OBLIGATIONS GÉNÉRALES EN MATIÈRE DE CONFIDENTIALITÉ
DERNIÈRE MISE À JOUR: 12 mars 2024
- Les présentes obligations générales en matière de confidentialité (les « Obligations générales en matière de confidentialité ») énoncent un certain nombre d'obligations en matière de protection des données que nous demandons à nos fournisseurs et autres partenaires (collectivement, les « Partenaires ») de respecter dans le cadre de la fourniture de produits et services à notre intention. Ces Obligations générales en matière de confidentialité complètent tout contrat que nous avons conclu avec nos Partenaires et en font partie intégrante lorsque les présentes Obligations générales en matière de confidentialité y ont été intégrées (le « Contrat »).
- Les différentes sections des présentes Obligations générales en matière de confidentialité s'appliquent en fonction de notre relation avec chaque Partenaire. Chaque section précise dans quels cas elle s’applique.
- Cette section s'applique à tous les Partenaires.
- Aux fins des présentes Obligations générales en matière de confidentialité, les termes ci-après ont le sens qui leur est attribué comme suit :
- Sauf expressément déterminé dans le Contrat, « IA » ou « Intelligence Artificielle » désigne et inclut toute forme d'intelligence artificielle ou de technologie de l'information, quelles que soient les techniques spécifiques ou modalités d'approche employées, qui manifeste la capacité d'exécuter des tâches, simuler des capacités cognitives semblables à celle de l'homme, ou de générer des résultats, comme des contenus, des prédictions, des recommandations ou des décisions. Sont inclus, sans limitation, les technologies et méthodologies telles que l'apprentissage automatique ou machine learning (supervisé, non supervisé, par renforcement, dont le l'apprentissage profond ou deep learning et les réseaux neuronaux), l'IA générative, le traitement automatique du langage naturel, la vision par ordinateur, les grands modèles de langage (ou « large language models », « LLM »), les approches fondées sur la logique et les connaissances (dont la représentation des connaissances, la programmation inductive, les bases de connaissances, les moteurs d'inférence et de déduction, le raisonnement et les systèmes experts), ainsi que les techniques statistiques. L'IA comprend toutes les avancées, méthodologies et applications actuelles ou futures dans le domaine de l'intelligence artificielle, ainsi que toutes autres technologies qui ne seraient pas explicitement mentionnée aux présentes et qui seraient en cours de développement ou d'émergence.
- Un « Résultat IA » désigne le résultat généré par une IA à partir d'instructions saisies ;
- La « Prise de décision automatisée » se rapporte à une décision relevant d'une Personne Concernée prise à l'aide de tout système, logiciel ou traitement (notamment par l'intermédiaire d'une IA) prise sans aucune intervention humaine ou qui facilite la prise de décision humaine ;
- « Responsable du traitement » désigne la personne physique ou morale qui, seule ou conjointement, détermine les finalités et les moyens du Traitement des Données à caractère personnel ;
- « Client », « nous », « notre » et « nos » désignent : (i) l'entité Warner Bros. Discovery identifiée dans le Contrat et partie à celui-ci ; et (ii) toute société affiliée ou filiale qui contrôle, qui est contrôlée par, ou qui est sous contrôle conjoint avec l'entité Warner Bros. Discovery désignée dans le Contrat ;
- « Loi sur la protection des Données personnelles » désigne toute constitution, toute loi, tout statut, tout traité, toute règle, tout règlement, toute ordonnance, tout code, fédéraux, étatiques, provinciaux, locaux, municipaux, étrangers, internationaux, multinationaux ou autre, ou une recommandation adopté(e) par les autorités compétentes pour les interpréter ou imposer leur application, relative au traitement des données à caractère personnel, la vie privée, la protection des données (la protection des Données à caractère personnel), ou la cybersécurité, et tels que modifiés à tout moment ;
- « Personne concernée » désigne la personne à laquelle se rapportent les Données à caractère personnel ;
- « Demande d'une personne concernée » désigne toute demande d'information, d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité, d'opposition, de refus de vente, de suppression et toutes les autres demandes similaires d'une Personne concernée ;
- « Description du Traitement » désigne la description du Traitement des Données à caractère personnel par un Partenaire en vertu du Contrat ;
- « EEE » désigne l'Espace économique européen ;
- « Transfert de données hors de l'EEE » désigne le transfert de Données à caractère personnel : (a) régi par le RGPD ; (b) vers un destinataire dans un pays ou territoire situé en dehors de l'EEE ; et (c) qui n'est pas couvert par une décision d'adéquation prise par la Commission européenne ;
- « Clauses contractuelles types de l'EEE » désignent les clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du Règlement (UE) 2016/679 du Parlement européen et du Conseil, adoptées par décision de la Commission européenne du 4 février 2021 C(2021) 3972, disponibles à l'adresse; https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32021D0914
