ADDENDUM RELATIF AU TRAITEMENT DES DONNÉES

DATA PROCESSING ADDENDUM

This Data Processing Addendum (“DPA”) sets out the additional terms, requirements and conditions on which Company and/or its Affiliates will process Personal Data when providing Services to Customer under any agreement between Customer and Company and/or its affiliates. This DPA contains the mandatory clauses required by Article 28 (3) and the General Data Protection Regulation EU 2016/676.

This DPA includes the following Appendices, which are incorporated herein by reference (as applicable):

1. Appendix 1: Technical and Organizational Measures
2. Appendix 2: List of Authorized Subcontractors
3. Appendix 3: SCCs (if applicable)

For the avoidance of doubt, the execution of any Agreement (as defined herein) shall be deemed to constitute acceptance of the Standard Contractual Clauses and acceptance of the list of Company Sub-processors that are incorporated herein, including any Appendices. Where the Customer wishes or is required to separately execute the Standard Contractual Clauses and accompanying appendices, the Customer should also complete the information as the data exporter and complete the information on the signature page and send the signed Standard Contractual Clauses to the Company by email to [email protected].

1. DEFINITIONS
   “Affiliate” means any entity that directly or indirectly Controls, is Controlled by, or is under common Control with the subject entity.
   “Agreement” means any commercial agreement, including order forms, terms and conditions and this DPA, in each case as signed and executed by the Customer and the Company.
   “Applicable Data Protection Laws” means all laws and regulations, including without limitation, laws and regulations of the European Union (e.g., the GDPR and any applicable legal regulations) and Switzerland, applicable to the Processing of Personal Data under the Agreement.
   “Authorized Affiliate” means any of the Customer’s Affiliate(s) which (a) is subject to applicable data protection laws and regulations, including those of the European Union, the European Economic Area and/or their Member States, Switzerland and/or the United Kingdom, and (b) is permitted to use the Services pursuant to the Agreement between the Customer and the Company, but has not signed its own order form or agreement with the Company.
   “Company” means Veritone, Inc. or any of its subsidiary(ies) or affiliate(s) which is (are) a party to any Agreement, which shall include this DPA.
   “Company Group” means the Company and its Affiliates engaged in the Processing of Personal Data.
   “Control” for purposes of this definition, means direct or indirect ownership or control of more than 50% of the voting interests of the subject entity.
   “Controller” means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the Processing of Personal Data; where the purposes and means of such Processing are determined by European Union or Member State law, the controller or the specific criteria for its nomination may be provided for by European Union or Member State law.
   “Customer” means the entity that executed the Agreement together with its Affiliates (for so long as they remain Affiliates) which have signed the Agreement.
   “Customer Data” means what is defined in the Agreement as customer data, provided that such data is electronic data and information submitted by or for the Customer pursuant to the Agreement. This DPA does not apply to Third-Party Services, including add-ons.
   “Customer’s Personal Data” means data Processed by the Company for the purposes of the Services provided in alignment with the Agreement, which is defined under Applicable Data Protection Laws as Personal Data. This includes, without limitation, (i) the names and/or contact information of individuals authorized by the Customer to access the Services (e.g., agents and supervisors); and (ii) information collected by the Customer when using the Services.
   “Data Breach” means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, Personal Data transmitted, stored or otherwise Processed.
   “Data Subject” means the identified or identifiable person to whom Personal Data relates.
   “Effective Date” means the date of signing of this DPA by the Customer.
   “GDPR” means the Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the Processing of Personal Data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).
   “Personal Data” means any information relating to (i) an identified or identifiable natural person (the “Data Subject”) and (ii) an identified or identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person, where for each (i) or (ii), such data is Customer Data.
   “Processing” means any operation or set of operations which is performed upon Personal Data, whether or not by automatic means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.
   “Processor” means a natural or legal person, public authority, agency or other body which Processes Personal Data on behalf of the Controller, including as applicable any “service provider” as that term is defined by the GDPR.
   “Services” means the services and other activities to be supplied to or carried out by the Company pursuant to the Agreement.
   “Standard Contractual Clauses” or “SCCs” means the European Commission’s Standard Contractual Clauses for the transfer of Personal Data from the European Union to Processors (as set out in Annex to Commission Decision 2010/87/EU) established in third countries which do not ensure an adequate level of data protection.
   “Sub-processor” means a processor appointed by the Company, on its behalf, to Process the Customer’s Personal Data excluding any employee of the Company, including without limitation, those processors set forth on Appendix 2 annexed hereto.
   “Supervisory Authority” means an independent public authority that is established by a Member State pursuant to Article 51 of the GDPR.
   “Third-Party Services” means certain services and applications operated by various third parties available on or via the Services.
2. ROLE OF THE PARTIES AND THE PROCESSING ACTIVITIES
   1. Roles of the parties. The parties acknowledge and agree that, with regard to the Processing of Personal Data, the Customer is exclusively acting as the Controller, the Company acts as the Processor and the Company will engage Sub-processors pursuant to the requirements set forth below.
   2. Customer’s Processing of Personal Data. The Customer retains control of the Customer’s Personal Data and remains responsible for its compliance obligations under the Applicable Data Protection Laws, including providing any required notices, information and obtaining any required consents, and for the Processing instructions it gives to the Company. For the avoidance of doubt, the Customer’s instructions for the Processing of Personal Data shall comply with Applicable Data Protection Laws. The Customer shall have sole responsibility for the accuracy, quality, and legality of Personal Data and the means by which the Customer acquired Personal Data. The Customer specifically acknowledges that its use of the Services will not violate the rights of any data subject that has opted-out from sales or other disclosures of Personal Data, to the extent applicable under the GDPR.
   3. Company’s Processing of Personal Data. The Company shall treat Personal Data as Confidential Information and shall Process Personal Data on behalf of and only in accordance with the Customer’s documented instructions.
   4. Processing Instructions. The Company shall not Process the Customer’s Personal Data other than on the relevant Customer’s documented instructions unless the Processing is required by applicable laws to which the Company or the relevant Sub-processor is subject.
   5. Additional Instructions. The Agreement and this DPA will be considered as the only documented instructions relevant to the purposes of this DPA. Any other instructions will be construed as additional instructions; provided, however, that the additional instructions are (a) reasonable instructions provided by the Customer; (b) approved and accepted by the Company; and (c) consistent with the terms of the Agreement. Any additional instructions shall be subject to an additional agreement that may entail additional pricing between the parties.
   6. Customer Instructions. The Customer shall ensure that its instructions comply with all laws, regulations and rules applicable to the Customer Data and that the Company’s Processing of the Customer Data in accordance with the Customer’s instructions will not cause the Company to violate any applicable law, regulation or rule, including, without limitation, Applicable Data Protection Laws. The Company agrees not to access or use Customer Data, except as necessary to maintain or provide the Service, or as necessary to comply with a binding governmental order.
   7. Compliance with applicable laws. Each party shall be in material compliance with applicable laws and regulations in the performance or receipt, as the case may be, of the Services hereunder, including but not limited to, Applicable Data Protection Laws.
3. AUTHORIZED SUBCONTRACTORS
   1. Customer acknowledges and agrees that Company and its affiliates may: (1) engage third party subcontractors, agents, resellers, or auditors to access and Process Personal Data in connection with Services, (an current list of the Company’s authorized Sub-processors is set forth on Appendix 2) and (2) from time to time engage additional third parties for the purpose of providing the Services, including without limitation, the Processing of Personal Data (collectively, “Authorized Subcontractors”).
   2. At least thirty (30) days before enabling a new party in addition to Authorized Subcontractors to access or participate in the Processing of Personal Data, Company and/ or its affiliates will notify Customer of that update. Customer may reasonably object to such engagement in writing within thirty (30) days of receipt of notice by Customer. If Customer reasonably objects to an engagement in accordance with this Section 3.2, Company may provide Customer with a written description of commercially reasonable alternative(s), if any, to such engagement, including without limitation, modification to the Services.
   3. If Customer does not object to the engagement of a third party in accordance with section 3.2, within thirty (30) days of notice by Company, such third party will be deemed an Authorized Subcontractor for the purposes of this DPA.
   4. Company shall ensure that all Authorized Subcontractors (i) have executed confidentiality agreements that prevent them from disclosing any personal data both during and after their engagement by Company and (ii) are subject to obligations regarding the Processing of Personal Data that are no less protective than those set out in this DPA.
4. DATA SUBJECT REQUESTS
   1. Data Subject Requests. The Company shall, to the extent legally permitted, promptly notify the Customer if the Company receives a request from a Data Subject to exercise the Data Subject’s right of access, right to rectification, restriction of Processing, erasure (the “right to be forgotten”), data portability, object to the Processing, or its right not to be subject to an automated individual decision making, each such request being a “Data Subject Request.”
   2. Cooperation with Customers on Requests. The Customer must pro-vide Data Subjects with a contact or means deemed adequate to exercise their rights with the Customer. In any case, the Company shall not be required to reply directly to the Data Subjects Request or provide a direct helpline or any other communication challenge for purposes of responding to a Data Subject Request.
   3. Request Assistance. To the extent the Customer, in its use of the Services, does not have the ability to address a Data Subject Re-quest, the Company shall upon the Customer’s request provide commercially reasonable efforts to assist the Customer in respond-ing to such Data Subject Request, to the extent the Company is legally permitted to do so and the response to such Data Subject Request is required under Applicable Data Protection Laws. To the extent legal-ly permitted, the Customer shall be responsible for any costs arising from the Company’s provision of such assistance.
   4. The Company must take such technical and organizational measures as may be appropriate, and promptly provide such information to the Customer as the Customer may reasonably require, to enable the Customer to comply with:
      1. the rights of Data Subjects under the Applicable Data Pro-tection Laws, including subject access rights, the rights to rectify and erase Personal Data, object to the Processing and automated Processing of Personal Data, and restrict the processing of Personal Data; and
      2. information or assessment notices served on the Customer by any supervisory authority under the Applicable Data Protection Laws.
   5. The Company must notify the Customer immediately if it receives any complaint, notice or communication that relates directly or indi-rectly to the processing of the Personal Data or to either party’s compliance with the Applicable Data Protection Laws. The Company must notify the Customer without undue delay if it receives a request from a Data Subject for access to their Personal Data or to exercise any of their related rights under the Applicable Data Protection Laws. The Company will give the Customer its full cooperation and assistance in responding to any complaint, notice, communication or Data Subject Request. The Company must not disclose the Personal Data to any Data Subject or to a third party other than at the Cus-tomer’s request or instruction, as provided for in this DPA or as re-quired by law.
5. CROSS BORDER TRANSFER OF PERSONAL DATA – IF APPLICABLE
   1. Any transfer of Personal Data from member states of the European Union, Iceland, Liechtenstein, Norway, Switzerland or the United Kingdom (the “EEA”) to any countries which do not ensure an adequate level of data protection within the meaning of the laws and regulations of these countries shall, to the extent such transfer is subject to such laws and regulations, be undertaken by Company through the Standard Contractual Clauses located here: https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087, as may be amended from time to time, to the extent that Company Processes Personal Data of Data Subjects located in the EEA.
   2. Where Customer consent is granted, the Company may only Process, or permit the Processing, of Personal Data outside the EEA under the following conditions:
      1. The Company is Processing Personal Data in a territory which is subject to a current finding by the European Commission under the Applicable Data Protection Laws that the territory provides adequate protection for the privacy rights of individuals.
      2. The Company participates in a valid cross-border transfer mechanism under the Applicable Data Protection Laws, so that the Company and, where appropriate, the Customer, can ensure that appropriate safeguards are in place to ensure an adequate level of protection with respect to the privacy rights of individuals as required by Article 46 of the GDPR.
   3. If any Personal Data transfer between the Customer and the Company requires execution of SCC in order to comply with the Applicable Data Protection Laws (where the Customer is the entity exporting Personal Data to the Company outside the EEA), the parties will complete all relevant details in, and execute, the SCC contained in Appendix 3 and take all other actions required to legitimize the transfer.
   4. If the Customer consents to appointment by the Company located within the EEA of a subcontractor located outside the EEA, then the Customer authorizes the Company to enter into the SCC contained in Appendix 3 with the subcontractor in the Customer’s name and on its behalf. The Company will make the executed SCC available to the Customer upon request.
6. CONFIDENTIALITY
   1. Confidentiality. The Company shall ensure that all of its personnel engaged in the Processing of Personal Data are informed of the con-fidential nature of the Personal Data, have received appropriate training on their responsibilities and have executed written confiden-tiality agreements. The Company shall ensure that such confidentiali-ty obligations survive the termination of the personnel engagement. The Company shall bear responsibility for any breach of confidentiali-ty obligations by any personnel engaged in the Processing of Person-al Data as if such breach was the act of the Company itself.
   2. Limitation of Access. The Company shall ensure that the Company’s access to Personal Data is limited to those of its personnel perform-ing Services in accordance with the Agreement.
7. SECURITY
   1. Protection of Customer Data. Taking into account the state of the art and the costs of implementation, the Company shall maintain appropriate technical and organizational measures for the protec-tion of the security (including protection against unauthorized or un-lawful Processing and against accidental or unlawful destruction, loss or alteration or damage, unauthorized disclosure of, or access to, Customer Data), confidentiality and integrity of Customer Data, all as set forth more fully on Appendix 1 annexed hereto.
   2. Customer Responsibilities. The Customer acknowledges that the Services includes certain features and functionalities that the Customer may elect to use that impact the security of the data Processed by the Customer’s use of the Services. The Customer is responsible for reviewing the information the Company makes available regarding its data security, including its audit reports, and making an independent determination as to whether the Services meets the Customer’s requirements and legal obligations, including its obligations under this DPA. The Customer is further responsible for properly configuring the Services and using available features and functionalities to maintain appropriate security considering the nature of the data Processed by the Customer’s use of the Services.
   3. Notification of Data Breach. The Company shall, to the extent permitted by law, notify the Customer without undue delay after becoming aware of any Data Breach. To the extent such Data Breach is caused by a violation of the requirements of this DPA by the Company, or by the Company’s negligence or wilful misconduct, the Company shall use best efforts to identify and remediate the cause of such Data Breach to the extent the remediation is within the Company’s reasonable control. The obligations herein shall not apply to incidents that are caused by the Customer or the Customer’s authorised users.
8. AUDITS
   1. Upon the Customer’s written request at reasonable intervals and no more than once a year, and subject to reasonable confidenti-ality controls, the Company shall make available to the Customer (or the Customer’s independent, third-party auditor), which is not a competitor of the Company, information regarding the Company’s compliance with the obligations set forth in this DPA. The Customer may contact the Company in accordance with the “Notices” section of the Agreement to request an on-site audit of the procedures rele-vant to the protection of Personal Data. The Customer shall reim-burse the Company for any time expended for any such on-site audit at the Company’s then-current professional services rate, which shall be made available to the Customer upon written request. Prior to the commencement of any such on-site audit, the Company and the Customer shall mutually agree upon the scope, timing, and dura-tion of the audit in addition to the reimbursement rate for which the Customer shall be responsible.
   2. The Customer shall promptly notify the Company with information regarding any non-compliance discovered during the course of an audit. For the avoidance of doubt, any information obtained by the Customer under this Section 8 shall be treated as Confidential Infor-mation of the Company in accordance with the Agreement.
9. EUROPEAN ECONOMIC AREA SPECIFIC PROVISIONS
   1. GDPR and UK-GDPR. The Company will Process Personal Data in accordance with the GDPR requirements directly applicable to the Company’s provision of its Services as Processor.
   2. Data Protection Impact Assessment. Upon the Customer’s re-quest, the Company shall provide reasonable assistance (at the Cus-tomer’s expense) needed to fulfill the Customer’s obligation under the GDPR to carry out a data protection impact assessment to the Custom-er’s use of the Services, to the extent the Customer does not otherwise have access to the relevant information, and to the extent such infor-mation is available to the Company. The Company shall provide rea-sonable assistance to the Customer in connection with Customer’s co-operation or prior consultations with any Supervisory Authority or other competent data privacy authorities, which the Customer reason-ably considers to be required by articles 35 or 36 of the GDPR.
10. AUSTRALIAN AREA SPECIFIC PROVISIONS
    When applicable, the Company will process Personal Data in accord-ance with the Australian Privacy Act 1988 requirements directly ap-plicable to the Company’s provision of Services as Processor.
11. DELETION OR RETURN OF CUSTOMER DATA
    1. At the Customer’s request, the Company will promptly give the Customer a copy of or access to all or part of the Customer Data or Customer’s Personal Data in its possession or control in the format and on the media reasonably specified by the Customer.
    2. On termination of any Agreement for any reason or expiry of its term, the Company will securely delete or destroy or, if directed in writing by the Customer, return and not retain, all or any Customer Data or Customer’s Personal Data related to such Agreement in its possession or control.
    3. If any law, regulation, or government or regulatory body requires the Company to retain any documents or materials that the Company would otherwise be required to return or destroy, it will notify the Customer in writing of that retention requirement, giving details of the documents or materials that it must retain, the legal basis for retention, and establishing a specific timeline for destruction once the retention requirement ends.
    4. The Company will certify in writing that it has destroyed the Customer Data or Customer’s Personal Data within 30 days after it completes the destruction.
    5. Deletion. Following termination or expiry of any Agreement, the Com-pany will delete all Customer Data or Customer’s Personal Data within the timeframe stated in the Agreement. In case of any dispute, the Customer Data or Customer’s Personal Data may be maintained by the Company upon the Customer’s 30 days’ prior written notice, at the Customer’s sole expense.
    6. Return. In the event the Customer requests the return of Customer Data or Customer’s Personal Data, the Company will provide timely assistance to provide the return of such Customer Data or Customer’s Personal Data, at the Customer’s sole expense.
12. AUTHORIZED AFFILIATES
    1. Contractual Relationship. The parties acknowledge and agree that, by executing the Agreement, the Customer enters into the DPA on behalf of itself and, as applicable, in the name and on behalf of its Authorized Affiliates, thereby establishing a separate DPA between the Company and each such Authorized Affiliate subject to the provi-sions of the Agreement. Each Authorized Affiliate expressly agrees to be entirely bound by the obligations under this DPA and, to the extent applicable, the Agreement. For the avoidance of doubt, an Authorized Affiliate is not and does not become a party to the Agreement, and is only a party to this DPA. All access to and use of the Services by Authorized Affiliates must comply with the terms and conditions of the Agreement and any violation of the terms and con-ditions of the Agreement by an Authorized Affiliate shall be deemed a violation by the Customer.
    2. Communication. The Customer that is the contracting party to the Agreement shall remain responsible for coordinating all communica-tions with the Company under this DPA and be entitled to make and receive any communication in relation to this DPA on behalf of its Authorized Affiliates.
    3. Rights of Authorized Affiliates. Where an Authorized Affiliate becomes a party to the DPA with the Company, it shall, to the extent required under Applicable Data Protection Laws, be entitled to exer-cise the rights and seek remedies under this DPA, subject to the fol-lowing:
       1. Except where Applicable Data Protection Laws require the Authorized Affiliate to exercise a right or seek any remedy under this DPA against the Company directly by itself, the parties agree that (i) solely the Customer that is the con-tracting party to the Agreement shall exercise any such right or seek any such remedy on behalf of the Authorized Affiliate, and (ii) the Customer that is the contracting party to the Agreement shall exercise any such rights under this DPA not separately for each Authorized Affiliate individually but in a combined manner for itself and all of its Authorized Affiliates together.
       2. The parties agree that the Customer that is the contracting party to the Agreement shall, when carrying out an onsite audit of the procedures relevant to the protection of Per-sonal Data, take all reasonable measures to limit any im-pact on the Company and its Sub-Processors by combining, to the extent reasonably possible, several audit requests carried out on behalf of itself and all of its Authorized Affili-ates in one single audit.
13. LIMITATION OF LIABILITY
    1. Each party’s and all of its Affiliates’ liability, taken together in the aggregate, arising out of or related to this DPA, and all DPAs be-tween Authorized Affiliates and the Company, whether in contract, tort or under any other theory of liability, is subject to the “Limitation of Liability” section of the Agreement, and any reference in such section to the liability of a party means the aggregate liability of that party and all of its Affiliates under the Agreement and all DPAs taken together.
    2. For the avoidance of doubt, the Company’s and its Affiliates’ total liability for all claims from the Customer and all of its Authorized Affil-iates arising out of or related to the Agreement and all DPAs shall apply in the aggregate for all claims under both the Agreement and all DPAs established under the Agreement, including by the Custom-er and all Authorized Affiliates, and, in particular, shall not be under-stood to apply individually and severally to the Customer and/or to any Authorized Affiliate that is a contractual party to any such DPA.
14. Language Version Prevalence. In case of conflict between the English language version and the French language version of this Data Processing Addendum, the French language version shall prevail. The English language version is for information purposes only.

