable du traitement qui transfère les données à caractère personnel ;
c) « l’importateur de données » désigne le responsable du traitement qui accepte de recevoir des données à caractère personnel de l’exportateur de données pour un traitement ultérieur conformément aux dispositions des présentes clauses et qui n’est pas soumis au régime d’un pays tiers assurant une protection adéquate ;
d) « clauses » désigne ces clauses contractuelles, qui sont un document autonome qui n’incorpore pas les conditions commerciales établies par les parties dans le cadre d’accords commerciaux distincts.

Les détails du transfert (ainsi que les données à caractère personnel couvertes) sont précisés à l’Annexe B, qui fait partie intégrante des clauses.

I. Obligations de l’exportateur de données

L’exportateur de données offre les garanties et prend les engagements suivants : les données à caractère personnel ont été collectées, traitées et transférées conformément aux lois applicables à l’exportateur de données.

L’exportateur de données a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même de satisfaire aux obligations juridiques qui lui incombent en vertu des présentes clauses.

L’exportateur de données communique à l’importateur de données, à la demande de ce dernier, le texte des lois pertinentes en matière de protection des données du pays dans lequel il est établi ou les références de ces lois (si approprié et sans inclure d’avis juridique).

L’exportateur de données répond aux demandes de renseignements des personnes concernées et de l’autorité au sujet du traitement des données à caractère personnel par l’importateur de données, à moins que les parties n’aient convenu que c’est l’importateur de données qui y répond, auquel cas l’exportateur de données doit néanmoins répondre dans la mesure du possible en communiquant les informations dont il peut raisonnablement disposer si l’importateur de données ne consent pas à répondre ou n’est pas en mesure de le faire. Les réponses sont apportées dans des délais raisonnables.

L’exportateur de données remet, sur demande, un exemplaire des clauses aux personnes concernées qui sont des tiers bénéficiaires en vertu de la clause III, à moins que les clauses ne contiennent des informations confidentielles, auquel cas il est autorisé à retirer lesdites informations. Lorsque des informations sont retirées, l’exportateur de données informe les personnes concernées, par écrit, de la raison du retrait et de leur droit de porter ce retrait à la connaissance de l’autorité. Toutefois, l’exportateur de données se conforme à une décision de l’autorité concernant l’accès au texte intégral des clauses par les personnes concernées, pour autant que ces dernières aient accepté de respecter la confidentialité des informations confidentielles retirées. L’exportateur de données fournit également un exemplaire des clauses à l’autorité lorsque cette dernière le lui demande.

II. Obligations de l’importateur de données

L’importateur de données offre les garanties et prend les engagements suivants :
a) L’importateur de données met en place les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte accidentelle, une altération, une divulgation ou un accès non autorisé. Ces mesures assurent un niveau de sécurité adapté au risque lié au traitement et à la nature des données à protéger.
b) L’importateur de données met en place des procédures assurant que les tiers qu’il autorise à accéder aux données à caractère personnel, y compris les sous-traitants, respectent et préservent la confidentialité et la sécurité des données à caractère personnel. Toute personne agissant sous l’autorité de l’importateur de données, y compris un sous-traitant, ne peut traiter les données à caractère personnel que sur instruction de l’importateur de données. Cette disposition ne s’applique pas aux personnes que la loi ou la réglementation autorise ou oblige à accéder aux données à caractère personnel.
c) Au moment où il adhère aux présentes clauses, l’importateur de données n’a pas connaissance de l’existence de lois locales susceptibles d’affecter de façon substantielle les garanties offertes en vertu des présentes clauses et, s’il apprend l’existence de telles lois, il en informe l’exportateur de données (qui transmettra cette notification à l’autorité si nécessaire).
d) L’importateur de données traite les données à caractère personnel aux fins décrites à l’annexe B et il est juridiquement habilité à donner les garanties et à prendre les engagements énoncés dans les présentes clauses.
e) L’importateur de données désigne à l’exportateur de données un point de contact au sein de son organisation qui est autorisé à répondre aux demandes de renseignements concernant le traitement des données à caractère personnel et coopère de bonne foi avec l’exportateur de données, les personnes concernées et l’autorité au sujet de toutes ces demandes de renseignements dans des délais raisonnables. En cas de dissolution légale de l’exportateur de données ou si les parties en ont convenu ainsi, l’importateur de données assume la responsabilité de la conformité aux dispositions de la clause I(e).
f) À la demande de l’exportateur de données, l’importateur de données lui apporte la preuve qu’il dispose de ressources financières suffisantes pour assumer ses responsabilités au titre de la clause III (ce qui peut inclure la couverture d’une assurance).
g) Sur demande raisonnable de l’exportateur de données, l’importateur de données soumet ses moyens de traitement des données, ses fichiers de données et la documentation nécessaire au traitement à l’examen, à la vérification et/ou à la certification par l’exportateur de données (ou tout inspecteur ou vérificateur indépendant ou impartial sélectionné par l’exportateur de données et que l’importateur de données ne peut raisonnablement récuser) afin de vérifier la conformité aux garanties données et aux engagements pris dans les présentes clauses, moyennant un préavis raisonnable et durant les heures de bureau habituelles. La demande est soumise, si nécessaire, à l’autorisation ou à l’approbation d’une autorité réglementaire ou de contrôle du pays de l’importateur de données, lequel s’efforce d’obtenir cette autorisation ou approbation dans les meilleurs délais.
h) L’importateur de données traite les données à caractère personnel, selon son choix, conformément :
i. aux lois sur la protection des données du pays dans lequel l’exportateur de données est établi, ou
ii. aux dispositions (1) pertinentes d’une décision de la Commission en application de l’article 25, paragraphe 6, de la directive 95/46/CE, lorsque l’importateur de données se conforme aux dispositions pertinentes de cette autorisation ou décision et est établi dans un pays où cette autorisation ou décision s’applique mais n’est pas couvert par cette autorisation ou décision pour les besoins du transfert de données à caractère personnel (2) ;
iii. aux principes de traitement des données énoncés à l’annexe A.