- « RGPD » désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (Règlement général sur la protection des données) ;
- « Obligations en matière de sécurité de l'information » désignent toutes les obligations applicables en matière de sécurité de l'information qui sont jointes au Contrat ou qui en font partie intégrante ;
- « Autre Transfert de Données à caractère personnel » désigne un transfert de Données à caractère personnel : (i) qui est régi par la législation d'un pays qui limite le transfert de Données à caractère personnel vers un autre pays qui n'est pas considéré adéquat pour recevoir des Données à caractère personnel (« Pays restrictif ») ; et (ii) qui n'est pas un Transfert de données hors de l'EEE ou un Transfert de données hors du Royaume-Uni ;
- « Données à caractère personnel » désignent les informations relatives à une personne physique identifiée ou identifiable, y compris les informations définies comme des « données d'identification », des « informations personnelles », des « données personnelles » ou définies par d'autres termes similaires en vertu des Lois sur la protection des Données personnelles, qui se limitent aux Données à caractère personnel Traitées par le Partenaire dans le cadre du Contrat ;
- « Traitement », « Traiter », « Traite(nt) », ou « Traitées » désignent une opération, ou un ensemble d'opérations, portant sur des Données à caractère personnel, par des moyens automatiques ou non , y compris la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation, la modification, la consultation, l'utilisation, la communication par transmission, le transfert, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou la combinaison, la limitation, l'effacement ou la destruction des Données à caractère personnel ;
- « Sous-traitant » désigne la personne physique ou morale qui Traite les Données à caractère personnel pour le compte du Responsable de traitement ;
- « Incident de sécurité » désigne : (i) tout acquisition, perte, accès, utilisation ou utilisation abusive, ou perte des possibilités d'utiliser les Données à caractère personnel, de manière non autorisée (y compris la perte des supports de stockage sur lesquels sont conservées les Données à caractère personnel) ; ou (ii) toute violation de la sécurité ayant pour conséquence la destruction, la perte, l'altération, l'utilisation ou l'utilisation abusive, la divulgation non autorisée de Données à caractère personnel, ou l'accès à de telles données, de manière accidentelle ou illicite ;
- « Données personnelles sensibles » désignent les Données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, la santé physique ou mentale, la vie sexuelle ou l'orientation sexuelle; le Traitement des données génétiques, de données biométriques aux fins d'identifier une Personne concernée de manière unique; les Données à caractère personnel relatives aux condamnations pénales et infractions ou mesures de sécurité associées, les numéros d'identification émis par le gouvernement, les identifiants de connexion, les numéros des comptes bancaires y compris les numéros de carte de paiement, les données précises de localisation, les contenus des communications qui ne sont pas directement adressés au Partenaire ou au Client, et les sous-catégories des Données à caractère personnel qui sont réputées « sensibles » ou qui nécessitent une protection renforcée au titre des Lois sur la protection des Données personnelles en vigueur ;
- « Services » ont le sens qui leur est attribué dans le Contrat ou, à défaut d'y être définis, désignent les produits ou services qui nous sont fournis par le Partenaire en vertu du Contrat ;
- « Sous-traitant ultérieur » désigne la personne physique ou morale qui Traite les Données à caractère personnel pour le compte d'un Sous-traitant ;
- Les « Données d'apprentissage » désignent toute information utilisée pour exercer, améliorer ou développer de quelque manière que ce soit les capacités d'une IA ;
- « Transfert de données hors du Royaume-Uni » désigne le transfert de Données à caractère personnel : (a) régi par le RGPD du Royaume-Uni ; (b) vers un destinataire dans un pays ou territoire situé en dehors du Royaume-Uni ; et (c) qui n'est pas couvert par décision d'adéquation prise par le secrétaire d'État britannique ;
- « RGPD du Royaume-Uni » désigne le RGPD tel qu'intégré aux lois en vigueur en Angleterre et au Pays de Galles, en Écosse et en Irlande du Nord en vertu de l'article 3 du European Union (Withdrawal) Act 2018 (Loi sur le retrait de l'Union européenne) ; et
- « Addendum aux CCT du Royaume-Uni » désigne le modèle d'addendum publié par l'Information Commissioner Office (ICO) du Royaume-Uni et déposé devant le Parlement conformément à l'article s119A de la Loi sur la protection des données de 2018 le 2 février 2022, tel que révisé en vertu de l'article 18 et disponible à l'adresse https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.
- Cette section s'applique à tous les Partenaires.
