Accord de traitement de données Caseware

Version : 3.0

Dernière mise à jour : Nov 2024

1. Introduction et champ d'application

Cet accord de traitement des données (" DPA") est incorporé par référence dans le Master Product and Services Agreement (" MPSA") conclu entre Caseware International Inc. et/ou Caseware Cloud Ltd (collectivement " Caseware " ou " Processeur ") et le client identifié dans cet accord (le"Client " ou le " Responsable du traitement "). (collectivement"Caseware" ou le"Processeur") et le client identifié dans ce contrat (le"Client" ou le"Contrôleur").

Comme le sous-traitant peut avoir accès aux données personnelles en fournissant des services (définis ci-dessous), le client (en tant que contrôleur) et Caseware (en tant que sous-traitant) ont besoin d'un accord contractuel concernant la collecte, le traitement et l'utilisation des données personnelles auxquelles le sous-traitant a accès pour s'assurer que les données personnelles reçoivent une protection équivalente à celle accordée par le contrôleur. Le présent DPA régit la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel traitées, les catégories de personnes concernées et les droits et obligations du responsable du traitement et du sous-traitant.

Le Client et Caseware sont désignés séparément comme"Partie" et collectivement comme"Parties".

2. Définitions

Capitalized terms not defined in this DPA shall have the meaning given to them in the MPSA.

• "CPRA" : la loi californienne sur les droits à la vie privée (California Privacy Rights Act), Cal. Civ. Code §§ 1798.100 et seq.

• "Informations Client" signifie les informations de contact professionnel (telles que le nom, l'adresse email professionnelle, le numéro de téléphone professionnel) relatives au personnel du Client fournies par le Client à Caseware afin d'accéder au logiciel et/ou à la base de données de Caseware.

• on entend par"lois sur la protection des données" toutes les lois sur la protection des données et de la vie privée applicables au traitement des données à caractère personnel en fonction de l'origine territoriale des données à caractère personnel.

• on entend par"personne concernée" une personne physique identifiée ou identifiable en rapport avec les données à caractère personnel. Le terme "personne concernée" est équivalent au terme "consommateur" (tel que défini dans la loi californienne sur les droits à la protection de la vie privée ("CPRA")).

• par"données à caractère personnel" ou"données personnelles", on entend, aux fins du présent DPA, toute information concernant une personne physique identifiée ou identifiable, ainsi que toutes les"informations personnelles" telles que définies dans l'ACPR, à l'exclusion des informations relatives aux clients.

• « énoncé de confidentialité » désigne l'énoncé de confidentialité que respecte Caseware à l'occasion de la fourniture de toutes les offres Caseware, qui est publié et mis à jour s'il y a lieu sur le site Web de Caseware;

• "Transfert restreint" signifie (i) un transfert de Données Personnelles du Client vers Caseware ; ou (ii) un transfert ultérieur de Données Personnelles de Caseware vers un Sous-Traitant, ou iii) un transfert ultérieur entre deux établissements de Caseware ou d'un Sous-Traitant ; dans chaque cas, lorsqu'un tel transfert serait interdit par les Lois sur la Protection des Données (ou par les termes des accords de transfert de données mis en place pour traiter les restrictions de transfert de données des Lois sur la Protection des Données), des mécanismes d'autorisation seront appliqués comme requis par les Lois sur la Protection des Données applicables.

• "Services" signifie les services offerts par Caseware en ce qui concerne le logiciel fourni par Caseware en tant que service (tel que défini dans le MPSA), ou le logiciel sous licence publique, et comprend tous les services de support logiciel fournis par Caseware ou ses Affiliés.

• " Clauses contractuelles types" : les clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil approuvé par décision de la Commission européenne le 4 juin 2021.

• "Sous-Traitant" signifie toute personne ou entité désignée par ou au nom de Caseware pour traiter les Données Personnelles au nom de Caseware dans le cadre des Services et inclut tout Sous-Traitant légitimement désigné par un Sous-Traitant (un Sous-Sous-Traitant) pour traiter les Données Personnelles au nom de Caseware dans le cadre des Services, mais n'inclut aucun employé individuel de Caseware ou d'un Sous-Traitant.

3. Détails du traitement

Caseware will collect, use, and disclose Personal Data in accordance with the Privacy Statement.

4. Types de données

Les types/catégories de données suivants peuvent être collectés, traités et/ou utilisés par Caseware :

• Données à caractère personnel (par exemple, nom, prénom, adresse et date de naissance) ;

• Données de communication (par exemple, numéro de téléphone, télécopie, courrier électronique) ;

• Données contractuelles (par exemple, détails de la facturation et du paiement) ;

• Les données relatives à l'utilisation des technologies de l'information (par exemple, l'identifiant de l'utilisateur, les mots de passe et les rôles) ;

• Données bancaires (par exemple, coordonnées bancaires et numéro de carte de crédit) ; et/ou

• Toute autre catégorie définie dans la déclaration de confidentialité.

5. Personnes concernées

Les personnes concernées qui peuvent être affectées par l'utilisation de leurs données personnelles sont les suivantes :

• Les clients ou les bénéficiaires des services du client ;

• Les employés ou les sous-traitants du client ; et/ou ;

• Les fournisseurs/prestataires de services du client.

6. Lieu de traitement des données

Caseware utilise des fournisseurs tiers d'hébergement de données tels qu'Amazon Web Services (AWS) pour héberger les Services et agir en tant que Sous-Traitants sur des serveurs situés dans le monde entier. Actuellement, Caseware utilise des serveurs en Australie, au Canada, en Irlande et aux États-Unis.

Concernant les données des clients dans nos produits et services, qui peuvent comprendre des données personnelles, au moment de l'abonnement à ces produits et services, les clients sont informés sur le serveur géographique qui héberge les données personnelles et ont la possibilité d'y consentir avant que les données personnelles du client soient stockées auprès d'un tel fournisseur d'hébergement de données.

Caseware s'efforcera raisonnablement d'allouer un serveur géographiquement proche du Client afin d'éviter tout transfert transfrontalier des Données Personnelles. Lorsque cela n'est pas possible, les mécanismes d'autorisation légalement requis seront appliqués avec le consentement du client, y compris pour la fourniture des services d'assistance technique et de maintenance demandés par le client.

7. Instructions

Caseware traite les données à caractère personnel aux fins de : (i) le traitement requis par les clients dans le cadre de leur utilisation des services ; (ii) le traitement conformément à la MPSA, à la présente DPA et à tout autre accord entre les parties, (iii) le traitement pour se conformer à d'autres instructions raisonnables fournies par le client lorsque ces instructions sont compatibles avec les conditions de la MPSA, les lois applicables et la DPA. Caseware informera le Client si, de l'avis de Caseware, les instructions ou les demandes du Client sont contraires aux lois sur la protection des données, avec les raisons correspondantes, par courrier électronique.

8. Engagement de confidentialité par Caseware

Caseware s'assurera (a) de la fiabilité de toutes les personnes susceptibles d'avoir accès aux données personnelles en vérifiant leurs antécédents ; (b) que toutes ces personnes sont soumises à des engagements de confidentialité au moins aussi restrictifs que ceux énoncés dans la LSM et traiteront les données personnelles comme des informations confidentielles ; et (c) que toutes ces personnes ont suivi une formation sur le traitement, la protection et la manipulation des données personnelles.

9. Mesures techniques et organisationnelles

Caseware met en œuvre les mesures techniques et organisationnelles (" MTO") nécessaires pour assurer un niveau de sécurité adapté au risque. Il peut s'agir, le cas échéant, des éléments suivants

• la pseudonymisation et le cryptage des données à caractère personnel ;

• la disponibilité et la résilience des systèmes et services de traitement ;

• la capacité à rétablir la disponibilité et l'accès aux données à caractère personnel en temps utile en cas d'incident physique ou technique ; et

• un processus permettant de tester, d'apprécier et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles visant à garantir la sécurité du traitement et de maintenir ces mesures pendant la durée du contrat.

Caseware mettra en œuvre les mesures techniques et organisationnelles appropriées pour protéger les données personnelles du client contre tout traitement non autorisé ou illégal et contre la perte, la destruction, les dommages, l'altération ou la divulgation accidentelle. Lors de la mise en œuvre et de la mise à jour de ces mesures techniques et organisationnelles garantissant un niveau de sécurité approprié au risque, Caseware tiendra compte de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques. Sans limiter la généralité de ce qui précède, Caseware a mis en œuvre les mesures techniques et organisationnelles (" MTO") spécifiées dans l' annexe 1 du présent DPA.

Caseware fait appel à des Sous-Traitants agréés pour fournir certaines parties des Services. Les TOM dépendent donc en partie de ces Sous-Traitants, comme le décrit également l' Annexe 1, à condition que Caseware reste responsable de son respect des TOM indépendamment de sa dépendance à l'égard des Sous-Traitants. Caseware peut décider d'améliorations commercialement raisonnables des TOM et fournir au Client, sur demande, une pièce jointe 1mise à jour.

10. Bureau mondial de la confidentialité

Caseware a nommé son directeur juridique senior au poste de responsable mondial de la protection de la vie privée.