L’importateur de données indique l’option qu’il sélectionne :

Paraphe de l’importateur de données : Cocontractant ;
i) L’importateur de données ne divulgue pas et ne transfère pas les données à caractère personnel à un responsable du traitement dans un pays tiers situé en dehors de l’Espace économique européen (EEE) sans notifier ce transfert à l’exportateur de données et sans :
i. que le responsable du traitement dans le pays tiers traite les données à caractère personnel conformément à une décision de la Commission établissant que le pays tiers en question assure une protection adéquate ou
ii. que le responsable du traitement dans le pays tiers devienne signataire des présentes clauses ou d’un autre accord de transfert de données approuvé par une autorité compétente de l’Union européenne ou
iii. que les personnes concernées aient eu la possibilité de s’y opposer, après avoir été informées des finalités du transfert, des catégories de destinataires et du fait que les pays vers lesquels les données sont exportées peuvent avoir des normes de protection des données différentes ou
iv. que les personnes concernées aient donné leur consentement non équivoque au transfert ultérieur dans le cas de données sensibles.

III. Responsabilité et droits des tiers

a) Chaque partie est responsable envers l’autre partie des dommages qu’elle cause par suite d’un manquement aux présentes clauses. La responsabilité entre les parties se limite au dommage effectif subi. Des pénalités (c’est-à-dire des dommages-intérêts destinés à punir une partie pour sa conduite outrageante) sont spécifiquement exclues. Chaque partie est responsable envers les personnes concernées des dommages qu’elle cause par suite d’une violation des droits des tiers au titre des présentes clauses, sans que cela n’affecte la responsabilité de l’exportateur de données en vertu de la loi sur la protection des données à laquelle il est soumis.

b) Les parties conviennent qu’une personne concernée a le droit de faire appliquer, en tant que tiers bénéficiaire, la présente clause, ainsi que les clauses I (b), I(d), I(e), II(a), II(c), II(d), II(e), II(h), II(i), III(a), V, VI(d) et VII à l’encontre de l’importateur de données ou de l’exportateur de données, pour leurs manquements respectifs à leurs obligations contractuelles, en ce qui concerne ses données à caractère personnel, et accepte la juridiction à cette fin du pays d’établissement de l’exportateur de données. Dans les cas impliquant des allégations de manquement par l’importateur de données, la personne concernée doit d’abord demander à l’exportateur de données de prendre des mesures appropriées pour faire valoir ses droits à l’encontre de l’importateur de données ; si l’exportateur de données ne prend pas ces mesures dans des délais raisonnables (qui, dans des circonstances normales, seraient d’un mois), la personne concernée peut alors faire valoir ses droits à l’encontre de l’importateur de données directement. Une personne concernée est en droit de procéder directement à l’encontre d’un exportateur de données qui n’a pas entrepris de démarches raisonnables pour déterminer que l’importateur de données est à même de satisfaire à ses obligations légales au titre des présentes clauses (il appartient à l’exportateur de données de prouver qu’il a entrepris des démarches raisonnables).

IV. Droit applicable aux clauses

Les présentes clauses sont régies par le droit du pays où l’exportateur de données est établi, à l’exception des lois et règlements relatifs au traitement des données à caractère personnel par l’importateur de données en vertu de la clause II h), qui s’appliquent seulement si l’importateur de données les sélectionne en vertu de cette clause.

V. Règlement des litiges avec les personnes concernées ou l’autorité

a) En cas de litige ou de plainte introduite à l’encontre des parties ou de l’une d’entre elles par une personne concernée ou par l’autorité au sujet du traitement des données à caractère personnel, les parties s’informent mutuellement de ces litiges ou plaintes et coopèrent en vue de parvenir à un règlement à l’amiable dans les meilleurs délais.

Les parties conviennent de répondre à toute procédure de médiation non contraignante généralement disponible mise en œuvre par une personne concernée ou par l’autorité. Si elles participent aux procédures, les parties peuvent choisir de le faire à distance (notamment par téléphone ou autres moyens électroniques). Les parties conviennent également d’examiner la possibilité de participer à toute autre procédure d’arbitrage, de médiation ou de règlement de litige mise en place pour les litiges relatifs à la protection des données.

c) Chaque partie se plie à la décision d’un tribunal compétent du pays d’établissement de l’exportateur de données ou de l’autorité qui est définitive et contre laquelle aucun recours n’est possible.