This DPA supersedes and replaces all prior and contemporaneous proposals, statements, sales materials or presentations and agreements, oral and written, with regard to the subject matter of this DPA, including any prior data processing addenda entered into between the Company and the Customer. If there is any conflict between this DPA and any agreement, including the Agreement, the terms of this DPA shall control.

Contact for data protection enquiries: [email protected]

APPENDIX 1

TECHNICAL AND ORGANISATIONAL MEASURES

In order to protect the confidentiality, integrity and availability of its internal and Customer Data, the Company has implemented an infor-mation security program that includes the following technical, admin-istrative/organizational, and physical controls:

1. Governance and Organizational Controls
   Reporting relationships, organizational structures and proper as-signment of responsibilities for systems controls, including the ap-pointment at the executive level of a Chief Information Officer of the Company has implemented a risk assessment framework used to evaluate risks throughout the Company on an ongoing basis. The risk management process incorporates managements’ risk toler-ance, and evaluations of new or evolving risks. The Company im-plements various technical and organizational measures designed to ensure a level of security appropriate to the risks posed to customer data. Such measures seek to prevent unlawful destruction or acci-dental loss, alteration, unauthorized disclosure or access and against all other unlawful forms of access to customer data. Consistent with industry standards set forth in applicable data protection laws, such measures include:
   1. Information Security Program
      The Company maintains a formal information security program containing administrative, technical, and physical safeguards to protect the security, confidentiality, and integrity of customer information. This program is reasonably designed to (i) safe-guard the security and confidentiality of customer information, (ii) protect against anticipated threats or hazards to the security or integrity of the information, and (iii) protect against unau-thorized access to or use of the information. This is accom-plished by:
      1. Written security policies designed to be consistent with the ISO/IEC 27001:2013 information security standards, including IT Security Policies and an Acceptable Use agreement;
      2. Written privacy policies;
      3. New Hire and Annual security awareness training for staff; and
      4. Incident Response and Disaster Recovery plans;
   2. Access Control of Processing Areas
      The Company implements suitable measures to prevent unauthorized persons from gaining access to the data processing equipment (name-ly database and application servers and related hardware) where customer data is accessed, processed or used. This is accomplished by:
      1. establishing security areas;
      2. securing data processing equipment and personal com-puters;
      3. establishing access authorizations for employees and third parties, including the respective documentation;
      4. restriction of access card-keys;
      5. all access to the data center where personal data are hosted is logged, monitored, and tracked; and
      6. the data center where personal data are hosted is se-cured by appropriate security measures.
2. Access Control to Data Processing Systems
   The Company implements suitable measures to prevent its data pro-cessing systems from being used by unauthorized persons. This is accomplished by:
   1. identification of the individual user to the Company sys-tems;
   2. automatic time-out of user access if left idle, identifica-tion and password required to reopen;
   3. accounts are monitored and access revoked when sev-eral erroneous passwords are entered, log file of events (monitoring of break-in-attempts);
   4. issuing and safeguarding of identification codes and se-cure tokens;
   5. strong password requirements (minimum length, use of special characters, re-use etc.);
   6. protection against external access by means of state-of-the-art web application firewalls and network access controls.
   7. employee access will be safeguarded by a VPN connec-tion with multi-factor login.
   8. all access to data content on machines or computer sys-tems is logged, monitored, and tracked.
3. Access Control to Use Specific Areas of Data Processing Systems
   The Company commits that the persons entitled to use its data processing systems are only able to access the data within the scope and to the extent covered by their respective access per-mission (authorization) and that customer data cannot be read, copied or modified, or removed without authorization. This will be accomplished by:
   1. employee policies and training in respect of each em-ployee’s access rights to personal data;
   2. access rights are granted exclusive to specific job and/or functions;
   3. monitoring capability in respect of individuals who de-lete, add or modify personal data;
   4. effective and measured disciplinary action against indi-viduals who access personal data without authoriza-tion;
   5. release of data to only authorized persons;
   6. control of files, controlled and documented destruction of data; and
   7. policies controlling the retention of back-up copies.
4. Transmission Control
   The Company implements suitable measures to prevent customer data from being read, copied, altered, or deleted by unauthorized parties during the transmission thereof or during the transport of the data media and to ensure that it is possible to check and establish to which bodies the transfer of customer data by means of data trans-mission facilities is envisaged. This is accomplished by:
   1. use of state-of-the-art firewall and encryption technol-ogies to protect the gateways and pipelines through which the data travels;
   2. the use of 128bit SSL-encryption for all https-connections;
   3. implementation of secure two-factor VPN connections to safeguard the connection to the internet, if applica-ble;
   4. encryption of customer data by state-of-the-art en-cryption technology; and
   5. constant monitoring of infrastructure (i.e., ICMP-Ping at network level, disk space examination at system level, successful delivery of specified pages at applica-tion level).
5. Input Control into Data Processing Systems
   The Company implements suitable measures to ensure that it is possi-ble to check and establish whether and by whom personal data have been input into data processing systems or removed. This is accom-plished by:
   1. an authorization policy for the input of data into hosted service, as well as for the reading, alteration and dele-tion of stored data;
   2. authentication of authorized personnel;
   3. protective measures for the data input into memory, as well as for the reading, alteration and deletion of stored data;
   4. utilization of user codes (passwords and tokens);
   5. automatic log-off of user ID’s that have not been used for a substantial period of time;
   6. logging or otherwise evidencing input authorization; and
   7. electronic recording of entries.
6. Instructional Control of Personal Data
   The Company ensures that customer data may only be processed in accordance with a Company customer agreement together with any reasonable and relevant instructions received in writing from author-ized customer personnel from time to time which may be specific in-structions or instructions of a general nature as set out in a Company customer agreement or as otherwise agreed between customer and Company during the term of a Company customer agreement. This is accomplished by binding policies and procedures for Company em-ployees.
7. Availability Control
   The Company implements suitable measures to ensure that customer data are protected from accidental destruction or loss. This is accom-plished by:
   1. infrastructure redundancy: reporting data is stored on hardware with redundant disks subsystem backed up in real time with off-site replication backups.
8. Separation of Processing for Different Purposes
   The Company implements suitable measures to ensure that data col-lected for different purposes can be processed separately. This is ac-complished by:
   1. access to data is separated through multiple diverse applications for the appropriate users.
   2. customer data is separated from development and testing environments through various network and log-ical controls; and
   3. interfaces, batch processes, and reports are designed for only specific purposes and functions, so data col-lected for specific purposes is processed separately.
9. Sub-processors
   The Company engages various sub-processors in connection with its cloud infrastructure. The Company ensures that it has robust con-tractual provisions in place to ensure compliance by such sub-processors with the organizational security measures outlined here-in.

APPENDIX 2

LIST OF AUTHORISED SUB-PROCESSORS

Amazon Web Services (“AWS”)

Google

SAP

SENGRID

MICROSOFT

Oracle

Workday

SALESFORCE

 DOCUSIGN

Pendo.io Inc.

Artirix Limited / Plandek

Mailjet SAS

Textkernel

APPENDIX 3 (IF APPLICABLE)

STANDARD CONTRACTUAL CLAUSES

SECTION I

Clause 1

Purpose and scope

1. The purpose of these standard contractual clauses is to ensure compliance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)¹ for the transfer of personal data to a third country.
   

   ---

    

   ¹Where the data exporter is a processor subject to Regulation (EU) 2016/679 acting on behalf of a Union institution or body as controller, reliance on these Clauses when engaging another processor (sub-processing) not subject to Regulation (EU) 2016/679 also ensures compliance with Article 29(4) of Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295 of 21.11.2018, p. 39), to the extent these Clauses and the data protection obligations as set out in the contract or other legal act between the controller and the processor pursuant to Article 29(3) of Regulation (EU) 2018/1725 are aligned. This will in particular be the case where the controller and processor rely on the standard contractual clauses included in Decision […].

2. The Parties:
   1. the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter “entity/ies”) transferring the personal data, as listed in Annex I.A. (hereinafter each “data exporter”), and
   2. the entity/ies in a third country receiving the personal data from the data exporter, directly or indirectly via another entity also Party to these Clauses, as listed in Annex I.A. (hereinafter each “data importer”)

   have agreed to these standard contractual clauses (hereinafter: “Clauses”).