11. Sous-processeurs

Le Client reconnaît et accepte que Caseware puisse engager des Sous-Traitants dans la fourniture des Services, sous réserve des termes et conditions de ce DPA, et que (i) un Affilié de Caseware puisse être retenu comme Sous-Traitant ; et (ii) Caseware ou un Affilié de Caseware puisse engager des Sous-Traitants tiers.

Lorsque Caseware fait appel à un Sous-Traitant pour la fourniture des Services, un accord de traitement des données sera conclu avec le Sous-Traitant. Une liste des sous-traitants actuels de Caseware est disponible en annexe 2.

Caseware fournira une liste mise à jour des Sous-Traitants au moins dix (10) jours ouvrables avant sa modification. Dans les dix (10) jours ouvrables suivant la mise à jour de la liste des Sous-Traitants, le Client informera Caseware, par écrit, de toute objection à la nomination d'un Sous-Traitant lorsque le Client estime raisonnablement que ce Sous-Traitant n'est pas conforme aux Lois sur la Protection des Données applicables, ou que ce traitement peut présenter un risque pour ses Informations Client ou ses Données Personnelles. Si le client s'oppose raisonnablement à un sous-traitant secondaire tel que décrit ci-dessus, les parties s'efforceront de résoudre le problème dans les meilleurs délais. Caseware fera des efforts raisonnables pour mettre à la disposition du Client un changement dans les Services afin d'éviter le traitement des Informations du Client ou des Données Personnelles par le Sous-Traitant ayant fait l'objet d'une objection, sans que cela n'entraîne une charge déraisonnable pour le Client. CasewareCasewareCaseware Si le Client s'oppose à un nouveau Sous-Traitant, même si le nouveau Sous-Traitant est nécessaire pour Caseware et les Services, le Client peut alors résilier tout abonnement aux Services Caseware concernés sans pénalité en fournissant, avant la fin de la période de préavis, un avis écrit de résiliation.

Si l'utilisation d'un Sous-Traitant implique un Transfert Restreint, Caseware s'assurera que l'autorisation requise par la loi applicable est à tout moment incorporée dans un accord entre Caseware et le Sous-Traitant ; et entre le Sous-Traitant et tout Sous-Sous-Traitant.

12. Demandes des personnes concernées

Caseware soutiendra raisonnablement le Client dans le cas d'une demande d'accès, de rectification ou d'effacement de données, dans la mesure où le Client ne peut pas répondre à une telle demande par lui-même, dans la mesure où cela est légalement permis et techniquement possible. Les Clients paieront les coûts de Caseware pour un tel support, dans la mesure où cela est légalement autorisé.

Si Caseware reçoit une demande de la part d'une personne concernée par les Données Personnelles transférées par le Client, Caseware renverra la demande au Client. Caseware ne répondra pas à une telle demande mais assistera le Client comme prévu dans la présente section.

13. Notification de violation de données

Caseware informera le Client dans les meilleurs délais, et au plus tard dans les 72 heures, après avoir pris connaissance d'une violation des Données Personnelles (c'est-à-dire une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès aux Données Personnelles transmises, stockées ou traitées d'une autre manière), y compris une violation chez un Sous-Traitant, et fournira les informations nécessaires pour permettre au Client d'informer les autorités et les personnes concernées. Caseware doit faire des efforts raisonnables pour remédier à la cause d'une telle violation de données et atténuer les dommages (potentiels) résultant de la violation.

La notification au Client comprendra au moins a) la nature de la violation, b) les catégories de données concernées, c) les conséquences identifiées et potentielles de la violation et d) les mesures prises par Caseware pour atténuer les conséquences de la violation. A la demande du Client, Caseware l'aidera à notifier la violation à une autorité de contrôle et/ou aux personnes concernées.

14. Évaluation de l'impact sur la protection des données (DPIA)

A la demande du Client, Caseware fournira une assistance raisonnable au Client dans la conduite d'un DPIA, uniquement en relation avec le traitement par Caseware des Données Personnelles du Client et en tenant compte de la nature du traitement et des informations disponibles pour Caseware et les Sous-Traitants. Les Clients paieront les coûts de Caseware pour un tel support, dans la mesure où cela est légalement autorisé.

15. Suppression ou restitution des données à caractère personnel

Caseware devra, au choix du Client, supprimer irrémédiablement ou retourner toutes les Données Personnelles dans les 120 jours calendaires suivant la résiliation ou l'expiration du MPSA avec le Client, à moins que la conservation des données ne soit requise par la loi.

16. Droits d'information et d'audit

Les clients peuvent obtenir des informations sur les certifications de sécurité Caseware existantes sur le site https://www.caseware.com/security-certifications/. A la demande du Client, Caseware mettra à la disposition du Client, ou d'un auditeur tiers mandaté par le Client, une fois par an, des informations concernant le respect par Caseware du présent RGPD et de la Loi sur le traitement des données, y compris les audits sur site. Tout audit peut inclure la soumission par Caseware de ses installations de traitement des données, de ses fichiers de données et de la documentation nécessaire au traitement des Données Personnelles (et/ou ceux de ses agents, affiliés et Sous-Traitants) à l'examen, l'audit et/ou la certification par le Client (ou tout agent d'inspection ou auditeur indépendant ou impartial sélectionné par le Client et auquel Caseware ne peut raisonnablement s'opposer), avec un préavis raisonnable et pendant les heures normales d'ouverture des bureaux. Avant de fournir des informations ou de procéder à un audit, les parties conviennent d'un commun accord de la portée, du calendrier et de la durée de cet audit.

17. Transferts affectés

Tout transfert de données à caractère personnel de l'UE, de la Suisse, du Royaume-Uni ou de l'EEE vers un pays situé en dehors de ces zones et n'assurant pas un niveau de protection adéquat, tel que déterminé par une décision de la Commission européenne ou des autorités réglementaires britanniques ou suisses, sera soumis aux Clauses contractuelles types applicables (ou à l'équivalent applicable promulgué par les autorités réglementaires britanniques ou suisses), à l'annexe 3 et tout transfert de données à caractère personnel du Royaume-Uni ou de la Suisse vers un pays qui n'assure pas un niveau de protection adéquat tel que déterminé par une décision des autorités de régulation de l'UE, du Royaume-Uni ou de la Suisse, sera soumis à l'équivalent applicable des CCN utilisées à l'époque, y compris l'addendum britannique sur le transfert international de données aux clauses contractuelles types de la Commission de l'UE, à l' annexe 4.

Les Clients transférant des Données Personnelles de l'UE, de la Suisse, de l'EEE ou du Royaume-Uni vers Caseware seront considérés comme un" Exportateur de Données", et Caseware sera considéré comme un" Importateur de Données" (les deux termes étant définis dans les Clauses Contractuelles Standard). Le Client (en tant qu'" exportateur de données") et Caseware (en tant qu'" importateur de données") concluent par la présente les Clauses Contractuelles Standard ou le UK International Data Transfer Addendum to the EU Commission Standard Contractual Clauses, selon le cas, en ce qui concerne tout Transfert Restreint du Client vers Caseware.

Les clauses contractuelles types ou l'addendum équivalent suisse ou britannique sur le transfert international de données aux clauses contractuelles types de la Commission européenne, selon le cas, entreront en vigueur à la signature de l'accord de partenariat et de coopération.

18. Dispositions spécifiques à la Californie

Dans la mesure où Caseware traite des données personnelles relatives à des personnes résidant en Californie, Caseware doit se conformer aux exigences de la CPRA, y compris tout amendement et toute réglementation d'application entrant en vigueur à la date d'entrée en vigueur du présent DPA ou ultérieurement, et doit fournir le même niveau de protection de la vie privée que celui exigé par la CPRA. Les termes en majuscules utilisés mais non définis dans la présente section 18 ont la même signification que dans l'ACPR. Pour les besoins de l'ACPR, les parties conviennent que Caseware est un "Prestataire de services" dans l'exécution de ses obligations, et que le Client est une "Entreprise", et que le transfert des Données personnelles à Caseware ne doit pas être considéré comme une "Vente" ou un "Partage" Dans la mesure requise par l'ACPR, Caseware doit (a) accorder au Client le droit de prendre des mesures raisonnables et appropriées pour aider à garantir que Caseware utilise les Données Personnelles d'une manière compatible avec les obligations du Client en vertu de l'ACPR ; (b) notifier au Client si Caseware détermine qu'il ne peut plus respecter ses obligations en vertu de l'ACPR ; et (c) accorder au Client le droit, moyennant un préavis raisonnable, de prendre des mesures raisonnables et appropriées pour arrêter et remédier à toute utilisation non autorisée des Données Personnelles. Dans la mesure requise par l'ACPR, le Client informera Caseware de toutes les demandes des consommateurs faites en vertu de l'ACPR auxquelles il doit se conformer, et fournira toutes les informations nécessaires à Caseware pour se conformer à une telle demande.