VI. Résiliation

a) Au cas où l’importateur de données manque à ses obligations au titre des présentes clauses, l’exportateur de données peut temporairement suspendre le transfert de données à caractère personnel à l’importateur de données jusqu’à ce qu’il soit remédié au manquement ou que le contrat soit résilié.

b) Au cas où :
i. le transfert de données à caractère personnel à l’importateur de données a été temporairement suspendu par l’exportateur de données pendant plus d’un mois conformément au paragraphe a) ;
ii. le respect par l’importateur de données des présentes clauses le mettrait en violation de ses obligations légales ou réglementaires dans le pays d’importation ;
iii. l’importateur de données est en violation grave ou persistante des garanties qu’il a données ou des engagements qu’il a pris au titre des présentes clauses ;
iv. une décision finale, contre laquelle aucun recours n’est possible, d’un tribunal compétent du pays d’établissement de l’exportateur de données ou de l’autorité déclare que les clauses n’ont pas été respectées par l’importateur de données ou l’exportateur de données, ou
v. une pétition est présentée en vue de l’administration ou de la liquidation de l’importateur de données, en tant que personne ou en tant qu’entreprise, laquelle pétition n’est pas contestée dans les délais applicables pour une telle contestation en vertu du droit applicable ; un ordre de liquidation est donné ; un administrateur est désigné pour l’un des biens de l’importateur de donnés ; un curateur de faillite est désigné, si l’importateur de données est une personne privée ; une procédure de concordat est engagée par lui ; ou il intervient un événement équivalent dans toute juridiction,

l’exportateur de données, sans préjudice des autres droits qu’il pourrait faire valoir à l’encontre de l’importateur de données, est autorisé à résilier les présentes clauses, auquel cas l’autorité en est informée si nécessaire. Dans les cas couverts par les points (i), (ii), ou (iv) ci-dessus, l’importateur de données peut également résilier les présentes clauses.

c) L’une des parties peut résilier les présentes clauses si (i) la Commission a adopté une décision constatant le caractère adéquat de la protection des données au titre de l’article 25, paragraphe 6, de la directive 95/46/CE (ou tout texte la remplaçant) concernant le pays (ou un secteur de celui-ci) vers lequel les données sont transférées et traitées par l’importateur de données ou (ii) la directive 95/46/CE (ou tout texte la remplaçant) devient directement applicable dans ce pays.

d) Les parties conviennent que la résiliation des présentes clauses à tout moment, en toutes circonstances et pour quelque raison que ce soit \[sauf pour la résiliation en vertu de la clause VI (c)] ne les exempte pas des obligations et/ou conditions imposées par les clauses en ce qui concerne le traitement des données à caractère personnel transférées.

VII. Modification des présentes clauses

Les parties ne peuvent pas modifier les présentes clauses sauf pour mettre à jour les informations de l’annexe B, auquel cas elles en informent l’autorité si nécessaire. Elles sont toutefois autorisées à ajouter des clauses commerciales supplémentaires, si nécessaire.

VIII. Description du transfert

Les détails du transfert et des données à caractère personnel sont spécifiés à l’annexe B. Les parties conviennent que l’annexe B peut contenir des informations professionnelles confidentielles qu’elles ne divulgueront pas à des tiers, sauf si la loi les y oblige ou en réponse à une agence officielle ou réglementaire compétente ou si elles y sont tenues en vertu de la clause I (e). Les parties peuvent exécuter des annexes supplémentaires pour couvrir des transferts supplémentaires, qui seront soumises à l’autorité si nécessaire. L’annexe B peut aussi être rédigée de manière à couvrir des transferts multiples.

1 Les « dispositions pertinentes » sont celles de toute autorisation ou décision à l’exception des dispositions d’application de toute autorisation ou décision (qui sont régies par les présentes clauses).

2 Toutefois, les dispositions de l’annexe A.5 concernant les droits d’accès, de rectification, de suppression ou d’objection doivent être appliquées lorsque cette option est choisie et priment sur les dispositions comparables de la décision de la Commission sélectionnée.

ANNEXE 1 : ANNEXE A : PRINCIPES DE TRAITEMENT DES DONNÉES

  1. Limitation des transferts à une finalité spécifique : Les données à caractère personnel ne peuvent être traitées et ultérieurement communiquées qu’aux fins décrites à l’annexe B ou ultérieurement autorisées par la personne concernée.

  2. Qualité et proportionnalité des données : Les données à caractère personnel doivent être exactes et, au besoin, actualisées. Elles doivent être adéquates, pertinentes et non excessives au regard des finalités de leur transfert ou de leur traitement ultérieur.

  3. Transparence : Les personnes concernées sont en droit d’obtenir les informations nécessaires pour assurer un traitement loyal (notamment les informations sur les finalités du traitement et sur le transfert), à moins que ces informations aient été déjà fournies par l’exportateur de données.

  4. Sécurité et confidentialité : Le responsable du traitement doit prendre des mesures de sécurité, sur le plan technique et au niveau de l’organisation, qui sont appropriées au regard des risques présentés par le traitement, notamment la destruction fortuite ou illicite, la perte fortuite, l’altération, la divulgation ou l’accès non autorisé. Toute personne agissant sous l’autorité du responsable du traitement, y compris un sous-traitant, ne doit traiter les données que sur instructions du responsable.