3. These Clauses apply with respect to the transfer of personal data as specified in Annex I.B.
4. The Appendix to these Clauses containing the Annexes referred to therein forms an integral part of these Clauses.

Clause 2

Effect and invariability of the Clauses

1. These Clauses set out appropriate safeguards, including enforceable data subject rights and effective legal remedies, pursuant to Article 46(1) and Article 46 (2)(c) of Regulation (EU) 2016/679 and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679, provided they are not modified, except to select the appropriate Module(s) or to add or update information in the Appendix. This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a wider contract and/or to add other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, these Clauses or prejudice the fundamental rights or freedoms of data subjects.
2. These Clauses are without prejudice to obligations to which the data exporter is subject by virtue of Regulation (EU) 2016/679.

Clause 3

Third-party beneficiaries

1. Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions:
   1. Clause 1, Clause 2, Clause 3, Clause 6, Clause 7;
   2. Clause 8.1(b), 8.9(a), (c), (d) and (e);
   3. Clause 9(a), (c), (d) and (e);
   4. Clause 12(a), (d) and (f);
   5. Clause 13;
   6. Clause 15.1(c), (d) and (e);
   7. Clause 16(e);
   8. Clause 18(a) and (b).
2. Paragraph (a) is without prejudice to rights of data subjects under Regulation (EU) 2016/679.

Clause 4

Interpretation

1. Where these Clauses use terms that are defined in Regulation (EU) 2016/679, those terms shall have the same meaning as in that Regulation.
2. These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679.
3. These Clauses shall not be interpreted in a way that conflicts with rights and obligations provided for in Regulation (EU) 2016/679.

Clause 5

Hierarchy

In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail.

Clause 6

Description of the transfer(s)

The details of the transfer(s), and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred, are specified in Annex I.B

Clause 7 – Intentionally Omitted

Docking clause

SECTION II – OBLIGATIONS OF THE PARTIES

Clause 8

Data protection safeguards

The data exporter warrants that it has used reasonable efforts to determine that the data importer is able, through the implementation of appropriate technical and organisational measures, to satisfy its obligations under these Clauses.

1. 1. 1. Instructions
         1. The data importer shall process the personal data only on documented instructions from the data exporter. The data exporter may give such instructions throughout the duration of the contract.
         2. The data importer shall immediately inform the data exporter if it is unable to follow those instructions.
      2. Purpose limitation
         The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B, unless on further instructions from the data exporter.
      3. Transparency
         On request, the data exporter shall make a copy of these Clauses, including the Appendix as completed by the Parties, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including the measures described in Annex II and personal data, the data exporter may redact part of the text of the Appendix to these Clauses prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand the its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information. This Clause is without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679.
      4. Accuracy
         If the data importer becomes aware that the personal data it has received is inaccurate, or has become outdated, it shall inform the data exporter without undue delay. In this case, the data importer shall cooperate with the data exporter to erase or rectify the data.
      5. Duration of processing and erasure or return of data
         Processing by the data importer shall only take place for the duration specified in Annex I.B. After the end of the provision of the processing services, the data importer shall, at the choice of the data exporter, delete all personal data processed on behalf of the data exporter and certify to the data exporter that it has done so, or return to the data exporter all personal data processed on its behalf and delete existing copies. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit return or deletion of the personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process it to the extent and for as long as required under that local law. This is without prejudice to Clause 14, in particular the requirement for the data importer under Clause 14(e) to notify the data exporter throughout the duration of the contract if it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under Clause 14(a).
      6. Security of processing
         1. The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access to that data (hereinafter “personal data breach”). In assessing the appropriate level of security, the Parties shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subjects. The Parties shall in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner. In case of pseudonymisation, the additional information for attributing the personal data to a specific data subject shall, where possible, remain under the exclusive control of the data exporter. In complying with its obligations under this paragraph, the data importer shall at least implement the technical and organisational measures specified in Annex II. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security.
         2. The data importer shall grant access to the personal data to members of its personnel only to the extent strictly necessary for the implementation, management and monitoring of the contract. It shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.
         3. In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the breach, including measures to mitigate its adverse effects. The data importer shall also notify the data exporter without undue delay after having become aware of the breach. Such notification shall contain the details of a contact point where more information can be obtained, a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), its likely consequences and the measures taken or proposed to address the breach including, where appropriate, measures to mitigate its possible adverse effects. Where, and in so far as, it is not possible to provide all information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.
         4. The data importer shall cooperate with and assist the data exporter to enable the data exporter to comply with its obligations under Regulation (EU) 2016/679, in particular to notify the competent supervisory authority and the affected data subjects, taking into account the nature of processing and the information available to the data importer.
      7. Sensitive data
         Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions and offences (hereinafter “sensitive data”), the data importer shall apply the specific restrictions and/or additional safeguards described in Annex I.B.
      8. Onward transfers

         The data importer shall only disclose the personal data to a third party on documented instructions from the data exporter. In addition, the data may only be disclosed to a third party located outside the European Union³ (in the same country as the data importer or in another third country, hereinafter “onward transfer”) if the third party is or agrees to be bound by these Clauses, under the appropriate Module, or if:

         1. the onward transfer is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU)
         2. the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 Regulation of (EU) 2016/679 with respect to the processing in question;
         3. the onward transfer is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; or
         4. the onward transfer is necessary in order to protect the vital interests of the data subject or of another natural person.

         ---

         ³The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto. Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purpose of these Clauses.

   Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.

   1. Documentation and compliance
      1. The data importer shall promptly and adequately deal with enquiries from the data exporter that relate to the processing under these Clauses.
      2. The Parties shall be able to demonstrate compliance with these Clauses. In particular, the data importer shall keep appropriate documentation on the processing activities carried out on behalf of the data exporter.
      3. The data importer shall make available to the data exporter all information necessary to demonstrate compliance with the obligations set out in these Clauses and at the data exporter’s request, allow for and contribute to audits of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non- compliance. In deciding on a review or audit, the data exporter may take into account relevant certifications held by the data importer.
      4. The data exporter may choose to conduct the audit by itself or mandate an independent auditor. Audits may include inspections at the premises or physical facilities of the data importer and shall, where appropriate, be carried out with reasonable notice.
      5. The Parties shall make the information referred to in paragraphs (b) and (c), including the results of any audits, available to the competent supervisory authority on request.

Clause 9

Use of sub-processors

1. OPTION 1: SPECIFIC PRIOR AUTHORISATION The data importer shall not sub- contract any of its processing activities performed on behalf of the data exporter under these Clauses to a sub-processor without the data exporter’s prior specific written authorisation. The data importer shall submit the request for specific authorisation at least [Specify time period] prior to the engagement of the sub- processor, together with the information necessary to enable the data exporter to decide on the authorisation. The list of sub-processors already authorised by the data exporter can be found in Annex III. The Parties shall keep Annex III up to date.
   OPTION 2: GENERAL WRITTEN AUTHORISATION The data importer has the data exporter’s general authorisation for the engagement of sub-processor(s) from an agreed list. The data importer shall specifically inform the data exporter in writing of any intended changes to that list through the addition or replacement of sub- processors at least [Specify time period] in advance, thereby giving the data exporter sufficient time to be able to object to such changes prior to the engagement of the sub-processor(s). The data importer shall provide the data exporter with the information necessary to enable the data exporter to exercise its right to object.
2. Where the data importer engages a sub-processor to carry out specific processing activities (on behalf of the data exporter), it shall do so by way of a written contract that provides for, in substance, the same data protection obligations as those binding the data importer under these Clauses, including in terms of third-party beneficiary rights for data subjects. The Parties agree that, by complying with this Clause, the data importer fulfils its obligations under Clause 8.8. The data importer shall ensure that the sub-processor complies with the obligations to which the data importer is subject pursuant to these Clauses.
3. The data importer shall provide, at the data exporter’s request, a copy of such a sub- processor agreement and any subsequent amendments to the data exporter. To the extent necessary to protect business secrets or other confidential information, including personal data, the data importer may redact the text of the agreement prior to sharing a copy.
4. The data importer shall remain fully responsible to the data exporter for the performance of the sub-processor’s obligations under its contract with the data importer. The data importer shall notify the data exporter of any failure by the sub- processor to fulfil its obligations under that contract.
5. The data importer shall agree a third-party beneficiary clause with the sub-processor whereby – in the event the data importer has factually disappeared, ceased to exist in law or has become insolvent – the data exporter shall have the right to terminate the sub-processor contract and to instruct the sub-processor to erase or return the personal data.

Clause 10

Data subject rights

1. The data importer shall promptly notify the data exporter of any request it has received from a data subject. It shall not respond to that request itself unless it has been authorised to do so by the data exporter.
2. The data importer shall assist the data exporter in fulfilling its obligations to respond to data subjects’ requests for the exercise of their rights under Regulation (EU) 2016/679. In this regard, the Parties shall set out in Annex II the appropriate technical and organisational measures, taking into account the nature of the processing, by which the assistance shall be provided, as well as the scope and the extent of the assistance required.
   

   ---

   ⁴This requirement may be satisfied by the sub-processor acceding to these Clauses under the appropriate Module, in accordance with Clause 7.

3. In fulfilling its obligations under paragraphs (a) and (b), the data importer shall comply with the instructions from the data exporter.

Clause 11

Redress

1. The data importer shall inform data subjects in a transparent and easily accessible format, through individual notice or on its website, of a contact point authorised to handle complaints. It shall deal promptly with any complaints it receives from a data subject.
2. In case of a dispute between a data subject and one of the Parties as regards compliance with these Clauses, that Party shall use its best efforts to resolve the issue amicably in a timely fashion. The Parties shall keep each other informed about such disputes and, where appropriate, cooperate in resolving them.
3. Where the data subject invokes a third-party beneficiary right pursuant to Clause 3, the data importer shall accept the decision of the data subject to:
   1. lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13;
   2. refer the dispute to the competent courts within the meaning of Clause 18.
4. The Parties accept that the data subject may be represented by a not-for-profit body, organisation or association under the conditions set out in Article 80(1) of Regulation (EU) 2016/679.
5. The data importer shall abide by a decision that is binding under the applicable EU or Member State law.
6. The data importer agrees that the choice made by the data subject will not prejudice his/her substantive and procedural rights to seek remedies in accordance with applicable laws.

Clause 12

Liability

1. Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these Clauses.
2. The data importer shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data importer or its sub-processor causes the data subject by breaching the third-party beneficiary rights under these Clauses.
3. Notwithstanding paragraph (b), the data exporter shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data exporter or the data importer (or its sub-processor) causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter and, where the data exporter is a processor acting on behalf of a controller, to the liability of the controller under Regulation (EU) 2016/679 or Regulation (EU) 2018/1725, as applicable.
4. The Parties agree that if the data exporter is held liable under paragraph (c) for damages caused by the data importer (or its sub-processor), it shall be entitled to claim back from the data importer that part of the compensation corresponding to the data importer’s responsibility for the damage.
5. Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties.
6. The Parties agree that if one Party is held liable under paragraph (e), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its / their responsibility for the damage.
7. The data importer may not invoke the conduct of a sub-processor to avoid its own liability.

Clause 13

Supervision

1. Where the data exporter is established in an EU Member State: The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority.
   Where the data exporter is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) and has appointed a representative pursuant to Article 27(1) of Regulation (EU) 2016/679: The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority.
   Where the data exporter is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679: The supervisory authority of one of the Member States in which the data subjects whose personal data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behaviour is monitored, are located, as indicated in Annex I.C, shall act as competent supervisory authority.
2. (b) The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries, submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken.

SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES

Clause 14

Local laws and practices affecting compliance with the Clauses

1. The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.
2. The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements:
   1. the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;
   2. the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorising access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards⁷;
      

      ---

      ⁷As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies.

   3. any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing
3. The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses.
4. The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request.
5. The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a).
6. Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organisational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation. The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply.

Clause 15

Obligations of the data importer in case of access by public authorities

1. 1. Notification
      1. The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary with the help of the data exporter) if it:
         1. receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or
         2. becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer.
      2. If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter.
      3. Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.).
      4. The data importer agrees to preserve the information pursuant to paragraphs (a) to (c) for the duration of the contract and make it available to the competent supervisory authority on request.
      5. Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses.
   2. Review of legality and data minimisation
      1. The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e).
      2. The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request.
      3. The data importer agrees to provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request.

SECTION IV – FINAL PROVISIONS

Clause 16

Non-compliance with the Clauses and termination

1. The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason.
2. In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f).
3. The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where:
   1. the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension;
   2. the data importer is in substantial or persistent breach of these Clauses; or
   3. the data importer fails to comply with a binding decision of a competent court or supervisory authority regarding its obligations under these Clauses.

   In these cases, it shall inform the competent supervisory authority of such non-compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise.

4. Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data. The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law.
5. Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679.

Clause 17

Governing Law

These Clauses shall be governed by the law of the EU Member State in which the date exporter is established. Where such law does not allow for third-party beneficiary rights, they shall be governed by the law of another EU Member State that does allow for third-party beneficiary rights. The Parties agree that this shall be the law of the Republic of Ireland.

Clause 18

Choice of forum and jurisdiction

1. Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State.
2. The Parties agree that those shall be the courts of Paris, France.
3. A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.
4. The Parties agree to submit themselves to the jurisdiction of such courts.

APPENDIX

EXPLANATORY NOTE:

It must be possible to clearly distinguish the information applicable to each transfer or category of transfers and, in this regard, to determine the respective role(s) of the Parties as data exporter(s) and/or data importer(s). This does not necessarily require completing and signing separate appendices for each transfer/category of transfers and/or contractual relationship, where this transparency can be achieved through one appendix. However, where necessary to ensure sufficient clarity, separate appendices should be used.

ANNEX I

A. LIST OF PARTES

Data exporter(s): [Identity and contact details of the data exporter(s) and, where applicable, of its/their data protection officer and/or representative in the European Union]

1. Name

Address:

…

Contact person’s name, position and contact details: … Activities relevant to the data transferred under these Clauses: … Signature and date: …

Role (controller/processor):

2. …

Data importer(s): [Identity and contact details of the data importer(s), including any contact person with responsibility for data protection]

1. Name: Veritone, Inc., and/or any of its subsidiaries or affiliates which are signator(y)/(ies) to the Agreement.

Contact person’s name, position and contact details:

[email protected]

Activities relevant to the data transferred under these Clauses: … Signature and date: …

Role (controller/processor): Processor

B. DESCRIPTION OF TRANSFER

Categories of data subjects whose personal data is transferred

………………………..