Caseware traitera les Données Personnelles uniquement pour les " finalités commerciales " spécifiées dans le MPSA et le présent DPA, y compris, mais sans s'y limiter, (a) les finalités opérationnelles de Caseware ; (b) la fourniture des Services au Client ; (c) l'audit ; (d) l'aide pour assurer la sécurité et l'intégrité ; (e) le débogage ; (f) l'utilisation transitoire à court terme ; (g) la fourniture de services de publicité et de marketing dans la mesure où ces services sont envisagés par l'accord des Parties ; et (h) l'entreprise de recherches internes pour le développement et la démonstration technologiques. Les parties conviennent que le Client ne divulgue ses données personnelles à Caseware qu'à ces fins limitées.

En tant que fournisseur de services, Caseware ne doit pas :

• Sell or Share Personal Data;

• conserver, utiliser ou divulguer des données à caractère personnel à des fins autres que les finalités commerciales spécifiées dans la MPSA et le présent DPA, y compris conserver, utiliser ou divulguer des données à caractère personnel à des fins commerciales autres que les finalités commerciales spécifiées dans la MPSA et le présent DPA, ou dans les cas autorisés par l'ACPR ;

• conserver, utiliser ou divulguer des Données Personnelles en dehors de la relation commerciale directe entre Caseware et le Client ; ou

• combiner les Données Personnelles que Caseware reçoit de, ou au nom du Client, avec des informations personnelles qu'il reçoit de, ou au nom d'une ou plusieurs autres personnes, ou qu'il collecte à partir de sa propre interaction avec le consommateur, à condition que Caseware puisse combiner des informations personnelles pour réaliser tout Objectif Commercial tel que défini dans les réglementations adoptées conformément au paragraphe (10) de la sous-section (a) de Cal. Civ. Code § 1798.185, à l'exception de ce qui est prévu au paragraphe (6) de la sous-section (e) du Cal. Civ. Code § 1798.140 et dans les règlements adoptés par l'Agence californienne de protection de la vie privée.

19. Autres lois américaines sur la protection des données

Dans la mesure où Caseware traite des données personnelles relatives à des individus qui sont des " consommateurs " au sens de la loi sur la protection de la vie privée du Colorado, Colo. Rev. Stat. §§ 6-1-1301 et suivants ("CPA"), le Connecticut Data Privacy Act, Public Act No. 22-15 ("CTDPA"), le Utah Consumer Privacy Act, Utah Code Ann. §§ 13-61-101 et suivants ("UCPA"), et la loi de Virginie sur la protection des données des consommateurs, Va. Code Ann. §§59.1- 575 et seq. ("VCDPA") (collectivement, les "Lois sur la protection de la vie privée des consommateurs" ou "LPC"), respectivement, et aux dates d'entrée en vigueur respectives des LPC, Caseware devra se conformer aux exigences des LPC, y compris tout amendement et règlement d'application entrant en vigueur à la date d'entrée en vigueur de ce DPA ou après celle-ci.

20. Responsabilité

La responsabilité des parties est soumise aux dispositions de la LSM en matière de responsabilité.

21. DURÉE ET RÉSILIATION

Le présent DPA entre en vigueur dès l'accord avec le MPSA et le restera tant que Caseware traitera des données à caractère personnel ou pendant toute la durée du MPSA, la durée la plus longue étant retenue.

22. Divers

En cas de conflit entre le présent DPA ou tout autre accord entre les parties et les clauses contractuelles types, ces dernières prévalent. En cas de conflit entre les dispositions du présent DPA et tout autre accord conclu entre les parties, le présent DPA prévaut. L'invalidité de certaines dispositions du présent DPA n'affecte pas la validité des autres conditions du DPA. Sans préjudice de la clause 17 (droit applicable) et de la clause 18 (juridiction) des clauses contractuelles types, les parties se soumettent au choix de la juridiction et du lieu stipulé dans la LSM.

Annexe 1

Mesures techniques et organisationnelles ("MTO")

Description de l'action	Mesures techniques et organisationnelles
Pseudonymisation	Caseware utilise des outils pour anonymiser de manière sélective les données sensibles, qui peuvent inclure des données personnelles. La pseudonymisation n'est pas nécessairement utilisée pour tous les éléments de données personnelles, car toutes les données personnelles ne sont pas identifiables en tant que telles par Caseware.
Cryptage	Le cryptage des données au repos est assuré par Amazon Web Services Inc. ("AWS"), un sous-traitant agréé (voir l'annexe 2). Des certificats numériques sont en place pour gérer les communications cryptées avec les serveurs Web d'Amazon.
Confidentiel	Tous les employés de Caseware sont tenus de signer un accord de confidentialité et d'accepter les politiques et procédures de l'entreprise au moment de leur embauche. Une politique et une procédure de réponse aux incidents de sécurité de l'information sont en place pour faire face aux violations de données réelles et potentielles.
Intégration	Les services fournissent des contrôles administratifs permettant aux clients de contrôler qui peut accéder aux fichiers au sein de leur entreprise. Caseware ne dispose pas de ces droits. Caseware est certifié ISO 27001 et SOC 2 Type 2, et des contrôles sont en place pour s'assurer que seules les personnes nécessaires pour effectuer des opérations administratives ont l'accès requis. Une politique de contrôle d'accès et des procédures de révision des listes de contrôle d'accès sont en place. Les risques potentiels et leur atténuation sont examinés régulièrement.
Accessibilité	Le contrôle s'effectue par le biais d'un bilan de santé externe et en interne grâce à des solutions de contrôle de la gestion des capacités. Des processus d'assurance qualité sont en place et font l'objet d'un examen régulier, afin d'atténuer les risques d'indisponibilité.
Résilience des systèmes de traitement	Les services sont hébergés sur la plateforme AWS. Les services sont certifiés ISO 27001 et SOC 2 Type 2 pour la sécurité, la confidentialité, l'intégrité, le respect de la vie privée et la disponibilité.
Restauration	Une politique et des procédures de sauvegarde sont en place, avec des rapports de sauvegarde automatisés quotidiens pour s'assurer que la restauration est possible. Les rapports sont suivis par une équipe opérationnelle.
Tests d'audit	Des audits réguliers ont lieu pour vérifier la conformité à la norme ISO 27001 et à la norme SOC 2 de type 2. En outre, l'entreprise fait de temps à autre appel à un tiers pour des services de tests de pénétration.
Certification(s)	ISO 27001 et SOC 2 Type 2.

Annexe 2

Sous-traitants de Caseware

Sous-processeur	Finalité du traitement	Stockage et traitement des données
Amazon Web Services Inc. 440 Terry Ave N. Seattle, WA 98108-1226, USA	Les Services et les Données des Abonnés sont traités avec le logiciel CaseWare sous licence, sur l'infrastructure d'Amazon Web Services Inc.	Région sélectionnée par le client de Caseware lors de la passation du contrat : Canada Irlande ÉTATS-UNIS Australie
Google Analytics - Google Inc. 1600 Amphitheatre Pkwy. Mountain View, CA 94043, États-Unis	Un service d'analyse web offert par Google qui suit et rapporte le trafic du site web qui peut aider à identifier les tendances et les modèles dans la façon dont les visiteurs interagissent avec le site web de CaseWare.	ÉTATS-UNIS
HubSpot 25 King Street West, 2nd Floor Cambridge, MA 02141, États-Unis	Une plateforme de gestion de la relation client (CRM) et une plateforme d'automatisation du marketing (MAP) pour CaseWare et ses clients, prospects et partenaires, utilisées par l'équipe des ventes et du marketing de CaseWare pour communiquer avec les clients.	ÉTATS-UNIS
NetSuite 2300 Oracle Way Austin, TX 78741, USA	Une plateforme commerciale basée sur le cloud qui fournit des services de planification des ressources de l'entreprise (ERP) pour le "Back Office" de CaseWare, la facturation et la gestion des comptes financiers, l'inventaire et la gestion de la chaîne d'approvisionnement. Les données collectées, stockées et traitées sont spécifiques à l'exécution de services commerciaux dans le cadre de l'exécution de contrats.	ÉTATS-UNIS
New Relic 188 Spear St #1000 San Francisco, CA 94105, États-Unis	Une plateforme de surveillance des logs, le service technique et les logs de l'application CaseWare sont envoyés à New Relic pour la recherche, l'analyse et la surveillance du système. Les champs de données sensibles sont masqués, comme les noms d'utilisateur et les courriels, tandis que certaines données peu sensibles, comme l'adresse IP et l'hôte, sont saisies directement.	ÉTATS-UNIS
Pendo.io Inc. 418 rue Dawson Sud Raleigh, NC 27601, USA	Un outil d'analyse des produits qui permet aux équipes de gestion des produits de mieux comprendre le comportement des utilisateurs. Les actions des utilisateurs à travers les plateformes CaseWare sont envoyées à Pendo en tant qu'"événements" avec les propriétés de l'utilisateur qui a effectué cet événement. Les données peu sensibles, les noms des cabinets comptables sont saisis en tant que propriétés de l'utilisateur.	ÉTATS-UNIS
Salesforce Tour Salesforce 415 Mission Street, 3ème étage San Francisco, CA 94105, États-Unis	Une plateforme de gestion de la relation client (CRM), pour CaseWare, ses clients et ses partenaires. Utilisé pour la gestion des campagnes de marketing, de prospection et de communication	Canada

Annexe 3

Clauses contractuelles types

SECTION I

Clause 1

Objectif et champ d'application

1. Les présentes clauses contractuelles types ont pour objet d'assurer le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) pour le transfert de données à caractère personnel vers un pays tiers.