- Respect de la loi. Le Partenaire respecte toutes les Lois sur la protection des Données personnelles applicables et offre un niveau de protection des données approprié conformément à ses obligations prévues aux présentes. Le Partenaire informe le Client à l'adresse wbdprivacy@wbd.com s'il n'est plus en mesure de respecter ses obligations au titre de la Loi sur la protection des Données personnelles. Le Client aura le droit de prendre les mesures appropriées visant à faire cesser et à corriger tout Traitement non autorisé de Données à caractère personnel par le Partenaire.
- Sécurité. Le Partenaire mettra en place et maintiendra des mesures techniques et organisationnelles appropriées et adéquates afin de protéger les Données à caractère personnel. Les mesures de sécurité du Partenaire doivent viser à : (i) garantir la confidentialité, la disponibilité, et l'intégrité des Données à caractère personnel ; (ii) assurer une protection contre toute menace ou risque prévisible pour la sécurité ou l'intégrité des Données à caractère personnel ; et (iii) protéger les Données à caractère personnel contre leur Traitement non autorisé.
- Communication des tiers. Si un Partenaire reçoit une communication d'une personne physique, d'un régulateur, d'une administration publique ou d'un autre tiers qui concerne :
- Le Traitement par le Partenaire des Données à caractère personnel dans le cadre du Contrat ; ou
- Le Traitement par le Client des Données à caractère personnel,
Le Partenaire (sauf si la loi l’interdit) doit en informer immédiatement le Client (à l'adresse wbdprivacy@wbd.com) en lui donnant tous les détails de cette communication, et doit coopérer dans toute la mesure raisonnablement exigée par le Client pour répondre à cette communication. Le Partenaire ne peut répondre directement à ces communications sans autorisation préalable du Client, sauf en cas d'obligation légale.
- Réponse aux demandes et aux incidents. Le Partenaire s'abstiendra de mentionner le Client (ou une filiale ou société affiliée du Client) sans avoir préalablement obtenu l'accord écrit de celui-ci, dans toute : (i) réponse à une Personne concernée ; (ii) communication publique relative au Traitement ; (iii) notification d'un Incident de sécurité, ou (iv) divulgation faite à une autorité chargée de la protection de données ou à une autre entité légale en ce qui concerne le Traitement.
- Durée et survie.
- Les présentes Obligations générales en matière de confidentialité prendront fin si le Partenaire cesse de Traiter les Données à caractère personnel dans le cadre du Contrat.
- Sauf mention contraire dans la présente section 3 (Conditions pour tous les Partenaires), les Sections 3.4, 3.5, 3.8 et 7 resteront en vigueur après la résiliation ou l'expiration du Contrat et des présentes Obligations générales en matière de confidentialité.
- Traductions. En cas de conflit entre la version anglaise des présentes Obligations générales en matière de confidentialité et une autre version dans une autre langue, la version anglaise prévaudra.
- Absence de limitation de responsabilité. Afin de lever toute ambiguïté, les responsabilités des parties au titre des présentes Obligations générales en matière de confidentialité ne sont pas soumises aux clauses limitatives ou exonératoires de responsabilité figurant dans le Contrat.
- Aucun accord de partenariat. Rien dans ces Obligations générales en matière de confidentialité ne sera réputé former un contrat de travail, de coentreprise, d'agence ou de partenariat entre les parties, et aucune des parties n'est autorisée ni n'agira à l'égard d'une tierce partie, d'une entité individuelle ou du public de manière à suggérer l'existence d'un tel accord.
- Cette section s'applique dans la mesure où :
- Le Partenaire Traite des Données à caractère personnel en tant que Sous-traitant pour le compte du Client ; ou
- Le Contrat indique expressément que la présente section s'applique.
- Instructions. Le Partenaire ne Traitera les Données à caractère personnel que conformément aux instructions documentées du Client (sauf obligation contraire de Traiter ces Données à caractère personnel conformément à une obligation légale à laquelle est soumis le Partenaire, auquel cas le Partenaire informera le Client de l'existence d'une telle exigence légale avant de procéder au Traitement, à moins que cette obligation légale lui interdise d'en informer le Client). Les instructions documentées du Client visent à Traiter les Données à caractère personnel : (i) dans la mesure nécessaire pour permettre au Partenaire de fournir les Services et d'exécuter toute autre obligation imposée par le Contrat ; et (ii), de temps à autre, tel que formulé par le Client par écrit. Le Partenaire doit informer immédiatement le Client de toute directive ou instruction écrite du Client, qui selon lui est contraire à la Loi sur la protection des Données personnelles applicable.
- Description du Traitement. Une description de l'objet et la durée du Traitement, la nature et la finalité du Traitement, les catégories de Données à caractère personnel et les catégories de Personnes concernées, figurent dans la Description du Traitement.