Categories of personal data transferred

………………………..

Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.

………………………..

The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).

………………………..

Nature of the processing

………………………..

Purpose(s) of the data transfer and further processing

………………………..

The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period

………………………..

For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing

………………………..

C. COMPETENT SUPERVISORY AUTHORITY

Identify the competent supervisory authority/ies in accordance with Clause 13

………………………..

ADDENDUM RELATIF AU TRAITEMENT DES DONNÉES

Le présent Addendum relatif au Traitement des Données (“ATD”) définit les modalités, exigences et conditions supplémentaires selon lesquelles la Société et/ou ses Affiliés traiteront les Données à Caractère Personnel lorsqu’ils fourniront des Services au Client dans le cadre de tout accord entre le Client et la Société et/ou ses Affiliés. Le présent ATD contient les clauses obligatoires requises par l’Article 28, paragraphe 3, et le Règlement Général sur la Protection des Données UE 2016/676.

Le présent ATD comprend les Annexes suivantes, qui y sont incorporées par référence (le cas échéant) :

1. Annexe 1 : Mesures techniques et organisationnelles
2. Annexe 2 : Liste des Sous-Traitants Autorisés
3. Annexe 3 : CCP (Cahier des Clause Particulières) (le cas éché-ant)

Pour éviter toute ambiguïté, l’exécution de tout Accord (tel que défini dans le présent document) est réputée constituer une acceptation des Clauses Contractuelles Types et de la liste des Sous-Traitants de la Société qui y sont incorporées, y compris toute Annexe. Lorsque le Client souhaite ou est requis de signer séparément les Clauses Contractuelles Types et les Annexes qui les accompagnent, il doit également compléter les informations en tant qu’exportateur de données, compléter les informations sur la page de signature et envoyer les Clauses Contractuelles Types signées à la Société par courrier électronique à l’adresse [email protected].