  5. Droits d’accès, de rectification, de suppression et d’objection : Comme le prévoit l’article 12 de la directive 95/46/CE, les personnes concernées sont en droit d’obtenir, directement ou via un tiers, la communication des informations à caractère personnel les concernant qu’une organisation détient, sauf si les demandes sont manifestement abusives du fait de leur fréquence déraisonnable, de leur nombre ou de leur nature répétitive ou systématique, ou si l’accès ne doit pas être accordé en vertu des lois du pays de l’exportateur de données. Pour autant que l’autorité ait donné son accord préalable, l’accès peut également ne pas être accordé lorsqu’il risque de porter gravement atteinte aux intérêts de l’importateur de données ou d’autres organisations traitant avec l’importateur de données et que les libertés et droits fondamentaux de la personne concernée ne priment pas sur ces intérêts. Les sources des données à caractère personnel peuvent ne pas être identifiées lorsque cela n’est pas possible au prix d’efforts raisonnables ou lorsque les droits de personnes autres que celle concernée seraient violés. Les personnes concernées ont le droit de faire rectifier, modifier ou supprimer les informations à caractère personnel les concernant lorsqu’elles sont inexactes ou font l’objet d’un traitement contraire aux présents principes. En cas de doute sérieux quant à la légitimité de la demande, l’organisation peut demander d’autres justifications avant de procéder à la rectification, à la modification ou à la suppression. La notification de toute rectification, modification ou suppression aux tiers à qui les données ont été divulguées peut être omise lorsque cela implique un effort disproportionné. Les personnes concernées doivent également être en mesure de s’opposer au traitement des données les concernant pour des raisons impérieuses et légitimes relatives à leur situation personnelle. La charge de la preuve pour tout refus appartient à l’importateur de données et la personne concernée peut toujours contester un refus devant l’autorité.

  6. Données sensibles : L’importateur de données prend les mesures supplémentaires (par exemple, en matière de sécurité) qui sont nécessaires pour protéger les données sensibles conformément à ses obligations au titre de la clause II.

  7. Données utilisées à des fins de marketing direct : Lorsque les données sont traitées à des fins de marketing direct, des procédures efficaces doivent permettre à la personne concernée de s’opposer à ce que les données la concernant soient, à un moment ou à un autre, utilisées à une telle fin.

  8. Décisions automatisées : Aux fins des présentes, on entend par « décision automatisée » toute décision de l’exportateur de données ou de l’importateur de données qui produit des effets juridiques à l’égard d’une personne concernée ou affecte de manière significative une personne concernée, prise sur le seul fondement d’un traitement automatisé de données destiné à évaluer certains aspects de la personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc. Les personnes concernées ne peuvent faire l’objet de décisions automatisées de la part de l’importateur de données sauf dans le cas où :
    a) i. de telles décisions sont prises par l’importateur de données dans le cadre de la conclusion ou de l’exécution d’un contrat avec la personne concernée, et
    ii. la personne a l’occasion d’examiner les résultats d’une décision automatisée la concernant avec un représentant de la partie qui prend une telle décision ou sinon de se faire représenter auprès de cette partie.

    ou
    b) lorsque la loi applicable à l’exportateur de données en dispose autrement.

ANNEXE 1 : ANNEXE B - DESCRIPTION DU TRANSFERT

Personnes concernées
Les données à caractère personnel transférées se rapportent aux catégories suivantes de personnes concernées : Comme défini dans l’Accord de services approprié 

Finalités du transfert
Les finalités du transfert sont les suivantes : Comme défini dans l’Accord de services approprié 

Catégories de données
Les données à caractère personnel transférées se rapportent aux catégories suivantes de données : Comme défini dans l’Accord de services approprié 

Destinataires
Les données à caractères personnel transférées ne peuvent être divulguées qu’aux destinataires suivants ou aux catégories de destinataires suivantes : Comme défini dans l’Accord de services approprié 

Données sensibles (le cas échéant)
Les données à caractère personnel transférées se rapportent aux catégories de données sensibles suivantes : Comme défini dans l’Accord de services approprié 

Enregistrements de l’exportateur de données relatifs à l’exportation des données (le cas échéant) :  Comme défini dans l’Accord de services approprié 

Autres informations utiles (limites de conservation et autres informations pertinentes) : Comme défini dans l’Accord de services approprié 

Point de contact pour les demandes de renseignements concernant la protection des données : Privacy@snyk.io

ANNEXE 2 : Clauses contractuelles standard pour le transfert de Données à caractère personnel depuis la Communauté vers des pays tiers (transferts de responsable de traitement à responsable de traitement)

Accord de transfert de données

Entre

la société Snyk Limited, sise à Highlands House, Basingstoke Road, Spencers Wood, Reading, Berkshire, RG7 1NT Royaume-Uni (« exportateur de données »),

et

le Cocontractant, tel que défini dans l’Accord de services (« importateur de données »),

dénommées individuellement « partie » et ensemble « les parties ».

Définitions

Au sens des clauses :
a) « données à caractère personnel », « catégories spéciales de données/données sensibles », « processus/traitement », « responsable », « sous-traitant », « personne concernée » et « autorité/autorité de contrôle » ont le même sens que dans la directive 95/46/CE du 24 octobre 1995 (où « l’autorité » désigne l’autorité compétente en matière de protection des données sur le territoire où l’exportateur de données est établi) ;
b) « l’exportateur de données » désigne le responsable du traitement qui transfère les données à caractère personnel ;
c) « l’importateur de données » désigne le responsable du traitement qui accepte de recevoir des données à caractère personnel de l’exportateur de données pour un traitement ultérieur conformément aux dispositions des présentes clauses et qui n’est pas soumis au régime d’un pays tiers assurant une protection adéquate ;
d) « clauses » désigne ces clauses contractuelles, qui sont un document autonome qui n’incorpore pas les conditions commerciales établies par les parties dans le cadre d’accords commerciaux distincts.