2. Les parties :

   1. la/les personne(s) physique(s) ou morale(s), autorité(s) publique(s), agence(s) ou autre(s) organisme(s) (ci-après "entité(s)") qui transfère(nt) les données à caractère personnel, dont la liste figure à l'annexe I.A. (ci-après chaque "exportateur de données"), et

   2. l'entité ou les entités d'un pays tiers recevant les données à caractère personnel de l'exportateur de données, directement ou indirectement par l'intermédiaire d'une autre entité également partie aux présentes clauses, dont la liste figure à l'annexe I.A. (ci-après chaque "importateur de données")

   ont accepté les présentes clauses contractuelles types (ci-après dénommées "clauses contractuelles") : "Clauses").

3. Les présentes clauses s'appliquent au transfert de données à caractère personnel tel que spécifié à l'annexe I.B.

4. L'appendice aux présentes clauses contenant les annexes qui y sont mentionnées fait partie intégrante des présentes clauses.

Article 2

Effet et invariabilité des clauses

1. Les présentes Clauses énoncent des garanties appropriées, y compris des droits opposables aux personnes concernées et des voies de recours effectives, conformément à l'article 46, paragraphe 1, et à l'article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des responsables du traitement aux sous-traitants et/ou des sous-traitants aux sous-traitants, des clauses contractuelles types conformément à l'article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu'elles ne soient pas modifiées, sauf pour sélectionner le(s) module(s) approprié(s) ou pour ajouter ou mettre à jour des informations dans l'appendice. Cela n'empêche pas les parties d'inclure les clauses contractuelles types établies dans les présentes clauses dans un contrat plus large et/ou d'ajouter d'autres clauses ou garanties supplémentaires, à condition qu'elles ne contredisent pas, directement ou indirectement, les présentes clauses ou qu'elles ne portent pas atteinte aux droits ou libertés fondamentaux des personnes concernées.

2. Les présentes clauses sont sans préjudice des obligations auxquelles l'exportateur de données est soumis en vertu du règlement (UE) 2016/679.

Article 3

Bénéficiaires tiers

1. Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, à l'encontre de l'exportateur et/ou de l'importateur de données, sous réserve des exceptions suivantes :

   1. Clause 1, clause 2, clause 3, clause 6, clause 7 ;

   2. Clause 8 - Module 1 : Clause 8.5 (e) et Clause 8.9 (b) ; Module Deux : Clause 8.1(b), 8.9(a), (c), (d) et (e) ; Module Trois : Clause 8.1(a), (c) et (d) et Clause 8.9(a), (c), (d), (e), (f) et (g) ; Module Quatre : Clause 8.1 (b) et clause 8.3 (b) ;

   3. Clause 9 - Module deux : Clause 9(a), (c), (d) et (e) ; Module Trois : Article 9, points a), c), d) et e) ;

   4. Clause 12 - Module 1 : Clause 12(a) et (d) ; Modules deux et trois : Article 12, points a), d) et f) ;

   5. Article 13 ;

   6. Clause 15.1 (c), (d) et (e) ;

   7. Article 16(e) ;

   8. Clause 18 - Modules un, deux et trois : Clause 18(a) et (b) ; Module Quatre : Article 18.

2. Le paragraphe a) est sans préjudice des droits des personnes concernées en vertu du règlement (UE) 2016/679.

Article 4

Interprétation

1. Lorsque les présentes clauses utilisent des termes qui sont définis dans le règlement (UE) 2016/679, ces termes ont la même signification que dans ledit règlement.

2. Les présentes clauses doivent être lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.

3. Les présentes clauses ne doivent pas être interprétées d'une manière qui entre en conflit avec les droits et obligations prévus par le règlement (UE) 2016/679.

Article 5

Hiérarchie

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties, existant au moment où les présentes clauses sont convenues ou conclues par la suite, les présentes clauses prévalent.

Article 6

Description du (des) transfert(s)

Les détails du ou des transferts, et en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles sont transférées, sont précisés à l'annexe I.B.

Article 7

Clause d'amarrage

1. Une entité qui n'est pas partie à ces clauses peut, avec l'accord des parties, adhérer à ces clauses à tout moment, soit en tant qu'exportateur de données, soit en tant qu'importateur de données, en complétant l'appendice et en signant l'annexe I.A.

2. Une fois qu'elle a complété l'appendice et signé l'annexe I.A, l'entité adhérente devient partie aux présentes clauses et a les droits et obligations d'un exportateur ou d'un importateur de données conformément à sa désignation à l'annexe I.A.

3. L'entité adhérente n'a aucun droit ou obligation découlant des présentes clauses pour la période précédant son adhésion.

SECTION II - OBLIGATIONS DES PARTIES

Article 8

Garanties en matière de protection des données

L'exportateur de données garantit qu'il a déployé des efforts raisonnables pour déterminer que l'importateur de données est en mesure, grâce à la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses.

8.1 Instructions

1. L'importateur de données ne traite les données à caractère personnel que sur instruction documentée de l'exportateur de données. L'exportateur de données peut donner de telles instructions pendant toute la durée du contrat.

2. L'importateur de données informe immédiatement l'exportateur de données s'il n'est pas en mesure de suivre ces instructions.

8.2 Limitation de l'objet

L'importateur de données ne traite les données à caractère personnel qu'aux fins spécifiques du transfert, telles qu'indiquées à l'annexe I.B, à moins que l'exportateur de données ne lui donne d'autres instructions.

8.3 Transparence

Sur demande, l'exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, y compris l'annexe telle que complétée par les parties. Dans la mesure nécessaire pour protéger les secrets d'affaires ou d'autres informations confidentielles, y compris les mesures décrites à l'annexe II et les données à caractère personnel, l'exportateur de données peut expurger une partie du texte de l'appendice des présentes clauses avant d'en partager une copie, mais il doit fournir un résumé significatif lorsque la personne concernée ne serait autrement pas en mesure d'en comprendre le contenu ou d'exercer ses droits. Sur demande, les parties fournissent à la personne concernée les raisons des expurgations, dans la mesure du possible sans révéler les informations expurgées. La présente clause est sans préjudice des obligations de l'exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.

8.4 Précision

Si l'importateur de données se rend compte que les données à caractère personnel qu'il a reçues sont inexactes ou périmées, il en informe l'exportateur de données dans les meilleurs délais. Dans ce cas, l'importateur de données coopère avec l'exportateur de données pour effacer ou rectifier les données.

8.5 Durée du traitement et effacement ou restitution des données

Le traitement par l'importateur de données n'a lieu que pendant la durée spécifiée à l'annexe I.B. Après la fin de la fourniture des services de traitement, l'importateur de données, au choix de l'exportateur de données, supprime toutes les données à caractère personnel traitées pour le compte de l'exportateur de données et certifie à ce dernier qu'il l'a fait, ou renvoie à l'exportateur de données toutes les données à caractère personnel traitées pour son compte et supprime les copies existantes. Jusqu'à ce que les données soient effacées ou renvoyées, l'importateur de données doit continuer à veiller au respect des présentes clauses. Si les lois locales applicables à l'importateur de données interdisent la restitution ou la suppression des données à caractère personnel, l'importateur de données garantit qu'il continuera à veiller au respect des présentes clauses et qu'il ne traitera les données que dans la mesure et pour la durée requises par ces lois locales. Ceci est sans préjudice de la clause 14, en particulier de l'obligation faite à l'importateur de données en vertu de la clause 14(e) d'informer l'exportateur de données pendant toute la durée du contrat s'il a des raisons de croire qu'il est ou est devenu soumis à des lois ou des pratiques non conformes aux exigences de la clause 14(a).

8.6 Sécurité du traitement

1. L'importateur de données et, lors de la transmission, l'exportateur de données mettent en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, y compris la protection contre toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation non autorisée de ces données ou l'accès non autorisé à celles-ci (ci-après dénommée "violation de données à caractère personnel"). Pour évaluer le niveau de sécurité approprié, les parties tiennent dûment compte de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement, ainsi que des risques que présente le traitement pour les personnes concernées. Les parties envisagent en particulier de recourir au cryptage ou à la pseudonymisation, y compris pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d'attribuer les données à caractère personnel à une personne concernée spécifique restent, dans la mesure du possible, sous le contrôle exclusif de l'exportateur de données. Pour se conformer aux obligations qui lui incombent en vertu du présent paragraphe, l'importateur de données met au moins en œuvre les mesures techniques et organisationnelles spécifiées à l'annexe II. L'importateur de données effectue des contrôles réguliers pour s'assurer que ces mesures continuent à fournir un niveau de sécurité approprié.

2. L'importateur de données n'accorde l'accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

3. En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l'importateur de données en vertu des présentes clauses, l'importateur de données prend les mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L'importateur de données notifie également l'exportateur de données dans un délai raisonnable après avoir pris connaissance de la violation. Cette notification contient les coordonnées d'un point de contact où de plus amples informations peuvent être obtenues, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et de dossiers de données à caractère personnel concernés), ses conséquences probables et les mesures prises ou proposées pour y remédier, y compris, le cas échéant, les mesures visant à en atténuer les éventuels effets néfastes. Lorsque, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations alors disponibles et les informations complémentaires sont fournies ultérieurement, au fur et à mesure qu'elles sont disponibles, sans retard injustifié.