1. DÉFINITIONS
   “Affilié” : ” désigne toute entité qui, directement ou indirectement, Contrôle, est Contrôlée par ou est sous Contrôle commun avec l’entité concernée.
   “Accord” : désigne tout accord commercial, y compris les bons de commande, les conditions générales et le présent ATD, dans chaque cas tel qu’il a été signé et exécuté par le Client et la Société.
   “Lois Applicables en Matière de Protection des Données” : désigne toutes les lois et réglementations, y compris, mais sans s’y limiter, les lois et réglementations de l’Union européenne (par exemple, le RGPD et toute réglementation légale applicable) et de la Suisse, applicables au Traitement des Données à Caractère Personnel dans le cadre de l’Accord.
   “Affilié Autorisé” : désigne tout Affilié du Client qui (a) est soumis aux lois et réglementations applicables en matière de protection des données, y compris celles de l’Union européenne, de l’Espace économique européen et/ou de leurs États membres, de la Suisse et/ou du Royaume-Uni, et (b) est autorisé à utiliser les Services conformément à l’Accord conclu entre le Client et la Société, mais n’a pas signé son propre bon de commande ou accord avec la Société.
   “Société” : désigne Veritone, Inc. ou toute(s) filiale(s) ou tout/tous affilié(s) de Veritone, Inc. qui est (sont) partie(s) à un Accord, y compris le présent ATD.
   “Groupe de la Société”: “Groupe de la Société”: désigne la Société et ses Affiliés engagées dans le Traitement des Données à Caractère Personnel.
   “”Contrôle”, aux fins de la présente définition, désigne la propriété ou le contrôle direct ou indirect de plus de 50 % des intérêts avec droit de vote de l’entité concernée.
   “Responsable du Traitement” désigne la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du Traitement des Données à Caractère Personnel ; lorsque les finalités et les moyens de ce Traitement sont déterminés par le droit de l’Union européenne ou des États membres, le responsable du traitement ou les critères spécifiques de sa désignation peuvent être stipulés par le droit de l’Union européenne ou des États membres.
   “Client” : désigne l’entité qui a signé l’Accord ainsi que ses Affiliés (pour autant qu’ils restent Affiliés) qui ont signé l’Accord.
   “”Données Client” : désigne ce qui est défini dans l’Accord comme étant des données du client, à condition que ces données soient des données électroniques et des informations soumises par ou pour le Client en vertu de l’Accord. Le présent ATD ne s’applique pas aux Services de Tiers, y compris les modules complémentaires.
   “Données à Caractère Personnel du Client” : désigne les données Traitées par la Société aux fins des Services fournis conformément à l’Accord, qui sont définies comme des Données à Caractère Personnel en vertu des Lois Applicables en Matière de Protection des Données. Cela inclut, sans s’y limiter, (i) des noms et/ou des coordonnées des personnes autorisées par le Client à accéder aux Services (par exemple, les agents et les superviseurs) ; et (ii) des informations collectées par le Client lors de l’utilisation des Services.
   “Violation de Données” désigne une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l’altération, la divulgation non autorisée de Données à Caractère Personnel transmises, stockées ou Traitées d’une autre manière, ou l’accès à de telles données.
   “Personne Concernée” désigne la personne identifiée ou identifiable à laquelle se rapportent les Données à Caractère Personnel.
   “Date Effective” : désigne la date de signature du présent ATD par le Client.
   “RGPD” désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du Traitement des Données à Caractère Personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données).
   “Données à Caractère Personnel” désigne toute information concernant (i) une personne physique identifiée ou identifiable (la “Personne Concernée”) et (ii) une personne physique identifiée ou identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de cette personne physique, étant entendu que, pour chacun des points (i) ou (ii), ces données sont des Données Client.
   “Traitement” : désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des Données à Caractère Personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.
   “Sous-Traitant” désigne une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui Traite des Données à Caractère Personnel pour le compte du Responsable de Traitement, y compris, le cas échéant, tout “prestataire de services” tel que ce terme est défini par le RGPD.
   “Services” : désigne les services et autres activités à fournir à la Société ou à réaliser par elle en vertu de l’Accord.
   “Clauses Contractuelles Types” ou “CCT”: désigne les Clauses Contractuelles Types de la Commission européenne pour le transfert de Données à Caractère Personnel de l’Union européenne vers des Sous-Traitants (conformément à l’Annexe de la décision 2010/87/UE de la Commission) établis dans des pays tiers qui ne garantissent pas un niveau adéquat de protection des données.
   “Sous-Traitant Ultérieur” désigne un sous-traitant désigné par la Société, en son nom, pour Traiter les Données à Caractère Personnel du Client, à l’exclusion de tout employé de la Société, y compris, sans s’y limiter, les Sous-Traitants énumérés à l’Annexe 2 ci-jointe.
   “Autorité de Contrôle” : désigne une autorité publique indépendante établie par un État membre conformément à l’article 51 du RGPD.
   “Services de Tiers” désigne certains services et applications exploités par divers tiers et disponibles sur ou via les services.
2. RÔLE DES PARTIES ET ACTIVITÉS DE TRAITEMENTS
   1. Rôles des parties. Les parties reconnaissent et conviennent que, en ce qui concerne le Traitement des Données à Caractère Personnel, le Client agit exclusivement en tant que Responsable du Traitement, la Société agit en tant que Sous-Traitant et la Société engagera des Sous-Traitants Ultérieurs conformément aux exigences énoncées ci-dessous.
   2. Traitement des Données à Caractère Personnel par le Client. Le Client conserve le contrôle des Données à Caractère Personnel du Client et reste responsable de ses obligations de conformité en vertu des Lois Applicables en Matière de Protection des Données, y compris la fourniture de tous les avis et informations requis et l’obtention de tous les consentements nécessaires, ainsi que des instructions de Traitement qu’il donne à la Société. Pour éviter toute ambiguïté, les instructions du Client concernant le Traitement des Données à Caractère Personnel doivent être conformes aux Lois Applicables en Matière de Protection des Données. Le Client est seul responsable de l’exactitude, de la qualité et de la légalité des Données à Caractère Personnel et des moyens par lesquels il les a acquises. Le Client reconnaît spécifiquement que son utilisation des Services ne violera pas les droits d’une quelconque Personne Concernée qui s’est exclue des ventes ou autres divulgations de Données à Caractère Personnel, dans la mesure où cela est applicable en vertu du RGPD.
   3. Traitement des Données à Caractère Personnel par la Société. La Société traitera les Données à Caractère Personnel comme des informations confidentielles et les Traitera pour le compte du Client et uniquement en conformité avec instructions documentées du Client.
   4. Instructions de Traitement. La Société ne traitera pas les Données à Caractère Personnel du client autrement que selon les instructions documentées du Client concerné, à moins que le Traitement ne soit requis par les lois applicables auxquelles la Société ou le Sous-Traitant Ultérieur concerné est soumis.
   5. Instructions Supplémentaires. L’Accord et le présent ATD seront considérés comme les seules instructions documentées pertinentes aux fins du présent ATD. Toute autre instruction sera considérée comme une instruction supplémentaire, à condition toutefois que les instructions supplémentaires soient (a) des instructions raisonnables fournies par le Client ; (b) approuvées et acceptées par la Société ; et (c) conformes aux termes de l’Accord. Toute instruction supplémentaire fera l’objet d’un accord additionnel pouvant entraîner une tarification supplémentaire entre les parties.
   6. Instructions du Client. Le Client doit s’assurer que ses instructions sont conformes à toutes les lois, réglementations et règles applicables aux Données du Client et que le Traitement des Données du Client par la Société conformément aux instructions du Client n’amènera pas la Société à violer toute loi, réglementation ou règle applicable, y compris, mais sans s’y limiter, les Lois Applicables en Matière de Protection des Données. La Société s’engage à ne pas accéder aux Données Client ni à les utiliser, sauf si cela est nécessaire pour maintenir ou fournir le Service, ou si cela est nécessaire pour se conformer à un ordre gouvernemental contraignant.
   7. Conformité aux lois applicables. Chaque partie doit être en conformité matérielle avec les lois et réglementations applicables lors de l’exécution ou de la réception, selon le cas, des Services prévus par les présentes, y compris, mais sans s’y limiter, les Lois Applicables en Matière de Protection des Données.
3. SOUS-CONTRACTANTS AUTORISÉS
   1. Le Client reconnaît et accepte que la Société et ses Affiliés puissent : (1) engager des sous-contractants, agents, revendeurs ou auditeurs tiers pour accéder aux Données à Caractère Personnel en relation avec les Services (une liste actualisée des Sous-Traitants Ultérieurs autorisés de la Société figure à l’Annexe 2) et (2) engager de temps à autre des tiers supplémentaires dans le but de fournir les Services, y compris, mais sans s’y limiter, le Traitement des Données à Caractère Personnel (collectivement, les ” Sous-Contractants Autorisés “).
   2. Au moins trente (30) jours avant de permettre à une nouvelle partie, en plus des Sous-Contractants Autorisés, d’accéder ou de participer au Traitement des Données à Caractère Personnel, la Société et/ou ses Affiliés informeront le Client de cette mise à jour. Le Client peut raisonnablement s’opposer à cet engagement par écrit dans un délai de trente (30) jours à compter de la réception par le Client de la notification. Si le Client s’oppose raisonnablement à un engagement conformément à la présente section 3.2, la Société peut lui fournir une description écrite des solutions de rechange commercialement raisonnables, le cas échéant, à cet engagement, y compris, mais sans s’y limiter, la modification des Services.
   3. Si le Client ne s’oppose pas à l’engagement d’un tiers conformément à la section 3.2, dans les trente (30) jours suivant la notification par la Société, ce tiers sera considéré comme un Sous-Contractant Autorisé aux fins du présent ATD.
   4. La Société doit s’assurer que tous les Sous-Contractants Autorisés (i) ont signé des accords de confidentialité qui les empêchent de divulguer toute donnée à caractère personnel pendant et après leur engagement par la Société et (ii) sont soumis à des obligations concernant le Traitement des Données à Caractère Personnel qui ne sont pas moins protectrices que celles énoncées dans le présent ATD
4. DEMANDES DE PERSONNES CONCERNÉES
   1. Demandes de Personnes Concernées. Dans la mesure où la loi le permet, la Société notifie rapidement le Client si elle reçoit une demande d’une Personne Concernée en vue d’exercer son droit d’accès, de rectification, de limitation du Traitement, d’efface-ment (le “droit d’être oublié”), de portabilité des données, d’op-position au Traitement ou son droit de ne pas faire l’objet d’une décision individuelle automatisée, chacune de ces demandes étant une “Demande de Personnes Concernées”.
   2. Coopération avec les Clients sur les Demandes. Le Client doit fournir aux Personnes Concernées un accord ou des moyens jugés adéquats pour exercer leurs droits auprès du Client. En tout état de cause, la Société n’est pas tenue de répondre di-rectement à la demande de la Personne Concernée, ni de fournir une ligne d’assistance directe ou tout autre moyen de communi-cation pour répondre à une Demande de Personnes Concernées.
   3. Demande d’assistance. Dans la mesure où le Client, dans son utilisation des Services, n’a pas la capacité de répondre à une Demande de Personnes Concernées, la Société doit, à la de-mande du Client, fournir des efforts commercialement raison-nables pour aider le Client à répondre à cette Demande de Per-sonnes Concernées, dans la mesure où la Société est légalement autorisée à le faire et que la réponse à cette Demande de Per-sonnes Concernées est requise en vertu des Lois Applicables en Matière de Protection des Données. Dans la mesure où la loi le permet, le Client est responsable de tous les coûts découlant de la fourniture d’une telle assistance par la Société.
   4. La Société doit prendre les mesures techniques et organisation-nelles appropriées et fournir rapidement au Client les infor-mations que ce dernier peut raisonnablement exiger, afin de lui permettre de se conformer aux:
      1. droits des Personnes Concernées en vertu des Lois Ap-plicables en Matière de Protection des Données, y com-pris les droits d’accès des Personnes Concernées, les droits de rectification et d’effacement des Données à Caractère Personnel, les droits d’opposition au Traitement et au Traitement automatisé des Données à Caractère Personnel, et les droits de restriction du Traitement des Données à Caractère Personnel ; et
      2. avis d’information ou d’évaluation adressés au Client par toute Autorité de Contrôle en vertu des Lois Appli-cables en Matière de Protection des Données.
   5. La Société doit informer le Client immédiatement si elle reçoit une plainte, une notification ou une communication qui se rapporte directement ou indirectement au traitement des Données a Ca-ractère Personnel ou au respect par l’une ou l’autre des parties des Lois Applicables en Matière de Protection des Données. La Société doit informer le Client sans délai indu si elle reçoit une demande d’une Personne Concernée d’accéder à ses Données à Caractère Personnel ou d’exercer l’un de ses droits connexes en vertu des Lois Applicables en Matière de Protection des Données. La Société apportera au Client sa pleine coopération et son assis-tance pour répondre à toute plainte, avis, communication ou demande de la Personne Concernée. La société ne doit pas divulguer les Données à Caractère Personnel à une Personne Concernée ou à un tiers autrement qu’à la demande ou sur in-struction du Client, comme le prévoit le présent ATD ou comme l’exige la loi.
5. TRANSFERT TRANSFRONTALIER DE DONNÉES À CARACTÈRE PERSONNEL – LE CAS ÉCHÉANT
   1. Tout transfert de Données à Caractère Personnel depuis les États membres de l’Union européenne, l’Islande, le Liechtenstein, la Norvège, la Suisse ou le Royaume-Uni (l'”EEE”) vers des pays qui ne garantissent pas un niveau adéquat de protection des données au sens des lois et réglementations de ces pays sera, dans la mesure où ce transfert est soumis à ces lois et réglementations, effectué par la Société par le biais des Clauses Contractuelles Types situées ici : https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX%3A32010D0087, telles qu’elles peuvent être modifiées de temps à autre, dans la mesure où la Société traite les Données à Caractère Personnel de Personnes Concernées situées dans l’EEE.
   2. Lorsque le consentement du Client est accordé, la Société ne peut traiter ou permettre le traitement de Données à Caractère Personnel en dehors de l’EEE que dans les conditions suivantes :
      1. La Société traite des Données à Caractère Personnel dans un territoire qui qui fait l’objet d’une constatation actuelle de la Commission européenne en vertu des Lois Applicables en Matière de Protection des Données, selon laquelle le territoire offre une protection adéquate des droits à la vie privée des personnes.
      2. La Société participe à un mécanisme de transfert transfrontalier valide en vertu des Lois Applicables en Matière de Protection des Données, de sorte que la Société et, le cas échéant, le Client, puissent s’assurer que des garanties appropriées sont en place pour assurer un niveau de protection adéquat en ce qui concerne les droits à la vie privée des personnes, comme l’exige l’article 46 du RGPD.
   3. Si un transfert de Données à Caractère Personnel entre le Client et la Société nécessite l’exécution de CCT afin de se conformer aux Lois Applicables en Matière de Protection des Données (lorsque le Client est l’entité qui exporte des Données à Caractère Personnel vers la Société en dehors de l’EEE), les parties complèteront tous les détails pertinents dans les CCT figurant à l’Annexe 3 et les exécuteront, et prendront toutes les autres mesures nécessaires pour légitimer le transfert.
   4. Si le Client consent à ce que la Société, située dans l’EEE, désigne un sous-contractant situé en dehors de l’EEE, il autorise la Société à conclure les CCT figurant à l’Annexe 3 avec le sous-contractant au nom et pour le compte du Client. La Société mettra les CCT exécutées à la disposition du Client sur demande.
6. CONFIDENTIALITÉ
   1. Confidentialité. La Société veille à ce que tous les membres de son personnel participant au Traitement des Données à Carac-tère Personnel soient informés de la nature confidentielle des Données à Caractère Personnel, aient reçu une formation appro-priée sur leurs responsabilités et aient signé des accords de con-fidentialité écrits. La Société veille à ce que ces obligations de con-fidentialité survivent à la fin de l’engagement du personnel. La Société est responsable de toute violation des obligations de con-fidentialité par le personnel chargé du Traitement des Données à Caractère Personnel, comme si cette violation était le fait de la Société elle-même.
   2. Limitation de l’accès. La Société veille à ce que l’accès de la Socié-té aux Données à Caractère Personnel soit limité aux membres de son personnel qui fournissent des Services conformément à l’Accord.
7. SÉCURITÉ
   1. Protection des Données Client. En tenant compte de l’état de la technique et des coûts de mise en œuvre, la Société maintient des mesures techniques et organisationnelles appropriées pour la protection de la sécurité (y compris la protection contre le traitement non autorisé ou illégal et contre la destruction, la perte, l’altération ou les dommages accidentels ou illégaux, la divulgation ou l’accès non autorisé aux Données Client), de la con-fidentialité et de l’intégrité des Données Client, comme indiqué plus en détail à l’Annexe 1 ci-jointe.
   2. Responsabilités du Client. Le Client reconnaît que les Services comprennent certaines caractéristiques et fonctionnalités que le Client peut choisir d’utiliser et qui ont une incidence sur la sécurité des données traitées dans le cadre de l’utilisation des Services par le Client. Il incombe au Client d’examiner les informations que la Société met à sa disposition concernant la sécurité de ses données, y compris ses rapports d’audit, et de déterminer de manière indépendante si les Services répondent à ses exigences et à ses obligations légales, y compris ses obligations au titre du présent ATD. Le Client est en outre responsable de la configuration adéquate des Services et de l’utilisation des caractéristiques et fonctionnalités disponibles pour maintenir une sécurité appropriée compte tenu de la nature des données traitées dans le cadre de l’utilisation des Services par le Client.
   3. Notification d’une Violation de Données. Dans la mesure où la loi le permet, la Société notifie le Client sans délai indu après avoir pris connaissance d’une Violation de Données. Dans la mesure où une telle Violation de Données est causée par une violation des exigences du présent ATD par la Société, ou par la négligence ou la faute intentionnelle de la Société, la Société s’efforcera d’identifier et de remédier à la cause de cette Violation de Données, dans la mesure où la remédiation est sous le contrôle raisonnable de la Société. Ces obligations ne s’appliquent pas aux incidents causés par le Client ou ses utilisateurs autorisés.
8. AUDITS
   1. Sur demande écrite du Client, à des intervalles raison-nables et au maximum une fois par an, et sous réserve de con-trôles de confidentialité raisonnables, la Société met à la disposi-tion du Client (ou de l’auditeur tiers indépendant du Client), qui n’est pas un concurrent de la Société, des informations con-cernant le respect par la Société des obligations énoncées dans le présent ATD. Le Client peut contacter la Société con-formément à la section “Notifications” de l’Accord pour demand-er un audit sur place des procédures relatives à la protection des Données à Caractère Personnel. Le Client rembourse à la Société le temps consacré à cet audit sur place au tarif des services pro-fessionnels de la Société alors en vigueur, qui est mis à la disposi-tion du Client sur demande écrite. Avant le début de l’audit sur place, la Société et le Client conviennent d’un commun accord de la portée, du calendrier et de la durée de l’audit, ainsi que du taux de remboursement à la charge du Client.
   2. Le Client communique sans délai à la Société les informations relatives à toute non-conformité découverte au cours d’un audit. Pour éviter toute ambiguïté, toute information obtenue par le Client en vertu de la présente section 8 doit être traitée comme une Information Confidentielle de la Société conformément à l’Accord.
9. DISPOSITIONS SPÉCIFIQUES À L’ESPACE ÉCONOMIQUE EUROPÉEN
   1. RGPD et RGPD du RU. La Société traitera les Données à Carac-tère Personnel conformément aux exigences du RGPD directement applicables à la fourniture par la Société de ses Services en tant que Sous-Traitant.
   2. Évaluation de l’Impact de la Protection des Données. À la de-mande du Client, la Société fournira l’assistance raisonnable (aux frais du Client) nécessaire pour remplir l’obligation du Client en ver-tu du RGPD d’effectuer une évaluation de l’impact de la protection des données sur l’utilisation des Services par le Client, dans la mesure où le Client n’a pas autrement accès aux informations per-tinentes, et dans la mesure où ces informations sont disponibles pour la Société. La Société fournira une assistance raisonnable au Client dans le cadre de la coopération ou des consultations préala-bles du Client avec toute Autorité de Contrôle ou autre autorité compétente en matière de confidentialité des données, que le Client considère raisonnablement comme étant requise par les articles 35 ou 36 du RGPD.
10. DISPOSITIONS SPÉCIFIQUES À LA ZONE AUSTRALIENNE
    Le cas échéant, la société traitera les Données à Caractère Per-sonnel conformément aux exigences de la loi australienne de 1988 sur la protection de la vie privée (Australian Privacy Act 1988) directement applicables à la prestation de Services de la société en tant que Sous-Traitant.
11. LA SUPPRESSION OU LA RESTITUTION DES DONNÉES CLIENTS
    1. À la demande du Client, la Société lui donnera sans tarder une copie ou un accès à la totalité ou à une partie des Données Clients ou des Données à Caractère Personnel du Client en sa possession ou sous son contrôle, dans le format et sur le support raisonnablement spécifiés par le Client.
    2. En cas de résiliation d’un Accord pour quelque raison que ce soit ou à l’expiration de sa durée, la Société supprimera ou détruira en toute sécurité ou, si le client le demande par écrit, retournera et ne conservera pas toutes les Données Clients ou les Données à Caractère Personnel du Client liées à cet Accord qui sont en sa possession ou sous son contrôle.
    3. Si une loi, un règlement ou un organisme gouvernemental ou réglementaire exige de la Société qu’elle conserve des documents ou du matériel qu’elle serait autrement tenue de renvoyer ou de détruire, elle informera le Client par écrit de cette exigence de conservation, en donnant des détails sur les documents ou le matériel qu’elle doit conserver, la base juridique de la conservation, et en établissant un calendrier spécifique pour la destruction une fois que l’exigence de conservation aura pris fin.
    4. La Société certifiera par écrit qu’elle a détruit les Données du Client ou les Données à Caractère Personnel du Client dans les 30 jours suivant l’achèvement de la destruction.
    5. Suppression. Suite à la résiliation ou à l’expiration de tout Accord, la Société supprimera toutes les Données Clients ou les Données à Caractère Personnel du Client dans le délai indiqué dans l’Accord. En cas de litige, les Données Clients ou les Données à Caractère Personnel du Client peuvent être conservées par la Société moy-ennant un préavis écrit de 30 jours, aux frais exclusifs du Client.
    6. Retour. Dans le cas où le Client demande le retour des Données Clients ou des Données à Caractère Personnel du Client, la Société fournira une assistance en temps utile pour assurer le retour de ces Données Clients ou des Données à Caractère Personnel du Client, aux frais exclusifs du Client.
12. AFFILIÉS AUTORISÉS
    1. Relation Contractuelle. Les parties reconnaissent et conviennent qu’en exécutant l’Accord, le Client conclut l’ATD en son nom pro-pre et, le cas échéant, au nom et pour le compte de ses Affiliés Autorisés, établissant ainsi un ATD distinct entre la Société et chacun de ces Affiliés Autorisés, sous réserve des dispositions de l’Accord. Chaque Affilié Autorisé accepte expressément d’être entièrement lié par les obligations découlant du présent ATD et, dans la mesure où cela est applicable, de l’Accord. Pour éviter toute ambiguïté, un Affilié Autorisé n’est pas et ne devient pas partie à l’Accord et n’est partie qu’au présent ATD. Tout accès et toute utilisation des Services par les Affiliés Autorisés doivent être conformes aux termes et conditions de l’Accord et toute vio-lation des termes et conditions de l’Accord par un Affilié Autorisé sera considérée comme une violation de la part du Client.
    2. Communication. Le Client qui est la partie contractante de l’Accord reste responsable de la coordination de toutes les com-munications avec la Société dans le cadre du présent ATD et est habilité à faire et à recevoir toute communication relative au présent ATD au nom de ses Affiliés Autorisés.
    3. Droits des Affiliés Autorisés. Lorsqu’un Affilié Autorisé devient partie à l’ATD avec la Société, il est habilité, dans la mesure req-uise par les Lois Applicables en Matière de Protection des Don-nées, à exercer les droits et à demander réparation dans le ca-dre du présent ATD, sous réserve de ce qui suit :
       1. Sauf si les Lois Applicables en Matière de Protection des Données exigent que l’Affilié Autorisé exerce un droit ou cherche à obtenir une réparation en vertu du présent ATD contre la Société directement, les parties con-viennent que (i) seul le client qui est la partie con-tractante de l’Accord exercera un tel droit ou cherchera à obtenir une telle réparation au nom de l’Affilié Autori-sé, et (ii) le Client qui est la partie contractante de l’Accord exercera de tels droits en vertu du présent ATD non pas séparément pour chaque Affilié Autorisé indi-viduellement, mais de manière combinée pour lui-même et tous ses Affiliés Autorisés ensemble.
       2. Les parties conviennent que le Client qui est la partie contractante à l’Accord doit, lorsqu’il effectue un audit sur place des procédures relatives à la protection des Données à Caractère Personnel, prendre toutes les mesures raisonnables pour limiter l’impact sur la Socié-té et ses Sous-Traitants Ultérieurs en combinant, dans la mesure du possible, plusieurs demandes d’audit effec-tuées en son nom et au nom de tous ses Affiliés Autori-sés en un seul audit.
13. LIMITATION DE LA RESPONSABILITÉ
    1. La responsabilité de chaque partie et de toutes ses Affiliés, prise dans son ensemble, découlant de ou liée à cet ATD et à tous les ATD conclus entre les Affiliés Autorisées et la Société, que ce soit dans le cadre du droit des contrats, du droit de la responsabilité civile ou de toute autre théorie de la responsabilité, est soumise à la section “Limitation de la Responsabilité” de l’Accord, et toute référence dans cette section à la responsabilité d’une partie signi-fie la responsabilité globale de cette partie et de toutes ses Affili-és dans le cadre de l’Accord et de tous les ATD pris dans leur en-semble.
    2. Pour éviter toute ambiguïté, la responsabilité totale de la Société et de ses Affiliés pour toutes les réclamations du Client et de tous ses Affiliés Autorisés découlant de ou liées à l’Accord et à tous les ATD s’applique globalement à toutes les réclamations en vertu de l’Accord et de tous les ATD établis en vertu de l’Accord, y compris par le Client et tous les Affiliés Autorisés, et, en particulier, ne doit pas être comprise comme s’appliquant individuellement et solidairement au Client et/ou à tout Affilié Autorisé qui est une partie contractuelle à un tel ATD.
14. Langue du contrat. La langue française étant la langue applicable au contrat contrat, la version anglaise est donnée exclusivement a titre d’information.