- Limitation d'utilisation. Le Partenaire ne doit pas : (i) vendre les Données à caractère personnel ou les divulguer en échange d'une contrepartie monétaire ou de toute autre contrepartie de valeur ; (ii) Traiter les Données à caractère personnel à d'autres fins que celle de fournir les Services ou respecter des directives du Client ; (iii) Traiter les Données à caractère personnel autrement que dans le cadre de sa relation commerciale directe avec le Client ; ou (iv) combiner les Données à caractère personnel avec des données personnelles reçues de ou pour le compte d'autres personnes, ou collectées auprès de consommateurs. Le Partenaire garantit qu'il comprend et qu'il respectera les limitations imposées par la présente section.
- Demandes des Personnes concernées. Le Partenaire informe immédiatement le Client de toute communication ou Demande d'une Personne concernée ou faite pour le compte d'une Personne concernée, relative aux Données à caractère personnel qu'il Traite dans le cadre des Services, sans répondre à la Personne concernée sauf pour accuser réception de cette communication ou de la Demande de la Personne concernée (sauf disposition contraire de la Loi sur la protection des Données personnelles ou instruction contraire du Client). Le Partenaire aide le Client dans la mesure du nécessaire pour lui permettre de répondre aux Demandes d'une Personne concernée, y compris en lui fournissant des mesures techniques et organisationnelles appropriées, et toutes les caractéristiques et fonctionnalités nécessaires des produits. Le Partenaire lui apporte son aide dans les meilleurs délais, et en tout état de cause dans un délai de cinq (5) jours suivant la Demande d'une Personne concernée ou la demande d'assistance du Client. Lorsque les circonstances le permettent, et sur demande raisonnable du Client, le Partenaire assiste le Client aux fins d'informer les individus au sujet du Traitement de leurs Données à caractère personnel, y compris en fournissant ou en adressant aux Personnes concernées une notice ou une politique de confidentialité conforme aux Lois sur la protection des Données personnelles. Le Partenaire doit tenir à jour et fournire au Client un accès raisonnable aux registres complets et exact des Demandes des Personnes concernées pour lesquelles le Partenaire apporte son assistance.
- Obligation de confidentialité du personnel. Le Partenaire veille à ce que chacun des membres de son personnel soit tenu par une obligation de confidentialité à l'égard des Données à caractère personnel.
- Sécurité. Le Partenaire met en place et maintient les pratiques et procédures de sécurité de l'information énoncées dans les Obligations en matière de sécurité de l'information.
- Audit et assistance. Nonobstant toute disposition relative aux audits contenues dans les Obligations en matière de sécurité de l'information, le Partenaire doit :
- Fournir au Client toutes les informations et l'assistance qui peuvent être raisonnablement requises afin de confirmer le respect par le Partenaire de ces Obligations générales en matière de confidentialité, y compris l'aider à effectuer les analyses d'impact relatives à la protection des données et à consulter les autorités chargées de la protection des données. En outre, le Partenaire fournit toute l'aide raisonnablement nécessaire pour permettre au Client de respecter la Loi sur la protection des Données personnelles ; et
- Sur demande du Client, le Partenaire présente son programme de protection des données et ses dispositifs relatifs au Traitement des Données à caractère personnel afin de vérifier leur conformité aux présentes Obligations générales en matière de confidentialité et/ou aux Lois sur la protection des Données personnelles applicables. L'audit peut être effectué par le Client ou par un représentant désigné pour son compte, sous réserve que le représentant s’engage à respecter un accord de confidentialité acceptable pour le Partenaire. Le Client adresse un préavis raisonnable pour mener l'audit, et effectue l'audit pendant les heures normales de bureau, sans perturber de manière déraisonnable les activités du Partenaire. Afin de lever toute ambiguïté, la présente clause n'oblige pas le Partenaire à accorder au Client un accès aux informations confidentielles des autres clients du Partenaire.
- Incidents de sécurité. Le Partenaire informe immédiatement, et en tout état de cause dans un délai de quarante-huit (48) heures au plus tard, le Client par courrier électronique à l'adresse cybersecurity@wbd.com, de tout Incident de sécurité réel ou raisonnablement suspecté. À la demande du Client, le Partenaire lui communique toutes les informations et lui apporte toute l'aide raisonnablement demandée par le Client afin d'enquêter, d'atténuer et de répondre à un Incident de sécurité, y compris au minimum, toute information ou assistance qui est exigée par la Loi sur la protection des Données personnelles applicable ou qui est nécessaire pour permettre au Client de notifier l'Incident de sécurité. Le Partenaire accepte de consulter le Client avant d'effectuer toute déclaration publique ou avant d'informer l'autorité chargée de la protection des données ou la Personne concernée en ce qui concerne un Incident de sécurité. Le Partenaire est responsable, et doit s'acquitter auprès du Client sur demande de ce dernier, de tous les frais, passifs, pertes, dommages et dépenses (y compris les honoraires d'avocat) engagés par le Client à la suite ou dans le cadre d'un Incident de sécurité impactant les Données à caractère personnel Traitées par le Partenaire, ses sociétés affiliées, bénéficiaires, ou Sous-traitants ultérieurs.