4. L'importateur de données coopère avec l'exportateur de données et l'aide à respecter ses obligations au titre du règlement (UE) 2016/679, notamment pour notifier l'autorité de contrôle compétente et les personnes concernées, en tenant compte de la nature du traitement et des informations dont dispose l'importateur de données.

8.7 Données sensibles

Lorsque le transfert porte sur des données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l'appartenance syndicale, des données génétiques ou des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou la vie sexuelle ou l'orientation sexuelle d'une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après dénommées "données sensibles"), l'importateur de données applique les restrictions spécifiques et/ou les garanties supplémentaires décrites à l'annexe I, point B.

8.8 Transferts ultérieurs

L'importateur de données ne divulgue les données à caractère personnel à un tiers que sur instruction documentée de l'exportateur de données. En outre, les données ne peuvent être communiquées à un tiers situé en dehors de l'Union européenne (dans le même pays que l'importateur de données ou dans un autre pays tiers, ci-après dénommé "transfert ultérieur") que si le tiers est ou accepte d'être lié par les présentes Clauses, en vertu du Module approprié, ou si :

1. le transfert ultérieur se fait vers un pays bénéficiant d'une décision d'adéquation en vertu de l'article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur ;

2. le tiers assure par ailleurs des garanties appropriées conformément aux articles 46 ou 47 Règlement du (UE) 2016/679 en ce qui concerne le traitement en question ;

3. le transfert ultérieur est nécessaire à la constatation, à l'exercice ou à la défense de droits en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou

4. le transfert ultérieur est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d'une autre personne physique.

Tout transfert ultérieur est subordonné au respect par l'importateur de données de toutes les autres garanties prévues par les présentes clauses, en particulier la limitation de la finalité.

8.9 Documentation et conformité

1. L'importateur de données traite rapidement et de manière adéquate les demandes de l'exportateur de données relatives au traitement prévu par les présentes clauses.

2. Les parties doivent être en mesure de démontrer qu'elles respectent ces clauses. En particulier, l'importateur de données conserve une documentation appropriée sur les activités de traitement effectuées pour le compte de l'exportateur de données.

3. L'importateur de données met à la disposition de l'exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses et, à la demande de l'exportateur de données, autorise et contribue à des audits des activités de traitement couvertes par les présentes clauses, à des intervalles raisonnables ou s'il existe des indices de non-respect. En décidant d'un examen ou d'un audit, l'exportateur de données peut prendre en compte les certifications pertinentes détenues par l'importateur de données.

4. L'exportateur de données peut choisir d'effectuer l'audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent comprendre des inspections dans les locaux ou les installations physiques de l'importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.

5. Les parties mettent les informations visées aux paragraphes b) et c), y compris les résultats de tout audit, à la disposition de l'autorité de surveillance compétente qui en fait la demande.

Article 9

Utilisation de sous-traitants

1. L'importateur de données dispose de l'autorisation générale de l'exportateur de données pour l'engagement de sous-traitants figurant sur une liste agréée. L'importateur de données informe spécifiquement l'exportateur de données par écrit de toute modification envisagée de cette liste par l'ajout ou le remplacement de sous-traitants ultérieurs, au moins une fois par an. L'importateur de données fournit à l'exportateur de données les informations nécessaires pour permettre à ce dernier d'exercer son droit d'opposition.

2. Lorsque l'importateur de données engage un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques (pour le compte de l'exportateur de données), il le fait au moyen d'un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l'importateur de données en vertu des présentes clauses, y compris en ce qui concerne les droits des tiers bénéficiaires pour les personnes concernées. Les parties conviennent qu'en se conformant à la présente clause, l'importateur de données remplit ses obligations au titre de la clause 8.8. L'importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles l'importateur de données est soumis en vertu des présentes clauses.

3. L'importateur de données fournit à l'exportateur de données, à la demande de ce dernier, une copie de cet accord de sous-traitance et de toute modification ultérieure. Dans la mesure où cela est nécessaire pour protéger des secrets d'affaires ou d'autres informations confidentielles, y compris des données à caractère personnel, l'importateur de données peut expurger le texte de l'accord avant d'en partager une copie.

4. L'importateur de données reste pleinement responsable vis-à-vis de l'exportateur de données de l'exécution des obligations du sous-traitant secondaire au titre de son contrat avec l'importateur de données. L'importateur de données notifie à l'exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu de ce contrat.

5. L'importateur de données convient avec le sous-traitant ultérieur d'une clause de tiers bénéficiaire en vertu de laquelle - dans le cas où l'importateur de données a effectivement disparu, a cessé d'exister en droit ou est devenu insolvable - l'exportateur de données a le droit de résilier le contrat de sous-traitance ultérieur et d'ordonner au sous-traitant ultérieur d'effacer ou de restituer les données à caractère personnel.

Article 10

Droits des personnes concernées

1. L'importateur de données notifie sans délai à l'exportateur de données toute demande qu'il a reçue d'une personne concernée. Il ne répond pas lui-même à cette demande, sauf s'il a été autorisé à le faire par l'exportateur de données.

2. L'importateur de données aide l'exportateur de données à s'acquitter de ses obligations de répondre aux demandes des personnes concernées concernant l'exercice de leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les parties définissent à l'annexe II les mesures techniques et organisationnelles appropriées, en tenant compte de la nature du traitement, par lesquelles l'assistance doit être fournie, ainsi que la portée et l'étendue de l'assistance requise.

3. En remplissant ses obligations au titre des paragraphes a) et b), l'importateur de données se conforme aux instructions de l'exportateur de données.

Article 11

Recours

1. L'importateur de données informe les personnes concernées, dans un format transparent et aisément accessible, par le biais d'une notification individuelle ou sur son site web, d'un point de contact habilité à traiter les réclamations. Elle traite rapidement toute réclamation qu'elle reçoit de la part d'une personne concernée.

   L'importateur de données accepte que les personnes concernées puissent également déposer une plainte auprès d'un organisme indépendant de règlement des litiges, sans frais pour la personne concernée. Il informe les personnes concernées, selon les modalités prévues au paragraphe a), de l'existence de ce mécanisme de recours et du fait qu'elles ne sont pas tenues de l'utiliser ou de suivre une séquence particulière pour obtenir réparation.

2. En cas de litige entre une personne concernée et l'une des parties en ce qui concerne le respect des présentes clauses, cette partie met tout en œuvre pour résoudre le problème à l'amiable dans les meilleurs délais. Les parties se tiennent mutuellement informées de ces différends et, le cas échéant, coopèrent pour les résoudre.

3. Lorsque la personne concernée invoque un droit de tiers bénéficiaire en vertu de la clause 3, l'importateur de données accepte la décision de la personne concernée :

   1. déposer une plainte auprès de l'autorité de contrôle de l'État membre de sa résidence habituelle ou de son lieu de travail, ou auprès de l'autorité de contrôle compétente en vertu de la clause 13 ;

   2. porter le litige devant les tribunaux compétents au sens de la clause 18.

4. Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions prévues à l'article 80, paragraphe 1, du règlement (UE) 2016/679.

5. L'importateur de données doit se conformer à une décision contraignante en vertu du droit de l'UE ou de l'État membre applicable.

6. L'importateur de données convient que le choix effectué par la personne concernée ne portera pas atteinte à ses droits substantiels et procéduraux de demander réparation conformément aux lois applicables.

Article 12

Responsabilité

1. Chaque partie est responsable à l'égard de l'autre ou des autres parties de tout dommage causé à l'autre ou aux autres parties en raison d'une violation des présentes clauses.

2. Chaque partie est responsable envers la personne concernée, et la personne concernée a le droit d'être indemnisée, pour tout dommage matériel ou moral que la partie cause à la personne concernée en violant les droits des tiers bénéficiaires en vertu des présentes clauses. Ceci est sans préjudice de la responsabilité de l'exportateur de données en vertu du règlement (UE) 2016/679.

3. Lorsque plusieurs parties sont responsables de tout dommage causé à la personne concernée du fait d'une violation des présentes clauses, toutes les parties responsables sont conjointement et solidairement responsables et la personne concernée a le droit d'intenter une action en justice contre l'une quelconque de ces parties.

4. Les parties conviennent que si l'une d'entre elles est tenue pour responsable en vertu du paragraphe (c), elle est en droit de réclamer à l'autre (aux autres) partie(s) la part de l'indemnisation correspondant à sa (leur) responsabilité dans le dommage.

5. L'importateur de données ne peut pas invoquer le comportement d'un sous-traitant ou d'un sous-traitant ultérieur pour se soustraire à sa propre responsabilité.

Article 13

Supervision

1. Lorsque l'exportateur de données est établi dans un État membre de l'UE : L'autorité de contrôle chargée de veiller au respect par l'exportateur de données du règlement (UE) 2016/679 en ce qui concerne le transfert de données, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente.

   Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, et a désigné un représentant conformément à l'article 27, paragraphe 1, du règlement (UE) 2016/679 : L'autorité de contrôle de l'État membre dans lequel est établi le représentant au sens de l'article 27, paragraphe 1, du règlement (UE) 2016/679, tel qu'indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente.

   Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève du champ d'application territorial du règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, sans toutefois devoir désigner un représentant conformément à l'article 27, paragraphe 2, du règlement (UE) 2016/679 : L'autorité de contrôle de l'un des États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont transférées en vertu des présentes clauses dans le cadre de l'offre de biens ou de services qui leur est faite, ou dont le comportement est surveillé, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente.

2. L'importateur de données accepte de se soumettre à la juridiction de l'autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à assurer le respect des présentes clauses. En particulier, l'importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l'autorité de contrôle, y compris les mesures correctives et compensatoires. Il confirme par écrit à l'autorité de contrôle que les mesures nécessaires ont été prises.

SECTION III - LOIS ET OBLIGATIONS LOCALES EN CAS D'ACCÈS PAR LES AUTORITÉS PUBLIQUES

Article 14

Lois et pratiques locales affectant le respect des clauses

1. Les parties garantissent qu'elles n'ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l'importateur de données, y compris toute obligation de divulguer des données à caractère personnel ou toute mesure autorisant l'accès des autorités publiques, empêchent l'importateur de données de remplir ses obligations au titre des présentes clauses. Il est entendu que les lois et pratiques qui respectent l'essence des droits et libertés fondamentaux et n'excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l'un des objectifs énumérés à l'article 23, paragraphe 1, du règlement (UE) 2016/679, ne sont pas en contradiction avec les présentes clauses.

2. Les parties déclarent qu'en fournissant la garantie visée au paragraphe (a), elles ont tenu dûment compte, en particulier, des éléments suivants :

   1. les circonstances spécifiques du transfert, y compris la longueur de la chaîne de traitement, le nombre d'acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées ;

   2. les lois et pratiques du pays tiers de destination - y compris celles exigeant la divulgation de données aux autorités publiques ou autorisant l'accès de ces autorités - pertinentes à la lumière des circonstances spécifiques du transfert, ainsi que les limitations et garanties applicables ;

   3. toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées lors de la transmission et du traitement des données à caractère personnel dans le pays de destination.

3. L'importateur de données garantit que, dans le cadre de l'évaluation visée au point b), il s'est efforcé de fournir à l'exportateur de données les informations pertinentes et accepte de continuer à coopérer avec l'exportateur de données pour assurer le respect des présentes clauses.

4. Les parties conviennent de documenter l'évaluation visée au point b) et de la mettre à la disposition de l'autorité de surveillance compétente sur demande.

5. L'importateur de données accepte de notifier rapidement à l'exportateur de données si, après avoir accepté les présentes clauses et pendant la durée du contrat, il a des raisons de croire qu'il est ou est devenu soumis à des lois ou à des pratiques non conformes aux exigences du paragraphe a), y compris à la suite d'une modification des lois du pays tiers ou d'une mesure (telle qu'une demande de divulgation) indiquant une application de ces lois dans la pratique qui n'est pas conforme aux exigences du paragraphe a).

6. À la suite d'une notification conformément au paragraphe e), ou si l'exportateur de données a des raisons de croire que l'importateur de données ne peut plus remplir ses obligations au titre des présentes clauses, l'exportateur de données identifie rapidement les mesures appropriées (par exemple, les mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) à adopter par l'exportateur de données et/ou l'importateur de données pour remédier à la situation [pour le module trois] : le cas échéant en concertation avec le responsable du traitement]. L'exportateur de données suspend le transfert de données s'il estime qu'aucune garantie appropriée ne peut être assurée pour ce transfert, ou si l'autorité de contrôle compétente [pour le module trois : le responsable du traitement ou] lui en donne l'instruction. Dans ce cas, l'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement des données à caractère personnel en vertu des présentes clauses. Si le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, à moins que les parties n'en aient convenu autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 16, points d) et e), s'applique.

Article 15

Obligations de l'importateur de données en cas d'accès par les autorités publiques

15.1 Notification

1. L'importateur de données s'engage à notifier rapidement à l'exportateur de données et, si possible, à la personne concernée (si nécessaire, avec l'aide de l'exportateur de données), s'il

   1. reçoit une demande juridiquement contraignante d'une autorité publique, y compris des autorités judiciaires, en vertu des lois du pays de destination, pour la divulgation de données à caractère personnel transférées conformément aux présentes clauses ; cette notification comprendra des informations sur les données à caractère personnel demandées, l'autorité requérante, la base juridique de la demande et la réponse apportée ; ou

   2. a connaissance de tout accès direct des autorités publiques aux données à caractère personnel transférées en vertu des présentes clauses, conformément aux lois du pays de destination ; cette notification comprendra toutes les informations dont dispose l'importateur.

2. Si la législation du pays de destination interdit à l'importateur de données de notifier l'exportateur de données et/ou la personne concernée, l'importateur de données s'engage à faire de son mieux pour obtenir une dérogation à l'interdiction, en vue de communiquer le plus d'informations possible, dans les meilleurs délais. L'importateur de données accepte de documenter ses meilleurs efforts afin de pouvoir les démontrer à la demande de l'exportateur de données.

3. Si la législation du pays de destination le permet, l'importateur de données accepte de fournir à l'exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d'informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, l'autorité/les autorités requérante(s), si les demandes ont été contestées et l'issue de ces contestations, etc.

4. L'importateur de données s'engage à conserver les informations visées aux paragraphes a) à c) pendant la durée du contrat et à les mettre à la disposition de l'autorité de contrôle compétente sur demande.

5. Les paragraphes a) à c) sont sans préjudice de l'obligation de l'importateur de données, conformément à la clause 14, point e), et à la clause 16, d'informer rapidement l'exportateur de données lorsqu'il n'est pas en mesure de se conformer à ces clauses.

15.2 Examen de la légalité et de la minimisation des données.

1. L'importateur de données accepte d'examiner la légalité de la demande de divulgation, en particulier de vérifier si elle reste dans les limites des pouvoirs accordés à l'autorité publique requérante, et de contester la demande si, après une évaluation minutieuse, il conclut qu'il y a des motifs raisonnables de considérer que la demande est illégale en vertu des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de la courtoisie internationale. L'importateur de données doit, dans les mêmes conditions, exercer les voies de recours. Lorsqu'il conteste une demande, l'importateur de données demande des mesures provisoires en vue de suspendre les effets de la demande jusqu'à ce que l'autorité judiciaire compétente ait statué sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu'il n'est pas tenu de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations de l'importateur de données au titre de la clause 14(e).

2. L'importateur de données accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure où les lois du pays de destination le permettent, de mettre la documentation à la disposition de l'exportateur de données. Il le met également à la disposition de l'autorité de contrôle compétente sur demande. [Pour le module trois : L'exportateur de données met l'évaluation à la disposition du responsable du traitement]

3. L'importateur de données s'engage à fournir la quantité minimale d'informations autorisée lorsqu'il répond à une demande de divulgation, sur la base d'une interprétation raisonnable de la demande.

SECTION IV - DISPOSITIONS FINALES

Article 16

Non-respect des clauses et résiliation

1. L'importateur de données informe rapidement l'exportateur de données s'il n'est pas en mesure de respecter les présentes clauses, quelle qu'en soit la raison.

2. Si l'importateur de données ne respecte pas les présentes clauses ou n'est pas en mesure de le faire, l'exportateur de données suspend le transfert de données à caractère personnel à l'importateur de données jusqu'à ce que la conformité soit à nouveau assurée ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14(f).

3. L'exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses, si.. :

   1. l'exportateur de données a suspendu le transfert de données à caractère personnel à l'importateur de données conformément au paragraphe b) et le respect des présentes clauses n'est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d'un mois à compter de la suspension ;

   2. l'importateur de données enfreint de manière substantielle ou persistante les présentes clauses ; ou

   3. l'importateur de données ne se conforme pas à une décision contraignante d'un tribunal compétent ou d'une autorité de contrôle concernant les obligations qui lui incombent en vertu des présentes clauses.

   Dans ces cas, elle informe l'autorité de contrôle compétente de ce non-respect. Lorsque le contrat implique plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, à moins que les parties n'en aient convenu autrement.

4. Les données à caractère personnel qui ont été transférées avant la résiliation du contrat conformément au paragraphe c) sont, au choix de l'exportateur de données, immédiatement renvoyées à l'exportateur de données ou supprimées dans leur intégralité. Il en va de même pour toute copie des données. L'importateur de données certifie la suppression des données à l'exportateur de données. Jusqu'à ce que les données soient effacées ou renvoyées, l'importateur de données doit continuer à veiller au respect des présentes clauses. Si les lois locales applicables à l'importateur de données interdisent la restitution ou la suppression des données à caractère personnel transférées, l'importateur de données garantit qu'il continuera à veiller au respect des présentes clauses et qu'il ne traitera les données que dans la mesure et pour la durée requises par ces lois locales.