Les détails du transfert (ainsi que les données à caractère personnel couvertes) sont précisés à l’Annexe B, qui fait partie intégrante des clauses.

I. Obligations de l’exportateur de données

L’exportateur de données offre les garanties et prend les engagements suivants :
a) Les données à caractère personnel ont été collectées, traitées et transférées conformément aux lois applicables à l’exportateur de données.
b) L’exportateur de données a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même de satisfaire aux obligations juridiques qui lui incombent en vertu des présentes clauses.
c) L’exportateur de données communique à l’importateur de données, à la demande de ce dernier, le texte des lois pertinentes en matière de protection des données du pays dans lequel il est établi ou les références de ces lois (si approprié et sans inclure d’avis juridique).
d) L’exportateur de données répond aux demandes de renseignements des personnes concernées et de l’autorité au sujet du traitement des données à caractère personnel par l’importateur de données, à moins que les parties n’aient convenu que c’est l’importateur de données qui y répond, auquel cas l’exportateur de données doit néanmoins répondre dans la mesure du possible en communiquant les informations dont il peut raisonnablement disposer si l’importateur de données ne consent pas à répondre ou n’est pas en mesure de le faire. Les réponses sont apportées dans des délais raisonnables.
e) L’exportateur de données remet, sur demande, un exemplaire des clauses aux personnes concernées qui sont des tiers bénéficiaires en vertu de la clause III, à moins que les clauses ne contiennent des informations confidentielles, auquel cas il est autorisé à retirer lesdites informations. Lorsque des informations sont retirées, l’exportateur de données informe les personnes concernées, par écrit, de la raison du retrait et de leur droit de porter ce retrait à la connaissance de l’autorité. Toutefois, l’exportateur de données se conforme à une décision de l’autorité concernant l’accès au texte intégral des clauses par les personnes concernées, pour autant que ces dernières aient accepté de respecter la confidentialité des informations confidentielles retirées. L’exportateur de données fournit également un exemplaire des clauses à l’autorité lorsque cette dernière le lui demande.

II. Obligations de l’importateur de données

L’importateur de données offre les garanties et prend les engagements suivants :
a) L’importateur de données met en place les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte accidentelle, une altération, une divulgation ou un accès non autorisé. Ces mesures assurent un niveau de sécurité adapté au risque lié au traitement et à la nature des données à protéger.
b) L’importateur de données met en place des procédures assurant que les tiers qu’il autorise à accéder aux données à caractère personnel, y compris les sous-traitants, respectent et préservent la confidentialité et la sécurité des données à caractère personnel. Toute personne agissant sous l’autorité de l’importateur de données, y compris un sous-traitant, ne peut traiter les données à caractère personnel que sur instruction de l’importateur de données. Cette disposition ne s’applique pas aux personnes que la loi ou la réglementation autorise ou oblige à accéder aux données à caractère personnel.
c) Au moment où il adhère aux présentes clauses, l’importateur de données n’a pas connaissance de l’existence de lois locales susceptibles d’affecter de façon substantielle les garanties offertes en vertu des présentes clauses et, s’il apprend l’existence de telles lois, il en informe l’exportateur de données (qui transmettra cette notification à l’autorité si nécessaire).
d) L’importateur de données traite les données à caractère personnel aux fins décrites à l’annexe B et il est juridiquement habilité à donner les garanties et à prendre les engagements énoncés dans les présentes clauses.
e) L’importateur de données désigne à l’exportateur de données un point de contact au sein de son organisation qui est autorisé à répondre aux demandes de renseignements concernant le traitement des données à caractère personnel et coopère de bonne foi avec l’exportateur de données, les personnes concernées et l’autorité au sujet de toutes ces demandes de renseignements dans des délais raisonnables. En cas de dissolution légale de l’exportateur de données ou si les parties en ont convenu ainsi, l’importateur de données assume la responsabilité de la conformité aux dispositions de la clause I(e).
f) À la demande de l’exportateur de données, l’importateur de données lui apporte la preuve qu’il dispose de ressources financières suffisantes pour assumer ses responsabilités au titre de la clause III (ce qui peut inclure la couverture d’une assurance).
g) Sur demande raisonnable de l’exportateur de données, l’importateur de données soumet ses moyens de traitement des données, ses fichiers de données et la documentation nécessaire au traitement à l’examen, à la vérification et/ou à la certification par l’exportateur de données (ou tout inspecteur ou vérificateur indépendant ou impartial sélectionné par l’exportateur de données et que l’importateur de données ne peut raisonnablement récuser) afin de vérifier la conformité aux garanties données et aux engagements pris dans les présentes clauses, moyennant un préavis raisonnable et durant les heures de bureau habituelles. La demande est soumise, si nécessaire, à l’autorisation ou à l’approbation d’une autorité réglementaire ou de contrôle du pays de l’importateur de données, lequel s’efforce d’obtenir cette autorisation ou approbation dans les meilleurs délais.
h) L’importateur de données traite les données à caractère personnel, selon son choix, conformément :
i. aux lois sur la protection des données du pays dans lequel l’exportateur de données est établi, ou
ii. aux dispositions (3) pertinentes d’une décision de la Commission en application de l’article 25, paragraphe 6, de la directive 95/46/CE, lorsque l’importateur de données se conforme aux dispositions pertinentes de cette autorisation ou décision et est établi dans un pays où cette autorisation ou décision s’applique mais n’est pas couvert par cette autorisation ou décision pour les besoins du transfert de données à caractère personnel (4) ;
iii. aux principes de traitement des données énoncés à l’annexe A.
L’importateur de données indique l’option qu’il sélectionne :
Paraphe de l’importateur de données : Cocontractant
i) L’importateur de données ne divulgue pas et ne transfère pas les données à caractère personnel à un responsable du traitement dans un pays tiers situé en dehors de l’Espace économique européen (EEE) sans notifier ce transfert à l’exportateur de données et sans :
i. que le responsable du traitement dans le pays tiers traite les données à caractère personnel conformément à une décision de la Commission établissant que le pays tiers en question assure une protection adéquate ou
ii. que le responsable du traitement dans le pays tiers devienne signataire des présentes clauses ou d’un autre accord de transfert de données approuvé par une autorité compétente de l’Union européenne ou
iii. que les personnes concernées aient eu la possibilité de s’y opposer, après avoir été informées des finalités du transfert, des catégories de destinataires et du fait que les pays vers lesquels les données sont exportées peuvent avoir des normes de protection des données différentes ou
iv. que les personnes concernées aient donné leur consentement non équivoque au transfert ultérieur dans le cas de données sensibles.