Le présent ATD annule et remplace toutes les propositions, déclarations, documents de vente ou présentations et accords antérieurs et contemporains, oraux et écrits, concernant l’objet du présent ATD, y compris tout addendum antérieur relatif au traitement des données conclu entre la Société et le Client. En cas de conflit entre le présent ATD et tout autre accord, y compris l’Accord, les termes du présent ATD prévalent.

Contact pour les questions relatives à la protection des données : [email protected]

ANNEXE 1

MESURES TECHNIQUES ET ORGANISATIONNELLES

Afin de protéger la confidentialité, l’intégrité et la disponibilité de ses données internes et des Données Clients, la Société a mis en place un programme de sécurité de l’information qui comprend les contrôles techniques, administratifs/organisationnels et physiques suivants :

1. Gouvernance et Contrôles Organisationnels
   Les relations hiérarchiques, les structures organisationnelles et l’attribution adéquate des responsabilités en matière de contrôle des systèmes, y compris la nomination au niveau exécutif d’un Directeur Général de l’Information de la Société, ont permis de mettre en place un cadre d’évaluation des risques utilisé pour évaluer les risques dans l’ensemble de la Société sur une base continue. Le processus de gestion des risques intègre la tolérance au risque de la direction et l’évaluation des risques nouveaux ou en évolution. la Société met en œuvre diverses mesures tech-niques et organisationnelles destinées à assurer un niveau de sécurité adapté aux risques posés par les données clients. Ces mesures visent à empêcher la destruction illicite ou la perte acci-dentelle, l’altération, la divulgation ou l’accès non autorisé, ainsi que toute autre forme d’accès illicite aux données clients. Con-formément aux normes industrielles énoncées dans les Lois Ap-plicables en Matière de Protection des Données, ces mesures comprennent :
   1. Programme de Sécurité de l’Information
      La Société a mis en place un programme formel de sécurité de l’information contenant des mesures de protection ad-ministratives, techniques et physiques afin de protéger la sécurité, la confidentialité et l’intégrité des informations rela-tives aux clients. Ce programme est raisonnablement conçu pour (i) préserver la sécurité et la confidentialité des infor-mations relatives aux clients, (ii) protéger contre les menac-es ou les risques anticipés pour la sécurité ou l’intégrité des informations, et (iii) protéger contre l’accès ou l’utilisation non autorisés des informations. Cela est réalisé par les moy-ens suivants :
      1. Des politiques de sécurité écrites, conçues pour être conformes aux normes de sécurité de l’information ISO/IEC 27001:2013, y compris des Politiques de Sécurité Informatique et un accord d’Utilisation Ac-ceptable ;
      2. Des politiques écrites sur la protection de la vie privée ;
      3. Une formation, pour le personnel nouvellement re-cruté et annuelle, de sensibilisation à la sécurité ; et
      4. des Plans de Réponse aux Incidents et de Reprise après Sinistre ;
   2. Contrôle d’Accès aux Zones de Traitement
      La Société met en œuvre des mesures appropriées pour empê-cher les personnes non autorisées d’accéder à l’équipement de traitement des données (à savoir les serveurs de base de données et d’application et le matériel connexe) où les données clients sont consultées, traitées ou utilisées. Cela est réalisé par les moyens suivants :
      1. l’établissement de zones de sécurité ;
      2. la sécurisation des équipements de traitement des données et des ordinateurs personnels ;
      3. l’établissement d’autorisations d’accès pour les em-ployés et les tiers, y compris la documentation corre-spondante ;
      4. la restriction des clés de cartes d’accès ;
      5. tous les accès au centre de données où sont héber-gées les données à caractère personnel sont enregis-trés, contrôlés et suivis ; et
      6. le centre de données où sont hébergées les données à caractère personnel est sécurisé par des mesures de sécurité appropriées.
2. Contrôle d’Accès aux Systèmes de Traitement des Données
   La Société met en œuvre des mesures appropriées pour empê-cher l’utilisation de ses systèmes de traitement des données par des personnes non autorisées. Cela est réalisé par les moyens suivants :
   1. l’identification de l’utilisateur individuel aux systèmes de la Société ;
   2. la suppression automatique de l’accès de l’utilisateur en cas d’inactivité, l’identification et le mot de passe étant nécessaires pour rouvrir l’accès ;
   3. les comptes sont surveillés et l’accès est révoqué lorsque plusieurs mots de passe erronés sont saisis, fichier journal des événements (surveillance des ten-tatives d’intrusion) ;
   4. l’émission et la sauvegarde des codes d’identification et des jetons sécurisés ;
   5. des exigences strictes en matière de mot de passe (longueur minimale, utilisation de caractères spéciaux, réutilisation, etc.;)
   6. la protection contre l’accès externe au moyen de pare-feu d’application web et de contrôles d’accès au réseau à la pointe de la technologie.
   7. l’accès des employés sera protégé par une connexion VPN avec une connexion à plusieurs facteurs..
   8. tous les accès au contenu des données sur les ma-chines ou les systèmes informatiques sont enregis-trés, contrôlés et suivis.
3. Contrôle d’Accès à des Zones Spécifiques des Systèmes de Traitement des Données
   La Société s’engage à ce que les personnes autorisées à utilis-er ses systèmes de traitement des données ne puissent ac-céder aux données que dans le cadre et dans la mesure cou-verts par leur permission d’accès respective (autorisation) et à ce que les données des clients ne puissent être lues, copiées, modifiées ou supprimées sans autorisation. Pour ce faire, les moyens suivants seront mis en œuvre :
   1. les politiques et la formation des employés en ce qui concerne les droits d’accès de chaque employé aux données à caractère personnel ;
   2. les droits d’accès sont accordés exclusivement pour un emploi et/ou des fonctions spécifiques ;
   3. la capacité de contrôle concernant les personnes qui suppriment, ajoutent ou modifient des données à ca-ractère personnel ;
   4. des actions disciplinaires efficaces et mesurées à l’en-contre des personnes qui accèdent aux données à ca-ractère personnel sans autorisation ;
   5. la communication des données aux seules personnes autorisées ;
   6. le contrôle des fichiers, la destruction contrôlée et documentée des données ; et
   7. les politiques de contrôle de la conservation des cop-ies de sauvegarde.
4. Contrôle de la Transmission
   La Société met en œuvre des mesures appropriées pour empê-cher que les données des clients soient lues, copiées, modifiées ou effacées par des personnes non autorisées pendant leur transmis-sion ou pendant le transport des supports de données et pour gar-antir qu’il est possible de vérifier et d’établir à quelles instances est envisagé le transfert des données des clients au moyen d’installa-tions de transmission de données. Cela est réalisé par les moyens suivants
   1. l’utilisation de technologies de pointe en matière de pare-feu et de cryptage pour protéger les passerelles et les pipelines par lesquelles les données transitent ;
   2. l’utilisation d’un cryptage SSL à 128 bits pour toutes les connexions https ;
   3. la mise en œuvre de connexions VPN sécurisées à deux facteurs pour protéger la connexion à l’internet, le cas échéant ;
   4. le cryptage des données des clients au moyen d’une technologie de cryptage de pointe ; et
   5. surveillance constante de l’infrastructure (par exem-ple, ICMP-Ping au niveau du réseau, examen de l’e-space disque au niveau du système, livraison réussie des pages spécifiées au niveau de l’application).
5. Contrôle des Entrées dans les Systèmes de Traitement des Données
   La Société met en œuvre des mesures appropriées pour s’assurer qu’il est possible de vérifier et d’établir si et par qui les données à caractère personnel ont été introduites dans les systèmes de traitement des données ou supprimées. Cela est réalisé par les moyens suivants
   1. une politique d’autorisation pour l’introduction de données dans le service hébergé, ainsi que pour la lecture, la modification et la suppression des données stockées ;
   2. l’authentification du personnel autorisé ;
   3. des mesures de protection pour les données saisies en mémoire, ainsi que pour la lecture, la modification et l’effacement des données stockées ;
   4. l’utilisation de codes d’utilisateur (mots de passe et jetons) ;
   5. la déconnexion automatique des identifiants d’utilis-ateurs qui n’ont pas été utilisés pendant une longue période ;
   6. l’enregistrement ou toute autre preuve de l’autorisa-tion d’entrée ; et
   7. l’enregistrement électronique des entrées.
6. Contrôle des Instructions relatives aux Données à Caractère Personnel
   La Société veille à ce que les données clients ne soient traitées que conformément à un accord Client de la Société, ainsi qu’à toute instruction raisonnable et pertinente reçue par écrit de la part du personnel autorisé du client de temps à autre, qui peut être une instruction spécifique ou de nature générale, comme indiqué dans l’accord Client de la Société ou comme convenu autrement entre le client et la Société pendant la durée d’un accord Client de la socié-té. Pour ce faire, des politiques et des procédures contraignantes sont mises en place à l’intention des employés de la Société.
7. Contrôle de la Disponibilité
   La Société met en œuvre des mesures appropriées pour s’assurer que les données clients sont protégées contre la destruction acci-dentelle ou la perte. Cela est réalisé par
   1. la redondance de l’infrastructure : les données de re-porting sont stockées sur du matériel doté de sous-systèmes de disques redondants sauvegardés en temps réel avec des sauvegardes par réplication hors site.
8. Séparation des Traitements à des Fins Différentes
   La Société met en œuvre des mesures appropriées pour garantir que les données collectées à des fins différentes puissent être traitées séparément. Cela est réalisé par les moyens suivants
   1. l’accès aux données est séparé par le biais de mul-tiples applications diverses pour les utilisateurs appropriés.
   2. les données clients sont séparées des envi-ronnements de développement et de test grâce à divers contrôles logiques et de réseau ; et
   3. Les interfaces, les traitements par lots et les rap-ports sont conçus pour des objectifs et des fonc-tions spécifiques, de sorte que les données col-lectées à des fins spécifiques sont traitées sépa-rément.
9. Sous-Traitants Ultérieurs
   La Société fait appel à divers sous-traitants ultérieurs dans le cadre de son infrastructure en nuage. La Société s’assure qu’elle a mis en place des dispositions contractuelles solides pour gar-antir le respect, par ces sous-traitants ultérieurs, des mesures de sécurité organisationnelle décrites dans le présent document.

ANNEXE 2

LISTE DES SOUS-TRAITANTS ULTÉRIEURS AUTORISÉS

AMAZON WEB SERVICES (“AWS”)

GOOGLE

SAP

SENGRID

MICROSOFT

ORACLE

WORKDAY

SALESFORCE

 DOCUSIGN

PENDO.IO INC.

ARTIRIX LIMITED / PLANDEK

MAILJET SAS

TEXTKERNEL

ANNEXE 3 (SI APPLICABLE)

CLAUSES CONTRACTUELLES TYPES

SECTION I

Clause 1

Objectif et champ d’application

1. (a) Les présentes clauses contractuelles types ont pour objet d’assurer le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)² pour le transfert de données à caractère personnel vers un pays tiers.
   

   ---

    

   ²Lorsque l’exportateur de données est un sous-traitant soumis au règlement (UE) 2016/679 agissant pour le compte d’une institution ou d’un organe de l’Union en tant que responsable du traitement, le recours à ces Clauses lorsqu’il fait appel à un autre sous-traitant (sous-traitance ultérieure) non soumis au règlement (UE) 2016/679 garantit également le respect de l’article 29, paragraphe 4, du règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, entités, organes et agences de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (JO L 295 du 21.11.2018, p. 39), dans la mesure où les présentes Clauses et les obligations en matière de protection des données énoncées dans le contrat ou autre acte juridique entre le responsable du traitement

2. Les parties :
   1. la/les personne(s) physique(s) ou morale(s), autorité(s) publique(s), agence(s) ou autre(s) organisme(s) (ci-après “entité(s)”) qui transfère(nt) les données à caractère personnel, telles qu’elles sont énumérées à l’annexe I.A. (ci-après chaque “exportateur de données”), et
   2. l’entité ou les entités d’un pays tiers recevant les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également Partie aux présentes Clauses, comme indiqué à l’annexe I.A. (ci-après dénommée “l’importateur de données”)

   ont accepté les présentes clauses contractuelles types (ci-après dénommées “Clauses”).

3. Les présentes Clauses s’appliquent au transfert de données à caractère personnel tel que spécifié à l’annexe I.B.
4. L’Appendice aux présentes Clauses contenant les Annexes qui y sont mentionnées fait partie intégrante des présentes Clauses.

Clause 2

Effet et invariabilité des Clauses

1. Les présentes Clauses énoncent des garanties appropriées, y compris des droits opposables des personnes concernées et des voies de recours effectives, conformément à l’article 46, paragraphe 1, et à l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des responsables du traitement aux sous-traitants et/ou des sous-traitants aux sous-traitants, des clauses contractuelles types conformément à l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le(s) Module(s) approprié(s) ou pour ajouter ou mettre à jour des informations dans l’Appendice. Cela n’empêche pas les Parties d’inclure les clauses contractuelles types établies dans les présentes Clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou garanties supplémentaires, à condition qu’elles ne contredisent pas, directement ou indirectement, les présentes Clauses ou qu’elles ne portent pas atteinte aux droits ou libertés fondamentaux des personnes concernées.
2. Les présentes Clauses portent pas atteinte aux obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.

Clause 3

Tiers bénéficiaires

1. Les personnes concernées peuvent invoquer et faire appliquer les présentes Clauses, en tant que tiers bénéficiaires, à l’encontre de l’exportateur et/ou de l’importateur de données, sous réserve des exceptions suivantes :
   1. Clause 1, Clause 2, Clause 3, Clause 6, Clause 7;
   2. Clause 8.1(b), 8.9(a), (c), (d) and (e);
   3. Clause 9(a), (c), (d) and (e);
   4. Clause 12(a), (d) and (f);
   5. Clause 13;
   6. Clause 15.1(c), (d) and (e);
   7. Clause 16(e);
   8. (viii) Clause 18, points a) et b).
2. Le paragraphe (a) est sans préjudice des droits des personnes concernées en vertu du règlement (UE) 2016/679.

Clause 4

Interprétation

1. Lorsque les présentes Clauses utilisent des termes qui sont définis dans le Règlement (UE) 2016/679, ces termes ont la même signification que dans ledit Règlement.
2. Les présentes Clauses doivent être lues et interprétées à la lumière des dispositions du Règlement (UE) 2016/679.
3. Les présentes Clauses ne doivent pas être interprétées d’une manière qui entre en conflit avec les droits et obligations prévus par le Règlement (UE) 2016/679

Clause 5

Hiérarchie

En cas de contradiction entre les présentes Clauses et les dispositions des accords connexes entre les Parties, existant au moment où les présentes Clauses sont convenues ou conclues par la suite, les présentes Clauses prévalent.