5. Chaque partie peut révoquer son accord d'être liée par les présentes clauses lorsque (i) la Commission européenne adopte une décision en vertu de l'article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s'appliquent ; ou (ii) le règlement (UE) 2016/679 devient partie intégrante du cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice d'autres obligations s'appliquant au traitement en question en vertu du règlement (UE) 2016/679.

Article 17

Droit applicable.

Les présentes clauses sont régies par le droit de l'État membre de l'UE dans lequel l'exportateur de données est établi. Si ce droit ne prévoit pas de droits pour les tiers bénéficiaires, ils sont régis par le droit d'un autre État membre de l'UE qui prévoit des droits pour les tiers bénéficiaires. Les parties conviennent que le droit irlandais s'appliquera.

Article 18

Choix du for et de la juridiction

1. Tout litige découlant des présentes clauses sera réglé par les tribunaux d'un État membre de l'UE.

2. Les parties conviennent que ces tribunaux seront ceux de l'Irlande.

3. Une personne concernée peut également intenter une action en justice contre l'exportateur et/ou l'importateur de données devant les tribunaux de l'État membre dans lequel elle a sa résidence habituelle.

4. Les parties acceptent de se soumettre à la juridiction de ces tribunaux.

ANNEXE I

Les termes définis utilisés dans la présente Annexe 1 ont la signification qui leur est donnée dans le MPSA entre Caseware et le Client, et/ou le DPA.

A. LISTE DES PARTIES

Exportateur(s) de données :

Nom : L'exportateur de données est l'entité juridique désignée comme "Caseware" dans le DPA

Adresse : Voir le DPA

Nom, fonction et coordonnées de la personne de contact : Voir le DPA

Activités en rapport avec les données transférées en vertu des présentes clauses : Voir le DPA

Rôle (contrôleur/processeur) : Processeur

Importer des données

Nom : L'importateur de données est l'entité juridique désignée comme "client" dans le DPA.

Adresse : Voir le DPA

Nom, fonction et coordonnées de la personne de contact : Voir le DPA

Activités en rapport avec les données transférées en vertu des présentes clauses : Voir le DPA

Rôle (contrôleur/processeur) : Contrôles

B. DESCRIPTION DU TRANSFERT

Catégories de personnes dont les données personnelles sont transférées :

• Veuillez consulter le DPA, qui décrit les catégories de données à caractère personnel transférées :

• Veuillez consulter le DPA, qui décrit les catégories de données.

Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme par exemple une limitation stricte de la finalité, des restrictions d'accès (y compris un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre d'accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.

• Les parties ne prévoient pas le transfert de catégories particulières de données.

La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).

• Voir le DPA

Nature du traitement

• Voir le DPA

Finalité(s) du transfert et du traitement ultérieur des données

• Voir le DPA

La durée de conservation des données à caractère personnel ou, si cela n'est pas possible, les critères utilisés pour déterminer cette durée

• Voir le DPA

Pour les transferts aux (sous-)traitants, préciser également l'objet, la nature et la durée du traitement

• Voir le DPA

C. AUTORITÉ DE SURVEILLANCE COMPÉTENTE

Identifier la ou les autorité(s) de contrôle compétente(s) conformément à la clause 13

• L'autorité de contrôle compétente qui s'appliquera sera l'autorité de contrôle compétente du pays d'où proviennent les données du client

ANNEXE II

DES MESURES TECHNIQUES ET ORGANISATIONNELLES POUR ASSURER LA SÉCURITÉ DES DONNÉES

Voir l'annexe 1 de la DPA, qui décrit les mesures de sécurité techniques et organisationnelles mises en œuvre par Caseware.

ANNEXE III

LISTE DES SOUS-TRAITANTS

Voir l'annexe 3 de la DPA, qui décrit les sous-traitants de Caseware.

Annexe 4 :

Addendum du Royaume-Uni sur le transfert international de données aux clauses contractuelles types de la Commission européenne

Le présent addendum a été publié par le commissaire à l'information pour les parties effectuant des transferts restreints. Le commissaire à l'information considère qu'il offre des garanties appropriées pour les transferts restreints lorsqu'il s'agit d'un contrat juridiquement contraignant.

Partie 1 Tableaux

• Table 1: Les partis

  Date de début
  Les parties	Exportateur (qui envoie le transfert restreint)	Importateur (qui reçoit le transfert restreint)
  Coordonnées des parties	Nom légal complet : Nom commercial (si différent) : Adresse principale (s'il s'agit de l'adresse d'une société) : Numéro d'enregistrement officiel (le cas échéant) (numéro d'entreprise ou identifiant similaire) :	Nom légal complet : Nom commercial (si différent) : Adresse principale (s'il s'agit de l'adresse d'une société) : Numéro d'enregistrement officiel (le cas échéant) (numéro d'entreprise ou identifiant similaire) :
  Contact principal	Nom complet (facultatif) : Titre du poste Coordonnées, y compris l'adresse électronique :	Nom complet (facultatif) : Titre du poste Coordonnées, y compris l'adresse électronique :
  Signature (si elle est requise aux fins de la section 2)

• Table 2: Sélection de CCN, de modules et de clauses sélectionnées

  Addendum CCN de l'UE

  La version des CSC approuvés de l'UE à laquelle le présent addendum est annexé, détaillée ci-dessous, y compris les informations de l'annexe : Date : Référence (le cas échéant) : Autre identifiant (le cas échéant) : Ou les CCAP approuvées de l'UE, y compris les informations de l'appendice et avec seulement les modules, clauses ou dispositions optionnelles suivants des CCAP approuvées de l'UE mis en vigueur aux fins du présent addendum :

  

• Table 3: Informations sur l'annexe

  "Informations en annexe" : les informations qui doivent être fournies pour les modules sélectionnés, comme indiqué dans l'annexe des CSC de l'UE approuvées (autres que les parties), et qui, pour le présent addendum, sont indiquées dans le document suivant :

  • Annexe 1A : Liste des parties :
  • Annexe 1B : Description du transfert :
  • Annexe II : Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à garantir la sécurité des données :
  • Annexe III : Liste des sous-processeurs (modules 2 et 3 uniquement) :

• Table 4: Résiliation du présent addendum en cas de modification de l'addendum approuvé

  Mettre fin au présent addendum en cas de modification de l'addendum approuvé

  Les parties peuvent mettre fin au présent addendum conformément à la section 19 : Importer Exportation Ni l'un ni l'autre

Partie 2 Clauses obligatoires

• Conclusion du présent addendum

  1. Chaque partie accepte d'être liée par les conditions énoncées dans le présent addendum, en échange de quoi l'autre partie accepte également d'être liée par le présent addendum.

  2. Bien que l'annexe 1A et la clause 7 des CSC approuvés de l'UE requièrent la signature des parties, aux fins d'effectuer des transferts restreints, les parties peuvent conclure le présent addendum de toute manière qui les rende juridiquement contraignantes pour les parties et permette aux personnes concernées de faire valoir leurs droits tels qu'ils sont énoncés dans le présent addendum. La signature du présent addendum aura le même effet que la signature des CCAP approuvées de l'UE et de toute partie des CCAP approuvées de l'UE.

• Interprétation du présent addendum

  3. Lorsque le présent addendum utilise des termes qui sont définis dans les CCAP approuvées de l'UE, ces termes ont la même signification que dans les CCAP approuvées de l'UE. Dans la présente ENS, les termes ci-dessous ont la signification suivante :

     Addendum	Le présent addendum sur le transfert international de données, qui se compose du présent addendum incorporant l'addendum sur les CSC de l'UE.
     Addendum CCN de l'UE	La (les) version(s) des CSC de l'UE approuvées à laquelle (auxquelles) le présent addendum est annexé, comme indiqué dans le tableau 2, y compris les informations de l'appendice.
     Informations sur l'annexe	Comme indiqué dans le tableau 3.
     Garanties appropriées	Le niveau de protection des données à caractère personnel et des droits des personnes concernées, requis par les lois britanniques sur la protection des données lorsque vous effectuez un transfert restreint en vous appuyant sur des clauses types de protection des données en vertu de l'article 46, paragraphe 2, point d), du GDPR britannique.
     Addendum approuvé	Le modèle d'addendum publié par l'ICO et déposé devant le Parlement conformément à l'article 119A de la loi sur la protection des données 2018 le 2 février 2022, tel qu'il est révisé en vertu de l'article 18.
     CSC de l'UE approuvés	Les clauses contractuelles types figurant à l'annexe de la décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021.
     ICO	Le commissaire à l'information.
     Transfert restreint	Un transfert couvert par le chapitre V du GDPR britannique.
     ROYAUME-UNI	Le Royaume-Uni de Grande-Bretagne et d'Irlande du Nord.
     Lois britanniques sur la protection des données	Toutes les lois relatives à la protection des données, au traitement des données personnelles, à la vie privée et/ou aux communications électroniques en vigueur de temps à autre au Royaume-Uni, y compris le GDPR britannique et le Data Protection Act 2018.
     GDPR DU ROYAUME-UNI	Tel que défini dans la section 3 de la loi sur la protection des données de 2018.

  4. Le présent addendum doit toujours être interprété d'une manière compatible avec les lois britanniques sur la protection des données et de manière à ce qu'il remplisse l'obligation des parties de fournir les garanties appropriées.