III. Responsabilité et droits des tiers

a) Chaque partie est responsable envers l’autre partie des dommages qu’elle cause par suite d’un manquement aux présentes clauses. La responsabilité entre les parties se limite au dommage effectif subi. Des pénalités (c’est-à-dire des dommages-intérêts destinés à punir une partie pour sa conduite outrageante) sont spécifiquement exclues. Chaque partie est responsable envers les personnes concernées des dommages qu’elle cause par suite d’une violation des droits des tiers au titre des présentes clauses, sans que cela n’affecte la responsabilité de l’exportateur de données en vertu de la loi sur la protection des données à laquelle il est soumis.

b) Les parties conviennent qu’une personne concernée a le droit de faire appliquer, en tant que tiers bénéficiaire, la présente clause, ainsi que les clauses I (b), I(d), I(e), II(a), II(c), II(d), II(e), II(h), II(i), III(a), V, VI(d) et VII à l’encontre de l’importateur de données ou de l’exportateur de données, pour leurs manquements respectifs à leurs obligations contractuelles, en ce qui concerne ses données à caractère personnel, et accepte la juridiction à cette fin du pays d’établissement de l’exportateur de données. Dans les cas impliquant des allégations de manquement par l’importateur de données, la personne concernée doit d’abord demander à l’exportateur de données de prendre des mesures appropriées pour faire valoir ses droits à l’encontre de l’importateur de données ; si l’exportateur de données ne prend pas ces mesures dans des délais raisonnables (qui, dans des circonstances normales, seraient d’un mois), la personne concernée peut alors faire valoir ses droits à l’encontre de l’importateur de données directement. Une personne concernée est en droit de procéder directement à l’encontre d’un exportateur de données qui n’a pas entrepris de démarches raisonnables pour déterminer que l’importateur de données est à même de satisfaire à ses obligations légales au titre des présentes clauses (il appartient à l’exportateur de données de prouver qu’il a entrepris des démarches raisonnables).

IV. Droit applicable aux clauses

Les présentes clauses sont régies par le droit du pays où l’exportateur de données est établi, à l’exception des lois et règlements relatifs au traitement des données à caractère personnel par l’importateur de données en vertu de la clause II h), qui s’appliquent seulement si l’importateur de données les sélectionne en vertu de cette clause.

V. Règlement des litiges avec les personnes concernées ou l’autorité

a) En cas de litige ou de plainte introduite à l’encontre des parties ou de l’une d’entre elles par une personne concernée ou par l’autorité au sujet du traitement des données à caractère personnel, les parties s’informent mutuellement de ces litiges ou plaintes et coopèrent en vue de parvenir à un règlement à l’amiable dans les meilleurs délais.

Les parties conviennent de répondre à toute procédure de médiation non contraignante généralement disponible mise en œuvre par une personne concernée ou par l’autorité. Si elles participent aux procédures, les parties peuvent choisir de le faire à distance (notamment par téléphone ou autres moyens électroniques). Les parties conviennent également d’examiner la possibilité de participer à toute autre procédure d’arbitrage, de médiation ou de règlement de litige mise en place pour les litiges relatifs à la protection des données.

c) Chaque partie se plie à la décision d’un tribunal compétent du pays d’établissement de l’exportateur de données ou de l’autorité qui est définitive et contre laquelle aucun recours n’est possible.

VI. Résiliation

a) Au cas où l’importateur de données manque à ses obligations au titre des présentes clauses, l’exportateur de données peut temporairement suspendre le transfert de données à caractère personnel à l’importateur de données jusqu’à ce qu’il soit remédié au manquement ou que le contrat soit résilié.