Clause 6

Description du (des) transfert(s)

Les détails du ou des transferts, et en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles sont transférées, sont précisés à l’Annexe I.B.

Clause 7 – Omission Intentionnelle

Clause d’Amarrage

SECTION II – OBLIGATIONS DES PARTIES

Clause 8

Garanties en matière de protection des données

L’exportateur de données garantit qu’il a déployé des efforts raisonnables pour déterminer que l’importateur de données est en mesure, grâce à la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes Clauses.

1. 1. 1. Instructions
         1. L’importateur de données ne traite les données à caractère personnel que sur instruction documentée de l’exportateur de données. L’exportateur de données peut donner de telles instructions pendant toute la durée du contrat.
         2. L’importateur de données informe immédiatement l’exportateur de données s’il n’est pas en mesure de suivre ces instructions.
      2. Limitation de l’objet
         L’importateur de données ne traite les données à caractère personnel qu’aux fins spécifiques du transfert, telles qu’indiquées à l’Annexe I.B, à moins que l’exportateur de données ne lui donne d’autres instructions.
      3. Transparence
         Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes Clauses, y compris l’Annexe telle que complétée par les Parties. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, y compris les mesures décrites à l’Annexe II et les données à caractère personnel, l’exportateur de données peut expurger une partie du texte de l’Appendice des présentes Clauses avant d’en partager une copie, mais il doit fournir un résumé significatif lorsque la personne concernée ne serait autrement pas en mesure de comprendre son contenu ou d’exercer ses droits. Sur demande, les Parties fournissent à la personne concernée les raisons des expurgations, dans la mesure du possible sans révéler les informations expurgées. La présente Clause est sans préjudice des obligations de l’exportateur de données en vertu des articles 13 et 14 du Règlement (UE) 2016/679.
      4. Précision
         Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes ou périmées, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour effacer ou rectifier les données.
      5. Durée du traitement et effacement ou restitution des données
         Le traitement par l’importateur de données n’a lieu que pendant la durée spécifiée à l’Annexe I.B. Après la fin de la fourniture des services de traitement, l’importateur de données, au choix de l’exportateur de données, supprime toutes les données à caractère personnel traitées pour le compte de l’exportateur de données et certifie à ce dernier qu’il l’a fait, ou renvoie à l’exportateur de données toutes les données à caractère personnel traitées pour son compte et supprime les copies existantes. Jusqu’à ce que les données soient effacées ou renvoyées, l’importateur de données doit continuer à veiller au respect des présentes Clauses. Si les lois locales applicables à l’importateur de données interdisent la restitution ou la suppression des données à caractère personnel, l’importateur de données garantit qu’il continuera à veiller au respect des présentes Clauses et qu’il ne traitera les données que dans la mesure et pour la durée requises par ces lois locales. Ceci est sans préjudice de la clause 14, en particulier de l’obligation faite à l’importateur de données en vertu de la Clause 14(e) d’informer l’exportateur de données pendant toute la durée du contrat s’il a des raisons de croire qu’il est ou est devenu soumis à des lois ou des pratiques non conformes aux exigences de la Clause 14(a).
      6. Sécurité du traitement
         1. L’importateur de données et, lors de la transmission, l’exportateur de données mettent en œuvre les mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, y compris la protection contre toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation non autorisée de ces données ou l’accès non autorisé à celles-ci (ci-après dénommée “violation de données à caractère personnel”). Pour évaluer le niveau de sécurité approprié, les Parties tiennent dûment compte de l’état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement, ainsi que des risques que présente le traitement pour les personnes concernées. Les Parties envisagent en particulier de recourir au cryptage ou à la pseudonymisation, y compris pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée spécifique restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données. Pour se conformer aux obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles spécifiées à l’Annexe II. L’importateur de données effectue des contrôles réguliers pour s’assurer que ces mesures continuent à fournir un niveau de sécurité approprié.
         2. L’importateur de données n’accorde l’accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
         3. En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données en vertu des présentes Clauses, l’importateur de données prend les mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données notifie également l’exportateur de données dans un délai raisonnable après avoir pris connaissance de la violation. Cette notification contient les coordonnées d’un point de contact où de plus amples informations peuvent être obtenues, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et de dossiers de données à caractère personnel concernés), ses conséquences probables et les mesures prises ou proposées pour y remédier, y compris, le cas échéant, les mesures visant à en atténuer les éventuels effets néfastes. Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations alors disponibles et les informations complémentaires sont fournies ultérieurement, au fur et à mesure qu’elles sont disponibles, sans retard injustifié.
         4. L’importateur de données coopère avec l’exportateur de données et l’aide à respecter ses obligations au titre du Règlement (UE) 2016/679, notamment pour notifier l’autorité de contrôle compétente et les personnes concernées qui sont affectées, en tenant compte de la nature du traitement et des informations dont dispose l’importateur de données.
      7. Données sensibles
         Lorsque le transfert porte sur des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après dénommées “données sensibles”), l’importateur de données applique les restrictions spécifiques et/ou les garanties supplémentaires décrites à l’Annexe I.B.
      8. Transferts ultérieurs

         L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instruction documentée de l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne⁵ (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après “transfert ultérieur”) que si le tiers est ou accepte d’être lié par les présentes Clauses, en vertu du Module approprié, ou si :

         1. le transfert ultérieur se fait vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du Règlement (UE) 2016/679 qui couvre le transfert ultérieur ;
         2. le tiers assure autrement des garanties appropriées conformément aux articles 46 ou 47 du Règlement (UE) 2016/679 en ce qui concerne le traitement en question ;
         3. le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou
         4. le transfert ultérieur est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique.

         ---

         ⁵L’accord sur l’Espace économique européen (accord EEE) prévoit l’extension du marché intérieur de l’Union européenne aux trois États de l’EEE que sont l’Islande, le Liechtenstein et la Norvège. La législation de l’Union en matière de protection des données, y compris le Règlement (UE) 2016/679, est couverte par l’accord EEE et a été intégrée à l’annexe XI de celui-ci. Par conséquent, toute divulgation par l’importateur de données à un tiers situé dans l’EEE n’est pas considérée comme un transfert ultérieur aux fins des présentes Clauses.

   Tout transfert ultérieur est subordonné au respect par l’importateur de données de toutes les autres garanties prévues par les présentes Clauses, en particulier la limitation de la finalité.

   1. Documentation et conformité
      1. L’importateur de données traite rapidement et de manière adéquate les demandes de l’exportateur de données relatives au traitement en vertu des présentes Clauses.
      2. Les parties doivent être en mesure de démontrer qu’elles respectent les présentes Clauses. En particulier, l’importateur de données conserve une documentation appropriée sur les activités de traitement effectuées pour le compte de l’exportateur de données.
      3. L’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes Clauses et, à la demande de l’exportateur de données, autorise et contribue à des audits des activités de traitement couvertes par les présentes Clauses, à des intervalles raisonnables ou s’il existe des indices de non-respect. En décidant d’un examen ou d’un audit, l’exportateur de données peut prendre en compte les certifications pertinentes détenues par l’importateur de données.
      4. L’exportateur de données peut choisir d’effectuer l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent comprendre des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.
      5. Les parties mettent les informations visées aux paragraphes b) et c), y compris les résultats de tout audit, à la disposition de l’autorité de contrôle compétente qui en fait la demande.

Clause 9

Utilisation de sous-traitants ultérieurs

1. OPTION 1 : AUTORISATION PRÉCÉDENTE SPÉCIFIQUE L’importateur de données ne sous-traite aucune des activités de traitement effectuées pour le compte de l’exportateur de données en vertu des présentes clauses à un sous-traitant ultérieur sans l’autorisation écrite spécifique préalable de l’exportateur de données. L’importateur de données soumet la demande d’autorisation spécifique au moins[préciser le délai] avant l’engagement du sous-traitant ultérieur, accompagnée des informations nécessaires pour permettre à l’exportateur de données de se prononcer sur l’autorisation. La liste des sous-traitants ultérieurs déjà autorisés par l’exportateur de données figure à l’Annexe III. Les parties tiennent l’Annexe III à jour.
   OPTION 2 : AUTORISATION GÉNÉRALE ÉCRITE L’importateur de données dispose de l’autorisation générale de l’exportateur de données pour l’engagement de sous-traitants ultérieurs figurant sur une liste convenue. L’importateur de données informe spécifiquement l’exportateur de données par écrit de toute modification envisagée de cette liste par l’ajout ou le remplacement de sous-traitants ultérieurs au moins[préciser le délai] à l’avance, ce qui donne à l’exportateur de données suffisamment de temps pour pouvoir s’opposer à ces modifications avant l’engagement du/des sous-traitant(s) ultérieur(s). L’importateur de données fournit à l’exportateur de données les informations nécessaires pour permettre à ce dernier d’exercer son droit d’opposition.
2. Lorsque l’importateur de données engage un sous-traitant ultérieur pour effectuer des activités de traitement spécifiques (pour le compte de l’exportateur de données), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données en vertu des présentes clauses, y compris en ce qui concerne les droits des tiers bénéficiaires pour les personnes concernées. Les Parties conviennent qu’en se conformant à la présente Clause, l’importateur de données remplit ses obligations au titre de la Clause 8.8. L’importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles l’importateur de données est soumis en vertu des présentes Clauses.
3. L’importateur de données fournit à l’exportateur de données, à la demande de ce dernier, une copie de cet accord de sous-traitance et de toute modification ultérieure. Dans la mesure où cela est nécessaire pour protéger des secrets d’affaires ou d’autres informations confidentielles, y compris des données à caractère personnel, l’importateur de données peut expurger le texte de l’accord avant d’en partager une copie.
4. L’importateur de données reste pleinement responsable vis-à-vis de l’exportateur de données de l’exécution des obligations du sous-traitant ultérieur en vertu de son contrat avec l’importateur de données. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu de ce contrat.
5. L’importateur de données convient avec le sous-traitant ultérieur d’une clause de tiers bénéficiaire en vertu de laquelle – dans le cas où l’importateur de données a effectivement disparu, a cessé d’exister en droit ou est devenu insolvable – l’exportateur de données a le droit de résilier le contrat de sous-traitance ultérieure et d’ordonner au sous-traitant ultérieur d’effacer ou de restituer les données à caractère personnel.

Clause 10

Droits des personnes concernées

1. L’importateur de données notifie sans délai à l’exportateur de données toute demande qu’il a reçue d’une personne concernée. Il ne répond pas lui-même à cette demande, sauf s’il a été autorisé à le faire par l’exportateur de données.
2. (b) L’importateur de données aide l’exportateur de données à s’acquitter de ses obligations de répondre aux demandes des personnes concernées concernant l’exercice de leurs droits en vertu du Règlement (UE) 2016/679. À cet égard, les parties définissent à l’Annexe II les mesures techniques et organisationnelles appropriées, en tenant compte de la nature du traitement, par lesquelles l’assistance doit être fournie, ainsi que la portée et l’étendue de l’assistance requise.
   

   ---

   ⁶ Cette exigence peut être satisfaite par l’adhésion du sous-traitant ultérieur aux présentes Clauses dans le cadre du module approprié, conformément à la Clause 7.

3. (c) En remplissant ses obligations au titre des paragraphes a) et b), l’importateur de données se conforme aux instructions de l’exportateur de données.

Clause 11

Redressement

1. L’importateur de données informe les personnes concernées, dans un format transparent et aisément accessible, par le biais d’une notification individuelle ou sur son site web, d’un point de contact habilité à traiter les réclamations. Il traite rapidement toute réclamation qu’il reçoit de la part d’une personne concernée.
2. En cas de différend entre une personne concernée et l’une des Parties en ce qui concerne le respect des présentes Clauses, cette Partie met tout en œuvre pour résoudre le problème à l’amiable dans les meilleurs délais. Les Parties se tiennent mutuellement informées de ces différends et, le cas échéant, coopèrent pour les résoudre.
3. (c) Lorsque la personne concernée invoque un droit de tiers bénéficiaire en vertu de la Clause 3, l’importateur de données accepte la décision de la personne concernée de :
   1. déposer une plainte auprès de l’autorité de contrôle de l’État membre de sa résidence habituelle ou de son lieu de travail, ou auprès de l’autorité de contrôle compétente en vertu de la Clause 13 ;
   2. porter le différend devant les tribunaux compétents au sens de la Clause 18.
4. Les Parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions prévues à l’article 80, paragraphe 1, du Règlement (UE) 2016/679.
5. L’importateur de données doit se conformer à une décision contraignante en vertu du droit de l’UE ou de l’État membre applicable.
6. L’importateur de données convient que le choix effectué par la personne concernée ne portera pas atteinte à ses droits substantiels et procéduraux de demander réparation conformément aux lois applicables.

Clause 12

Responsabilité

1. Chaque Partie est responsable à l’égard de l’autre ou des autres Parties de tout dommage causé à l’autre ou aux autres Parties en raison d’une violation des présentes Clauses.
2. L’importateur de données est responsable envers la personne concernée, et la personne concernée a le droit d’être indemnisée, pour tout dommage matériel ou moral que l’importateur de données ou son sous-traitant ultérieur cause à la personne concernée en violant les droits des tiers bénéficiaires en vertu des présentes Clauses.
3. Nonobstant le paragraphe b), l’exportateur de données est responsable envers la personne concernée, et la personne concernée a le droit d’être indemnisée, pour tout dommage matériel ou moral que l’exportateur de données ou l’importateur de données (ou son sous-traitant ultérieur) cause à la personne concernée en violant les droits du tiers bénéficiaire en vertu des présentes Clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données et, lorsque l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du traitement, de la responsabilité du responsable du traitement en vertu du Règlement (UE) 2016/679 ou du Règlement (UE) 2018/1725, le cas échéant.
4. Les Parties conviennent que si l’exportateur de données est tenu responsable, en vertu du paragraphe c), des dommages causés par l’importateur de données (ou son sous-traitant ultérieur), il a le droit de réclamer à l’importateur de données la partie de l’indemnisation correspondant à la responsabilité de l’importateur de données dans le dommage.
5. Lorsque plusieurs parties sont responsables de tout dommage causé à la personne concernée du fait d’une violation des présentes Clauses, toutes les Parties responsables sont conjointement et solidairement responsables et la personne concernée a le droit d’intenter une action en justice contre l’une quelconque de ces Parties.
6. Les Parties conviennent que si l’une d’entre elles est tenue responsable en vertu du paragraphe (e), elle est en droit de réclamer à l’autre/aux autres Partie(s) la partie de l’indemnisation correspondant à sa/leur responsabilité dans le dommage.
7. L’importateur de données ne peut pas invoquer le comportement d’un sous-traitant ultérieur pour se soustraire à sa propre responsabilité.