- Sous-traitance ultérieure. Le Partenaire peut faire appel à un Sous-traitant ultérieur afin de Traiter, ou autoriser un Sous-traitant ultérieur à Traiter des Données à caractère personnel pour son compte, à condition que ce Partenaire :
- conclue avec chaque Sous-traitant ultérieur un accord écrit qui prévoit des obligations au moins aussi contraignantes que celles qui figurent dans les présentes Obligations générales en matière de confidentialité applicables au Partenaire ;
- fasse preuve de toute la diligence raisonnable pour s'assurer que chaque Sous-traitant ultérieur agisse de manière appropriée pour permettre au Partenaire de respecter ses obligations imposées par les présentes Obligations générales en matière de confidentialité applicables au Partenaire ;
- notifie au Client à l'avance et par écrit de toute proposition d’engager un nouveau Sous-traitant ultérieur. Le Client dispose de trente (30) jours à compter de la réception de cette notification pour s'opposer au recrutement par le Partenaire du nouveau Sous-traitant ultérieur. Si le Client ne s'y oppose pas dans ce délai, le Partenaire peut autoriser le Sous-traitant ultérieur à Traiter les Données à caractère personnel. Si le Client s'oppose au recours à un Sous-traitant ultérieur, le Partenaire répondra aux objections du Client dans un délai de dix (10) jours à compter de leur réception. Si le Partenaire n'est pas en mesure de proposer, en réponse aux objections du Client, une solution satisfaisante pour celui-ci dans ce délai de dix (10) jours, le Client peut résilier immédiatement et à tout moment le Contrat sans pénalité, par écrit adressé au Partenaire. Le Partenaire n'autorisera pas le Sous-traitant ultérieur à Traiter les Données à caractère personnel pendant (i) la durée de trente (30) jours suivant la proposition de recruter un nouveau Sous-traitant ultérieur, ou (ii) toute la période pendant laquelle le Partenaire n'a pu proposer une solution satisfaisante en réponse aux objections du Client ; et
- reste entièrement responsable du Traitement des Données à caractère personnel effectué par chaque Sous-traitant ultérieur.
- Suppression ou restitution. Dès la résiliation ou l'expiration du Contrat, ou sauf instruction contraire du Client, le Partenaire doit, conformément aux instructions du Client : (i) restituer au Client (ou à une tierce partie désignée par le Client) une copie complète des Données à caractère personnel qu'il a Traitées dans le cadre du Contrat, dans un format raisonnablement convenu par les parties ; et (ii) supprimer en toute sécurité les Données à caractère personnel (y compris toutes les copies) en sa possession ou sous sa garde, qu'il a Traitées dans le cadre du Contrat.
- Cette section s'applique dans la mesure où :
- Le Partenaire détermine en toute indépendance les finalités et les moyens du Traitement des Données à caractère personnel qu'il effectue dans le cadre du Contrat ; ou
- Le Contrat indique expressément que la présente section s'applique.
- Notifications et transparence. Le Partenaire met en place et maintient une politique de confidentialité claire et facilement consultable qui informe les Personnes concernées (dont les Données à caractère personnel sont Traitées par le Partenaire dans le cadre du Contrat) sur la manière dont il Traite leurs Données à caractère personnel, et qui est conforme à toutes les lois applicables.
- Incidents de sécurité. Le Partenaire informe immédiatement le Client concerné de tout Incident de sécurité réel ou raisonnablement suspecté qui a des répercussions sur les Données à caractère personnel Traitées dans le cadre du Contrat, et lui communique immédiatement des informations sur la nature de l'Incident de sécurité, les Données à caractère personnel concernées, et les mesures qu'il compte mettre en place pour y répondre et visant à atténuer l'Incident de sécurité.
- Confidentialité. Le Partenaire veille à ce que chacun des membres de son personnel soit tenu par une obligation de confidentialité à l'égard des Données à caractère personnel.
- Cette section s'applique aux Partenaires dans le cadre d'un Transfert de données hors de l'EEE ou Transfert de données hors du Royaume-Uni, ou de tout Autre Transfert de données à caractère personnel.
- Transferts de données (Sous-traitants). Ce paragraphe s'applique lorsque la section 4 (Conditions pour les Sous-traitants) s'applique.