b) Au cas où :
i. le transfert de données à caractère personnel à l’importateur de données a été temporairement suspendu par l’exportateur de données pendant plus d’un mois conformément au paragraphe a) ;
ii. le respect par l’importateur de données des présentes clauses le mettrait en violation de ses obligations légales ou réglementaires dans le pays d’importation ;
iii. l’importateur de données est en violation grave ou persistante des garanties qu’il a données ou des engagements qu’il a pris au titre des présentes clauses ;
iv. une décision finale, contre laquelle aucun recours n’est possible, d’un tribunal compétent du pays d’établissement de l’exportateur de données ou de l’autorité déclare que les clauses n’ont pas été respectées par l’importateur de données ou l’exportateur de données, ou
v. une pétition est présentée en vue de l’administration ou de la liquidation de l’importateur de données, en tant que personne ou en tant qu’entreprise, laquelle pétition n’est pas contestée dans les délais applicables pour une telle contestation en vertu du droit applicable ; un ordre de liquidation est donné ; un administrateur est désigné pour l’un des biens de l’importateur de donnés ; un curateur de faillite est désigné, si l’importateur de données est une personne privée ; une procédure de concordat est engagée par lui ; ou il intervient un événement équivalent dans toute juridiction,

l’exportateur de données, sans préjudice des autres droits qu’il pourrait faire valoir à l’encontre de l’importateur de données, est autorisé à résilier les présentes clauses, auquel cas l’autorité en est informée si nécessaire. Dans les cas couverts par les points (i), (ii), ou (iv) ci-dessus, l’importateur de données peut également résilier les présentes clauses.

c) L’une des parties peut résilier les présentes clauses si (i) la Commission a adopté une décision constatant le caractère adéquat de la protection des données au titre de l’article 25, paragraphe 6, de la directive 95/46/CE (ou tout texte la remplaçant) concernant le pays (ou un secteur de celui-ci) vers lequel les données sont transférées et traitées par l’importateur de données ou (ii) la directive 95/46/CE (ou tout texte la remplaçant) devient directement applicable dans ce pays.

d) Les parties conviennent que la résiliation des présentes clauses à tout moment, en toutes circonstances et pour quelque raison que ce soit \[sauf pour la résiliation en vertu de la clause VI (c)] ne les exempte pas des obligations et/ou conditions imposées par les clauses en ce qui concerne le traitement des données à caractère personnel transférées.

VII. Modification des présentes clauses

Les parties ne peuvent pas modifier les présentes clauses sauf pour mettre à jour les informations de l’annexe B, auquel cas elles en informent l’autorité si nécessaire. Elles sont toutefois autorisées à ajouter des clauses commerciales supplémentaires, si nécessaire.

VIII. Description du transfert

Les détails du transfert et des données à caractère personnel sont spécifiés à l’annexe B. Les parties conviennent que l’annexe B peut contenir des informations professionnelles confidentielles qu’elles ne divulgueront pas à des tiers, sauf si la loi les y oblige ou en réponse à une agence officielle ou réglementaire compétente ou si elles y sont tenues en vertu de la clause I (e). Les parties peuvent exécuter des annexes supplémentaires pour couvrir des transferts supplémentaires, qui seront soumises à l’autorité si nécessaire. L’annexe B peut aussi être rédigée de manière à couvrir des transferts multiples.

3 Les « dispositions pertinentes » sont celles de toute autorisation ou décision à l’exception des dispositions d’application de toute autorisation ou décision (qui sont régies par les présentes clauses).
4 Toutefois, les dispositions de l’annexe A.5 concernant les droits d’accès, de rectification, de suppression ou d’objection doivent être appliquées lorsque cette option est choisie et priment sur les dispositions comparables de la décision de la Commission sélectionnée.

ANNEXE 2 : ANNEXE A

PRINCIPES DE TRAITEMENT DES DONNÉES

  1. Limitation des transferts à une finalité spécifique : Les données à caractère personnel ne peuvent être traitées et ultérieurement communiquées qu’aux fins décrites à l’annexe B ou ultérieurement autorisées par la personne concernée.

  2. Qualité et proportionnalité des données : Les données à caractère personnel doivent être exactes et, au besoin, actualisées. Elles doivent être adéquates, pertinentes et non excessives au regard des finalités de leur transfert ou de leur traitement ultérieur.

  3. Transparence : Les personnes concernées sont en droit d’obtenir les informations nécessaires pour assurer un traitement loyal (notamment les informations sur les finalités du traitement et sur le transfert), à moins que ces informations aient été déjà fournies par l’exportateur de données.

  4. Sécurité et confidentialité : Le responsable du traitement doit prendre des mesures de sécurité, sur le plan technique et au niveau de l’organisation, qui sont appropriées au regard des risques présentés par le traitement, notamment la destruction fortuite ou illicite, la perte fortuite, l’altération, la divulgation ou l’accès non autorisé. Toute personne agissant sous l’autorité du responsable du traitement, y compris un sous-traitant, ne doit traiter les données que sur instructions du responsable.

  5. Droits d’accès, de rectification, de suppression et d’objection : Comme le prévoit l’article 12 de la directive 95/46/CE, les personnes concernées sont en droit d’obtenir, directement ou via un tiers, la communication des informations à caractère personnel les concernant qu’une organisation détient, sauf si les demandes sont manifestement abusives du fait de leur fréquence déraisonnable, de leur nombre ou de leur nature répétitive ou systématique, ou si l’accès ne doit pas être accordé en vertu des lois du pays de l’exportateur de données. Pour autant que l’autorité ait donné son accord préalable, l’accès peut également ne pas être accordé lorsqu’il risque de porter gravement atteinte aux intérêts de l’importateur de données ou d’autres organisations traitant avec l’importateur de données et que les libertés et droits fondamentaux de la personne concernée ne priment pas sur ces intérêts. Les sources des données à caractère personnel peuvent ne pas être identifiées lorsque cela n’est pas possible au prix d’efforts raisonnables ou lorsque les droits de personnes autres que celle concernée seraient violés. Les personnes concernées ont le droit de faire rectifier, modifier ou supprimer les informations à caractère personnel les concernant lorsqu’elles sont inexactes ou font l’objet d’un traitement contraire aux présents principes. En cas de doute sérieux quant à la légitimité de la demande, l’organisation peut demander d’autres justifications avant de procéder à la rectification, à la modification ou à la suppression. La notification de toute rectification, modification ou suppression aux tiers à qui les données ont été divulguées peut être omise lorsque cela implique un effort disproportionné. Les personnes concernées doivent également être en mesure de s’opposer au traitement des données les concernant pour des raisons impérieuses et légitimes relatives à leur situation personnelle. La charge de la preuve pour tout refus appartient à l’importateur de données et la personne concernée peut toujours contester un refus devant l’autorité.