Clause 13

Supervision

1. Lorsque l’exportateur de données est établi dans un État membre de l’UE : L’autorité de contrôle chargée de veiller au respect par l’exportateur de données du Règlement (UE) 2016/679 en ce qui concerne le transfert de données, comme indiqué à l’annexe I.C, agit en tant qu’autorité de contrôle compétente.
   Lorsque l’exportateur de données n’est pas établi dans un État membre de l’UE, mais relève du champ d’application territorial du Règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, et a désigné un représentant conformément à l’article 27, paragraphe 1, du Règlement (UE) 2016/679 : L’autorité de contrôle de l’État membre dans lequel est établi le représentant au sens de l’article 27, paragraphe 1, du Règlement (UE) 2016/679, tel qu’indiqué à l’annexe I.C, agit en tant qu’autorité de contrôle compétente.
   Lorsque l’exportateur de données n’est pas établi dans un État membre de l’UE, mais relève du champ d’application territorial du règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, sans toutefois devoir désigner un représentant conformément à l’article 27, paragraphe 2, du règlement (UE) 2016/679 : L’autorité de contrôle de l’un des États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont transférées en vertu des présentes Clauses dans le cadre de l’offre de biens ou de services qui leur est faite, ou dont le comportement est surveillé, comme indiqué à l’annexe I.C, agit en tant qu’autorité de contrôle compétente.
2. L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à assurer le respect des présentes Clauses. En particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, y compris les mesures correctives et compensatoires. Il fournit à l’autorité de contrôle une confirmation écrite que les mesures nécessaires ont été prises.

SECTION III – LOIS ET OBLIGATIONS LOCALES EN CAS D’ACCÈS PAR LES AUTORITÉS PUBLIQUES

Clause 14

Lois et pratiques locales affectant le respect des Clauses

1. Les Parties garantissent qu’elles n’ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, y compris toute obligation de divulguer des données à caractère personnel ou toute mesure autorisant l’accès des autorités publiques, empêchent l’importateur de données de remplir ses obligations au titre des présentes Clauses. Cela repose sur la notion que les lois et pratiques qui respectent l’essence des droits et libertés fondamentaux et n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l’un des objectifs énumérés à l’article 23, paragraphe 1, du Règlement (UE) 2016/679, ne sont pas en contradiction avec les présentes Clauses.
2. Les Parties déclarent qu’en fournissant la garantie visée au paragraphe (a), elles ont tenu dûment compte, en particulier, des éléments suivants :
   1. les circonstances spécifiques du transfert, y compris la longueur de la chaîne de traitement, le nombre d’acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées ;
   2. les lois et pratiques du pays tiers de destination – y compris celles exigeant la divulgation de données aux autorités publiques ou autorisant l’accès de ces autorités – pertinent à la lumière des circonstances particulières du transfert, ainsi que les limitations et garanties applicables⁸ ;
      

      ---

      ⁸En ce qui concerne l’impact de ces lois et pratiques sur le respect des présentes Clauses, différents éléments peuvent être pris en compte dans le cadre d’une évaluation globale. Ces éléments peuvent inclure une expérience pratique pertinente et documentée concernant des cas antérieurs de demandes de divulgation émanant d’autorités publiques, ou l’absence de telles demandes, sur une période suffisamment représentative. Il s’agit en particulier de registres internes ou d’autres documents, établis de manière continue conformément à la diligence raisonnable et certifiés au niveau de la direction générale, pour autant que ces informations puissent être légalement partagées avec des tiers. Lorsque cette expérience pratique est invoquée pour conclure que l’importateur de données ne sera pas empêché de se conformer à ces Clauses, elle doit être étayée par d’autres éléments pertinents et objectifs, et il appartient aux Parties d’examiner attentivement si ces éléments ont, ensemble, un poids suffisant, en termes de fiabilité et de représentativité, pour étayer cette conclusion. En particulier, les Parties doivent tenir compte du fait que leur expérience pratique est corroborée et non contredite par des informations fiables, disponibles publiquement ou autrement accessibles, sur l’existence ou l’absence de demandes dans le même secteur et/ou sur l’application de la loi dans la pratique, telles que la jurisprudence et les rapports d’organes de contrôle indépendants.

   3. toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes Clauses, y compris les mesures appliquées lors de la transmission et du traitement des données à caractère personnel dans le pays de destination.
3. L’importateur de données garantit que, dans le cadre de l’évaluation visée au point b), il s’est efforcé de fournir à l’exportateur de données les informations pertinentes et convient qu’il continuera à coopérer avec l’exportateur de données pour assurer le respect des présentes Clauses.
4. Les Parties conviennent de documenter l’évaluation visée au point b) et de la mettre à la disposition de l’autorité de surveillance compétente sur demande.
5. L’importateur de données accepte de notifier rapidement à l’exportateur de données si, après avoir accepté les présentes Clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à des lois ou à des pratiques non conformes aux exigences du paragraphe a), y compris à la suite d’une modification des lois du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application de ces lois dans la pratique qui n’est pas conforme aux exigences du paragraphe a).
6. À la suite d’une notification conformément au paragraphe e), ou si l’exportateur de données a des raisons de croire que l’importateur de données ne peut plus remplir ses obligations au titre des présentes Clauses, l’exportateur de données identifie rapidement les mesures appropriées (par exemple, les mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) à adopter par l’exportateur de données et/ou l’importateur de données pour remédier à la situation. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée ne peut être assurée pour ce transfert, ou si l’autorité de contrôle compétente lui en donne l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement des données à caractère personnel en vertu des présentes Clauses. Si le contrat implique plus de deux Parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la Partie concernée, à moins que les Parties n’en aient convenu autrement. Lorsque le contrat est résilié en vertu de la présente Clause, la Clause 16, points d) et e), s’applique.

Clause 15

Obligations de l’importateur de données en cas d’accès par les autorités publiques

1. 1. Notification
      1. L’importateur de données accepte de notifier rapidement (si nécessaire avec l’aide de l’exportateur de données) à l’exportateur de données et, dans la mesure du possible, à la personne concernée, s’il :
         1. reçoit une demande juridiquement contraignante d’une autorité publique, y compris des autorités judiciaires, en vertu des lois du pays de destination, pour la divulgation de données à caractère personnel transférées conformément aux présentes Clauses ; cette notification comprendra des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse apportée ; ou
         2. apprend que les autorités publiques ont un accès direct aux données à caractère personnel transférées en vertu des présentes Clauses, conformément aux lois du pays de destination ; cette notification comprendra toutes les informations dont dispose l’importateur.
      2. Si la législation du pays de destination interdit à l’importateur de données de notifier l’exportateur de données et/ou la personne concernée, l’importateur de données s’engage à faire de son mieux pour obtenir une dérogation à l’interdiction, en vue de communiquer le plus d’informations possible, dans les meilleurs délais. L’importateur de données accepte de documenter ses meilleurs efforts afin de pouvoir les démontrer à la demande de l’exportateur de données.
      3. Si la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, l’autorité/les autorités requérante(s), si les demandes ont été contestées et l’issue de ces contestations, etc.
      4. L’importateur de données s’engage à conserver les informations visées aux paragraphes a) à c) pendant la durée du contrat et à les mettre à la disposition de l’autorité de contrôle compétente sur demande.
      5. Les paragraphes a) à c) sont sans préjudice de l’obligation de l’importateur de données, conformément à la Clause 14, point e), et à la clause 16, d’informer rapidement l’exportateur de données lorsqu’il n’est pas en mesure de se conformer aux présentes clauses.
   2. Examen de la légalité et de la minimisation des données
      1. L’importateur de données accepte d’examiner la légalité de la demande de divulgation, en particulier si elle reste dans les limites des pouvoirs accordés à l’autorité publique requérante, et de contester la demande si, après une évaluation minutieuse, il conclut qu’il y a des motifs raisonnables de considérer que la demande est illégale en vertu des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de la courtoisie internationale. L’importateur de données doit, dans les mêmes conditions, exercer des voies de recours. Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires en vue de suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente ait statué sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas tenu de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations de l’importateur de données au titre de la Clause 14(e).
      2. L’importateur de données accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure où les lois du pays de destination le permettent, de mettre la documentation à la disposition de l’exportateur de données. Sur demande, il la met également à la disposition de l’autorité de contrôle compétente.
      3. L’importateur de données s’engage à fournir la quantité minimale d’informations autorisée lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.

SECTION IV – DISPOSITIONS FINALES

Clause 16

Non-respect des Clauses et résiliation

1. L’importateur de données informe rapidement l’exportateur de données s’il n’est pas en mesure de respecter les présentes Clauses, quelle qu’en soit la raison.
2. Si l’importateur de données ne respecte pas les présentes Clauses ou n’est pas en mesure de le faire, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que la conformité soit à nouveau assurée ou que le contrat soit résilié. Ceci est sans préjudice de la Clause 14(f).
3. Si l’importateur de données ne respecte pas les présentes Clauses ou n’est pas en mesure de le faire, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que la conformité soit à nouveau assurée ou que le contrat soit résilié. Ceci est sans préjudice de la Clause 14(f).
   1. l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données conformément au paragraphe b) et le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension ;
   2. l’importateur de données enfreint de manière substantielle ou persistante les présentes Clauses ; ou
   3. l’importateur de données ne se conforme pas à une décision contraignante d’un tribunal compétent ou d’une autorité de contrôle concernant les obligations qui lui incombent en vertu des présentes Clauses.

   Dans ces cas, il informe l’autorité de contrôle compétente de ce non-respect. Lorsque le contrat implique plus de deux Parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la Partie concernée, à moins que les Parties n’en aient convenu autrement.

4. Les données à caractère personnel qui ont été transférées avant la résiliation du contrat conformément au paragraphe c) sont, au choix de l’exportateur de données, immédiatement renvoyées à l’exportateur de données ou supprimées dans leur intégralité. Il en va de même pour toute copie des données. L’importateur de données certifie la suppression des données à l’exportateur de données. Jusqu’à ce que les données soient supprimées ou renvoyées, l’importateur de données doit continuer à veiller au respect des présentes Clauses. Si les lois locales applicables à l’importateur de données interdisent la restitution ou la suppression des données à caractère personnel transférées, l’importateur de données garantit qu’il continuera à veiller au respect des présentes Clauses et qu’il ne traitera les données que dans la mesure et pour la durée requises par ces lois locales.
5. Chaque Partie peut révoquer son accord d’être liée par les présentes Clauses lorsque (i) la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du Règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes Clauses s’appliquent ; ou (ii) le Règlement (UE) 2016/679 devient partie intégrante du cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice d’autres obligations s’appliquant au traitement en question en vertu du Règlement (UE) 2016/679.

Clause 17

Droit applicable

Les présentes Clauses sont régies par le droit de l’État membre de l’UE dans lequel l’exportateur de date est établi. Si ce droit ne prévoit pas de droits pour les tiers bénéficiaires, ils sont régis par le droit d’un autre État membre de l’UE qui prévoit des droits pour les tiers bénéficiaires. Les Parties conviennent qu’il s’agit du droit de la République d’Irlande.

Clause 18

Choix du for et de la juridiction

1. Tout litige découlant des présentes Clauses sera réglé par les tribunaux d’un État membre de l’UE.
2. Les Parties conviennent que les tribunaux de Paris, en France, seront compétents.
3. Une personne concernée peut également intenter une action en justice contre l’exportateur et/ou l’importateur de données devant les tribunaux de l’État membre dans lequel elle a sa résidence habituelle.
4. Les Parties conviennent de se soumettre à la juridiction de ces tribunaux.

APPENDIX

NOTE EXPLICATIVE :

Il doit être possible de distinguer clairement les informations applicables à chaque transfert ou catégorie de transferts et, à cet égard, de déterminer le(s) rôle(s) respectif(s) des Parties en tant qu’exportateur(s) de données et/ou importateur(s) de données. Cela ne nécessite pas nécessairement de remplir et de signer des appendices distincts pour chaque transfert/catégorie de transferts et/ou relation contractuelle, lorsque cette transparence peut être obtenue au moyen d’un seul appendice. Toutefois, si cela s’avère nécessaire pour garantir une clarté suffisante, il convient d’utiliser des appendices séparés.

ANNEXE I

A. LISTE DES PARTIES

Exportateur(s) de données : [Identité et coordonnées de l’exportateur ou des exportateurs de données et, le cas échéant, de son/ses délégué(s) à la protection des données et/ou de son/ses représentant(s) dans l’Union européenne].

1. Nom:

Adresse:

…

Nom, fonction et coordonnées de la personne de contact : … Activités pertinentes pour les données transférées en vertu des présentes Clauses : … Signature et date : …

Rôle (responsable du traitement/sous-traitant) :

2. …

Importateur(s) de données : [Identité et coordonnées de l’importateur ou des importateurs de données, y compris toute personne de contact responsable de la protection des données].

1. Nom: Veritone, Inc. et/ou l’une de ses filiales ou l’un de ses affiliés signataire(s) de l’Accord.

Nom, fonction et coordonnées de la personne de contact :

[email protected]

Activités pertinentes pour les données transférées en vertu des présentes Clauses : … Signature et date : …

Rôle (responsable du traitement/sous-traitant) : Sous-traitant

B. DESCRIPTION DU TRANSFERT

Catégories de personnes concernées dont les données à caractère personnel sont transférées

………………………..

Catégories de données à caractère personnel transférées

………………………..

Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme par exemple une limitation stricte de la finalité, des restrictions d’accès (y compris un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.

………………………..

La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).

………………………..

Nature du traitement

………………………..

Finalité(s) du transfert et du traitement ultérieur des données

………………………..

La durée de conservation des données à caractère personnel ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée

………………………..

Pour les transferts aux sous-traitants (ultérieurs), préciser également l’objet, la nature et la durée du traitement.

………………………..

C. L’AUTORITÉ DE CONTRÔLE COMPÉTENTE

Identifier la ou les autorité(s) de contrôle compétente(s) conformément à la Clause 13

………………………..