- Transferts de données hors de l'EEE. Dans le cas et dans la mesure où les Données à caractère personnel Traitées par le Partenaire sont soumises à un Transfert de données hors de l'EEE, les Clauses Contractuelles Types de l'EEE sont intégrées aux présentes par renvoi et s'appliquent comme suit :
- Application. Le Partenaire agit en tant qu'importateur de données, et le Client agit en tant qu'exportateur de données ;
- Clause d'amarrage. Aux fins de la Section I, Clause 7, la clause d'amarrage facultative s'applique ;
- Modules. Le MODULE 2 (transfert de responsable de traitement à sous-traitant) s'applique.
- Instructions. Aux fins de la Section II, Clause 8.1 (Module 2), les instructions données à l'importateur de données sont des instructions consistant à Traiter les Données à caractère personnel dans la mesure nécessaire à la prestation des Services et/ou à la distribution des produits par le Partenaire, conformément au Contrat ;
- Sous-traitants ultérieurs. Aux fins de la Section II, Clause 9 (Module 2), l'Option 2 s'applique (et la durée de préavis que doit respecter l'importateur de données pour informer l'exportateur de données de toute modification qu'il souhaite effectuer doit être de trente (30) jours) ;
- Correction. Aux fins de la Section II, Clause 11, la langue facultative ne s'applique pas ;
- Droit applicable. Aux fins de la Section IV, Clauses 17 et 18, dans la mesure autorisée par la Loi sur la protection des Données personnelles applicable, les parties acceptent que leurs obligations respectives en vertu des Clauses contractuelles types de l'EEE soient régies par le droit en vigueur en République d'Irlande, et relèvent de la compétence des tribunaux de ce pays ;
- Informations de l'Annexe I, Partie A. L'Annexe I, Partie A, (Liste des parties) est réputée complétée par : (i) les informations sur le Client (qui agit en tant qu'exportateur de données) ; et (ii) les informations sur le Partenaire (qui agit en tant qu'importateur de données), dans chaque cas tel que prévu par le Contrat ;
- Informations de l'Annexe I, Partie B. L'Annexe I, Partie B (Description du transfert) des Clauses contractuelles types de l'EEE est réputée être complétée par les informations figurant dans la Description du traitement ;
- Informations de l'Annexe I, Partie C. En ce qui concerne l'Annexe I, Partie C (Autorité de contrôle compétente) des Clauses Contractuelles Types de l'EEE, dans la mesure autorisée par la Loi sur la protection des Données personnelles applicable, les parties désignent l'autorité chargée de la protection des données personnelles en République d'Irlande ;
- Informations de l'Annexe II. L'Annexe II des Clauses Contractuelles Types de l'EEE (Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à assurer la sécurité des données) est réputée être complétée par les clauses énoncées dans les Obligations en matière de sécurité de l'information ; et
- Conflits de clauses. En cas de contradiction ou d'incohérence entre les Clauses Contractuelles Types de l'EEE et la présente Section, les stipulations sont interprétées de manière à garantir la meilleure protection possible des Personnes concernées.
- Interprétation des Clauses Contractuelles Types de l'EEE pour les Pays restrictifs. Dans le cas et dans la mesure où la divulgation par le Client au Partenaire de Données à caractère personnel constitue un Autre Transfert de données à caractère personnel, les Clauses Contractuelles Types de l'EEE sont intégrées aux présentes par renvoi et s'appliquent de la manière indiquée ci-dessus dans le présent paragraphe de la Section 6, à l'exception des points suivants : (i) les références contenues dans les Clauses Contractuelles Types de l'EEE aux termes « UE », « Union », « État membre de l'Union européenne », ou « État membre » renvoient à la place à ce Pays restrictif ; (ii) les références aux termes « Règlement (UE) 2016/679 » ou « ce Règlement » renvoient à la place aux Lois sur la protection des Données personnelles dans ce Pays restrictif, et les références à des articles ou dispositions spécifiques du RGPD sont remplacées par la stipulation ou l'article équivalent le plus proche de la Loi sur la protection des Données personnelles en vigueur dans ce Pays restrictif ; (iii) « Autorité de contrôle » renvoie à l'autorité chargée de la protection des données dans ce Pays restrictif ; (iv) les références aux « Clauses » désignent le présent paragraphe tel qu'il intègre et modifie ces Clauses.