  5. Si les dispositions incluses dans l'addenda CSC UE modifient les CSC approuvés d'une manière qui n'est pas autorisée par les CSC UE approuvés ou l'addenda approuvé, ces modifications ne seront pas incorporées dans le présent addenda et la disposition équivalente des CSC UE approuvés les remplacera.

  6. En cas d'incohérence ou de conflit entre les lois britanniques sur la protection des données et le présent addendum, les lois britanniques sur la protection des données s'appliquent.

  7. Si la signification du présent addendum n'est pas claire ou s'il existe plusieurs significations, c'est celle qui est la plus conforme aux lois britanniques sur la protection des données qui s'applique.

  8. Toute référence à la législation (ou à des dispositions spécifiques de la législation) signifie que la législation (ou la disposition spécifique) est susceptible d'être modifiée au fil du temps. Il en va de même lorsque cette législation (ou une disposition spécifique) a été consolidée, réadoptée et/ou remplacée après l'entrée en vigueur du présent addendum.

• Hiérarchie

  9. Bien que la clause 5 des CSC approuvées de l'UE stipule que les CSC approuvées de l'UE prévalent sur tous les accords connexes entre les parties, les parties conviennent que, pour les transferts restreints, la hiérarchie de la section 10 prévaudra.

  10. En cas d'incohérence ou de conflit entre l'addendum approuvé et l'addendum EU SCCs (le cas échéant), l'addendum approuvé prévaut sur l'addendum EU SCCs, sauf si (et dans la mesure où) les termes incohérents ou conflictuels de l'addendum EU SCCs offrent une plus grande protection aux personnes concernées, auquel cas ces termes prévaudront sur l'addendum approuvé.

  11. Lorsque le présent addenda incorpore des CCAP UE addenda qui ont été conclus pour protéger les transferts soumis au règlement général sur la protection des données (UE) 2016/679, les parties reconnaissent que rien dans le présent addenda n'a d'incidence sur ces CCAP UE addenda.

• Incorporation et modification des CCN de l'UE

  12. Le présent addendum incorpore l'addendum EU SCCs qui est modifié dans la mesure nécessaire pour que :

      1. ensemble, ils s'appliquent aux transferts de données effectués par l'exportateur de données à l'importateur de données, dans la mesure où les lois britanniques sur la protection des données s'appliquent au traitement effectué par l'exportateur de données lors de ce transfert, et ils prévoient des garanties appropriées pour ces transferts de données ;

      2. Les sections 9 à 11 prévalent sur la clause 5 (Hiérarchie) de l'addendum aux CCN de l'UE ; et

      3. le présent addenda (y compris les CCAP de l'UE qui y sont incorporés) est (1) régi par les lois de l'Angleterre et du Pays de Galles et (2) tout litige en découlant est résolu par les tribunaux de l'Angleterre et du Pays de Galles, dans chaque cas à moins que les lois et/ou les tribunaux d'Écosse ou d'Irlande du Nord n'aient été expressément choisis par les parties.

  13. À moins que les parties n'aient convenu d'autres modifications répondant aux exigences de la section 12, les dispositions de la section 15 s'appliquent.

  14. Aucune modification ne peut être apportée aux CSC de l'UE approuvés si ce n'est pour satisfaire aux exigences de la section 12.

  15. Les modifications suivantes sont apportées à l'addendum sur les CSC de l'UE (aux fins de la section 12) :

      1. Les références aux "clauses" désignent le présent addenda, qui intègre les CCAP de l'UE de l'addenda ;

      2. À l'article 2, supprimer les mots :

         " et, en ce qui concerne les transferts de données des responsables du traitement vers les sous-traitants et/ou des sous-traitants vers les sous-traitants, des clauses contractuelles types conformément à l'article 28, paragraphe 7, du règlement (UE) 2016/679 " ;

      3. La clause 6 (Description du ou des transferts) est remplacée par le texte suivant :

         "Les détails des transferts (et en particulier les catégories de données à caractère personnel qui sont transférées et les finalités pour lesquelles elles sont transférées) sont ceux spécifiés à l'annexe I.B lorsque les lois britanniques sur la protection des données s'appliquent au traitement effectué par l'exportateur de données lors de ce transfert" ;

      4. La clause 8.7(i) du module 1 est remplacée par le texte suivant :

         "c'est vers un pays bénéficiant de règles d'adéquation en vertu de la section 17A du GDPR britannique qui couvre le transfert ultérieur" ;

      5. La clause 8.8 i) des modules 2 et 3 est remplacée par le texte suivant :

         "le transfert ultérieur est effectué vers un pays bénéficiant de règles d'adéquation conformément à la section 17A du GDPR britannique qui couvre le transfert ultérieur ;"

      6. Les références au " Règlement (UE) 2016/679 ", au " Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) " et à " ce règlement " sont toutes remplacées par " les lois britanniques sur la protection des données ". Les références à des articles spécifiques du "règlement (UE) 2016/679" sont remplacées par l'article ou la section équivalente de la législation britannique sur la protection des données ;

      7. Les références au règlement (UE) 2018/1725 sont supprimées ;

      8. Les références à l'"Union européenne", à l'"Union", à l'"UE", à l'"État membre de l'UE", à l'"État membre" et à l'"UE ou l'État membre" sont toutes remplacées par le "Royaume-Uni" ;

      9. La référence à la "clause 12(c)(i)" à la clause 10(b)(i) du module un est remplacée par la "clause 11(c)(i)" ;

      10. La clause 13(a) et la partie C de l'annexe I ne sont pas utilisées ;

      11. Les termes "autorité de contrôle compétente" et "autorité de contrôle" sont tous deux remplacés par "commissaire à l'information" ;

      12. Dans la clause 16(e), le paragraphe (i) est remplacé par :

          "le secrétaire d'État établit des règlements en vertu de la section 17A de la loi sur la protection des données de 2018 qui couvrent le transfert de données à caractère personnel auquel ces clauses s'appliquent ;";

      13. La clause 17 est remplacée par le texte suivant

          "Les présentes clauses sont régies par les lois de l'Angleterre et du Pays de Galles ;

      14. La clause 18 est remplacée par le texte suivant

          "Tout litige découlant des présentes clauses sera résolu par les tribunaux d'Angleterre et du Pays de Galles. Une personne concernée peut également intenter une action en justice contre l'exportateur et/ou l'importateur de données devant les tribunaux de n'importe quel pays du Royaume-Uni. Les parties conviennent de se soumettre à la juridiction de ces tribunaux" ; et

      15. Les notes de bas de page des CSC approuvés de l'UE ne font pas partie de l'addendum, à l'exception des notes de bas de page 8, 9, 10 et 11.

• Modifications du présent addendum

16. Les parties peuvent convenir de modifier les clauses 17 et/ou 18 de l'addendum CSC UE pour faire référence à la législation et/ou aux tribunaux d'Écosse ou d'Irlande du Nord.

17. Si les parties souhaitent modifier le format des informations figurant dans la partie 1 : Des tableaux de l'addendum approuvé, ils peuvent le faire en acceptant la modification par écrit, à condition que la modification ne réduise pas les garanties appropriées.

18. De temps à autre, l'OIC peut publier une version révisée de l'addendum approuvé :

    1. apporte des modifications raisonnables et proportionnées à l'addendum approuvé, y compris la correction d'erreurs dans l'addendum approuvé ; et/ou

    2. reflète les changements apportés aux lois britanniques sur la protection des données ;

    L'addendum approuvé révisé précisera la date à partir de laquelle les modifications apportées à l'addendum approuvé prendront effet et indiquera si les parties doivent revoir cet addendum, y compris les informations figurant à l'annexe. Le présent addendum est automatiquement modifié comme indiqué dans l'addendum approuvé révisé à partir de la date de début spécifiée.

19. Si l'OIC publie un addendum approuvé révisé en vertu de l'article 18, l'une des parties sélectionnées dans le tableau 4 "Fin de l'addendum en cas de modification de l'addendum approuvé" aura, en conséquence directe des modifications apportées à l'addendum approuvé, une augmentation substantielle, disproportionnée et démontrable :

    1. ses coûts directs d'exécution de ses obligations au titre de l'addendum ; et/ou

    2. son risque au titre de l'addendum,

    et que, dans les deux cas, elle a d'abord pris des mesures raisonnables pour réduire ces coûts ou ces risques afin qu'ils ne soient pas substantiels et disproportionnés, cette partie peut mettre fin au présent addendum à l'issue d'une période de préavis raisonnable, en notifiant par écrit cette période à l'autre partie avant la date d'entrée en vigueur de l'addendum révisé approuvé.

20. Les parties n'ont pas besoin du consentement d'un tiers pour modifier le présent addendum, mais toute modification doit être effectuée conformément à ses dispositions.

• Alternative Partie 2 Clauses obligatoires :

  Clauses obligatoires

  Partie 2 Clauses obligatoires de l'addendum approuvé, à savoir le modèle d'addendum B.1.0 publié par l'ICO et déposé devant le Parlement conformément à l'article 119A de la loi sur la protection des données de 2018 le 2 février 2022, tel qu'il est révisé en vertu de l'article 18 de ces clauses obligatoires.