  6. Données sensibles : L’importateur de données prend les mesures supplémentaires (par exemple, en matière de sécurité) qui sont nécessaires pour protéger les données sensibles conformément à ses obligations au titre de la clause II.

  7. Données utilisées à des fins de marketing direct : Lorsque les données sont traitées à des fins de marketing direct, des procédures efficaces doivent permettre à la personne concernée de s’opposer à ce que les données la concernant soient, à un moment ou à un autre, utilisées à une telle fin.

  8. Décisions automatisées : Aux fins des présentes, on entend par « décision automatisée » toute décision de l’exportateur de données ou de l’importateur de données qui produit des effets juridiques à l’égard d’une personne concernée ou affecte de manière significative une personne concernée, prise sur le seul fondement d’un traitement automatisé de données destiné à évaluer certains aspects de la personnalité, tels que son rendement professionnel, son crédit, sa fiabilité, son comportement, etc. Les personnes concernées ne peuvent faire l’objet de décisions automatisées de la part de l’importateur de données sauf dans le cas où :

    a) i. de telles décisions sont prises par l’importateur de données dans le cadre de la conclusion ou de l’exécution d’un contrat avec la personne concernée, et
    ii. la personne a l’occasion d’examiner les résultats d’une décision automatisée la concernant avec un représentant de la partie qui prend une telle décision ou sinon de se faire représenter auprès de cette partie.

    ou

    b) lorsque la loi applicable à l’exportateur de données en dispose autrement.

ANNEXE 2 : ANNEXE B - DESCRIPTION DU TRANSFERT

Personnes concernées
Comme défini dans l’Accord de services approprié

Finalités du transfert
Les finalités du transfert sont les suivantes : Comme défini dans l’Accord de services approprié

Catégories de données
Comme défini dans l’Accord de services approprié

Destinataires
Comme défini dans l’Accord de services approprié

Données sensibles (le cas échéant)
Les données à caractère personnel transférées se rapportent aux catégories de données sensibles suivantes : Comme défini dans l’Accord de services approprié

Enregistrements de l’exportateur de données relatifs à l’exportation des données (le cas échéant) : Comme défini dans l’Accord de services approprié

Autres informations utiles (limites de conservation et autres informations pertinentes) : Comme défini dans l’Accord de services appropriéPoints de contact pour les demandes de renseignements concernant la protection des données : Privacy@snyk.io

Snyk est une plateforme de sécurité des développeurs. S’intégrant directement aux outils, workflows et pipelines de développement, Snyk facilite la détection, la priorisation et la correction des failles de sécurité dans le code, les dépendances, les conteneurs et l’infrastructure en tant que code (IaC). Soutenu par une intelligence applicative et sécuritaire de pointe, Snyk intègre l'expertise de la sécurité au sein des outils de chaque développeur.

Démarrez gratuitementRéservez une démo en ligne

Produit

Qu’est-ce que Snyk ?Snyk Code (SAST)Snyk Open Source (SCA)Snyk ContainerSnyk Infrastructure as CodeSnyk AppRisk (ASPM)Plateforme de sécurité des développeursSécurité des applicationsSécurité de la chaîne d’approvisionnement logicielleSécurité du code généré par l’IA DeepCode AITarifsOptions de déploiementIntégrationsPlugins pour les IDESécurité GitSécurité des pipelines de CI/CDSnyk CLISnyk LearnSnyk pour JavaScript

Ressources

DocumentationDocuments sur l’API SnykStatut de l’APIVulnérabilités divulguéesPortail de support et FAQBlogPrincipes fondamentaux de la sécuritéRessources pour les leaders de la sécuritéRessources pour les hackers éthiquesBase de données des vulnérabilitésSnyk OSS AdvisorTop 10 de SnykVidéosRessources clientSecurity LabsThe Secure Developer Podcast

Société

À proposClientsCarrièresÉvénementsSnyk pour le secteur publicSécurité et confianceMentions légalesConfidentialitéPour les résidents de Californie : Ne vendez pas mes informations à caractère personnelConditions d'utilisation du site webProcurement

Connexion

Réservez une démo en ligneContactez-nousSupportSignaler une nouvelle vulnérabilité

Sécurité

Sécurité des applicationsSécurité des conteneursSécurité de la chaîne d’approvisionnementSécurité JavascriptSécurité open sourceSécurité AWSSDLC sécuriséPosture de sécuritéCode sécuriséHacking éthiqueL’IA dans la cybersécuritéVérificateur de codePythonCybersécurité en entrepriseJavaScriptSnyk With GitHubComparaison Snyk/VeracodeSnyk vs CheckmarxSnyk vs Synopsys

© 2024 Snyk Limited
Enregistré en Angleterre et au Pays de Galles

logo-devseccon