- Transferts de données hors du Royaume-Uni. Dans le cas et dans la mesure où les Données à caractère personnel Traitées par le Partenaire sont soumises à un Transfert de données hors du Royaume-Uni, l'Addendum aux CCT du Royaume-Uni sont intégrées par renvoi et s'appliquent comme suit :
- Établissement du tableau 1. Le tableau 1 de l'Addendum aux CCT du Royaume-Uni est complété par les informations sur le Client (qui agit en tant qu'exportateur de données) et les informations sur le Partenaire (qui agit en tant qu'importateur de données), comme prévu par le Contrat. La « date de début » est la date de début, la date d'entrée en vigueur ou la date équivalente dans le Contrat. Le « contact principal» pour le Client est le « Responsable de la Protection des données » ou son représentant qui peut être contacté à l'adresse wbdprivacy@wbd.com et le « contact principal » pour le Partenaire sera celui communiqué au Client à tout moment, y compris l'intitulé de son poste spécifique et son adresse électronique.
- Établissement des tableaux 2 et 3. Le tableau 2 de l'Addendum aux CCT du Royaume-Uni est complété en sélectionnant « les CCT approuvées par l'UE, y compris les informations de l'annexe et uniquement avec les modules, clauses ou dispositions facultatives suivants des CCT approuvées par l'UE mises en application aux fins du présent Addendum ». S'agissant du tableau 2 et du tableau 3 de l'Addendum aux CCT du Royaume-Uni, les « CCT approuvées par l'UE » sont complétées comme indiqué ci-dessus dans le présent paragraphe de la section 6.
- Établissement du tableau 4. Le tableau 4 de l'Addendum aux CCT du Royaume-Uni est complété en sélectionnant « aucune des parties ».
- Conflits de clauses. En cas de contradiction ou d'incohérence entre l'Addendum aux CCT du Royaume-Uni et les présentes Obligations générales en matière de confidentialité, l'Addendum aux CCT du Royaume-Uni prévaudra.
- Transferts de données (Responsables du traitement). Ce paragraphe s'applique lorsque la section 5 (Conditions pour les Responsables de traitement) s'applique.
- Transferts de données hors de l'EEE. Dans le cas et dans la mesure où les Données à caractère personnel Traitées par le Partenaire sont soumises à un Transfert de données hors de l'EEE, les Clauses contractuelles types de l'EEE sont intégrées aux présentes par renvoi et s'appliquent comme suit :
- Application. Le Partenaire agit en tant qu'importateur de données, et le Client agit en tant qu'exportateur de données ;
- Clause d'amarrage. Aux fins de la Section I, Clause 7, la clause d'amarrage facultative s'applique ;
- Modules. LE MODULE 1 (transfert de responsable du traitement à responsable de traitement) s'applique ;
- Correction. Aux fins de la Section II, Clause 11, la langue facultative ne s'applique pas ;
- Droit applicable. Aux fins de la Section IV, Clauses 17 et 18, dans la mesure autorisée par la Loi sur la protection des Données personnelles applicable, les parties acceptent que leurs obligations respectives en vertu des Clauses Contractuelles Types de l'EEE soient régies par le droit en vigueur en République d'Irlande, et relèvent de la compétence des tribunaux de ce pays ;
- Informations de l'Annexe I, Partie A. L'Annexe I, Partie A, (Liste des parties) est réputée complétée par : (i) les informations sur le Client (qui agit en tant qu'exportateur de données) ; et (ii) les informations sur le Partenaire (qui agit en tant qu'importateur de données), dans chaque cas tel que prévu par le Contrat ;
- Informations de l'Annexe I, Partie B. L'Annexe I, Partie B (Description du transfert) des Clauses Contractuelles Types de l'EEE est réputée être complétée par les informations figurant dans la Description du traitement ;
- Informations de l'Annexe I, Partie C. En ce qui concerne l'Annexe I, Partie C (Autorité de contrôle compétente) des Clauses Contractuelles Types de l'EEE, dans la mesure autorisée par la Loi sur la protection des Données personnelles applicable, les parties désignent l'autorité chargée de la protection des données personnelles en République d'Irlande ;
- Informations de l'Annexe II. L'Annexe II des Clauses Contractuelles Types de l'EEE (Mesures techniques et organisationnelles, y compris des mesures techniques et organisationnelles visant à assurer la sécurité des données) est réputée être complétée par les clauses énoncées dans les Obligations en matière de sécurité de l'information ; et
- Conflits de clauses. En cas de contradiction ou d'incohérence entre les Clauses contractuelles types de l'EEE et la présente section, les stipulations sont interprétées de manière à garantir la meilleure protection possible des Personnes concernées.
- Interprétation des Clauses contractuelles types de l'EEE pour les Pays restrictifs. Dans le cas et dans la mesure où la divulgation par le Client au Partenaire, de Données à caractère personnel constitue un Autre transfert de données à caractère personnel, les Clauses Contractuelles Types de l'EEE sont intégrées aux présentes par renvoi et s'appliquent de la manière indiquée ci-dessus dans le présent paragraphe de la Section 6, à l'exception des points suivants : (i) les références contenues dans les Clauses contractuelles types de l'EEE aux termes « UE », « Union », « État membre de l'Union européenne », ou « État membre » renvoient à la place à ce Pays restrictif ; (ii) les références aux termes « Règlement (UE) 2016/679 » ou « ce Règlement » renvoient à la place aux Lois sur la protection des Données personnelles dans ce Pays restrictif, et les références à des articles ou dispositions spécifiques du RGPD sont remplacées par la stipulation ou l'article équivalent le plus proche de la Loi sur la protection des Données personnelles en vigueur dans ce Pays restrictif ; (iii) « Autorité de contrôle » renvoie à l'autorité chargée de la protection des données dans ce Pays restrictif ; (iv) les références aux « Clauses » désignent le présent paragraphe tel qu'il intègre et modifie ces Clauses.
- Transferts de données hors du Royaume-Uni. Dans le cas et dans la mesure où les Données à caractère personnel Traitées par le Partenaire sont soumises à un Transfert de données hors du Royaume-Uni, l'Addendum aux CCT du Royaume-Uni sont intégrées par renvoi et s'appliquent comme suit :
- Établissement du tableau 1. Le tableau 1 de l'Addendum aux CCT du Royaume-Uni est complété par les informations sur le Client (qui agit en tant qu'exportateur de données) et les informations sur le Partenaire (qui agit en tant qu'importateur de données), comme prévu par le Contrat. La « date de début » est la date de début, la date d'entrée en vigueur ou la date équivalente dans le Contrat. Le « contact principal » pour le Client est le « Responsable de la Protection des données » ou son représentant qui peut être contacté à l'adresse wbdprivacy@wbd.com et le « contact principal » pour le Partenaire sera celui communiqué au Client à tout moment, y compris l'intitulé de son poste spécifique et son adresse électronique.
- Établissement des tableaux 2 et 3. Le tableau 2 de l'Addendum aux CCT du Royaume-Uni est complété en sélectionnant « les CCT approuvées par l'UE, y compris les informations de l'annexe et uniquement avec les modules, clauses ou dispositions facultatives suivants des CCT approuvées par l'UE mises en application aux fins du présent Addendum ». S’agissant du tableau 2 et du tableau 3 de l'Addendum aux CCT du Royaume-Uni, les « CCT approuvées par l'UE » sont complétées comme indiqué ci-dessus dans le présent paragraphe de la section 6.
- Établissement du tableau 4. Le tableau 4 de l'Addendum aux CCT du Royaume-Uni est complété en sélectionnant « aucune des parties ».
- Conflits de clauses. En cas de contradiction ou d'incohérence entre l'Addendum aux CCT du Royaume-Uni et des Obligations générales en matière de confidentialité, l'Addendum aux CCT du Royaume-Uni prévaudra.
- Autres stipulations relatives aux transferts internationaux. Le présent paragraphe s'applique dans le cas et dans la mesure où les Données à caractère personnel Traitées par le Partenaire sont soumises à un Transfert de données hors de l'EEE ou du Royaume-Uni, ou à un Autre Transfert de données à caractère personnel.
Mesures supplémentaires
- Les parties reconnaissent et acceptent que la décision de la Cour de justice de l'Union européenne dans l'Affaire C-311/18 a clarifié le fait que des mesures supplémentaires peuvent être nécessaires pour s'assurer que les Données à caractère personnel qui font l'objet d'un Transfert de données hors de l'EEE ou d'un Transfert de données hors du Royaume-Uni, disposent d'un niveau de protection essentiellement équivalent à celui qu'elles reçoivent lorsqu'elles sont Traitées sur leur territoire d'origine (en plus des mesures de protection prévues par les Clauses contractuelles types de l'EEE). Par conséquent, les parties ont convenu d'adopter les mesures décrites aux Sections 6.4(b) à 6.4(g) comme mesures supplémentaires pour garantir cette essentielle équivalence.
- Si le Partenaire prend connaissance d'une requête ou demande émanant d'une autorité chargée de l'application de la loi ou d'une autorité réglementaire, judiciaire ou administrative (une « Autorité ») pour accéder à des Données à caractère personnel Traitées dans le cadre du Contrat ou en obtenir une copie, à titre volontaire ou obligatoire, le Partenaire doit:
- immédiatement informer le Client de la demande de cette Autorité ;
- lorsque la Section 4 (Conditions pour les Sous-traitants) s'applique, immédiatement informer l'Autorité que le Partenaire agit en tant que Sous-traitant des Données à caractère personnel, et que le Client n'est pas autorisé à communiquer à l'Autorité de telles Données à caractère personnel ;
- informer l'Autorité que toutes les requêtes ou demandes d'accès à ces Données à caractère personnel doivent être notifiées ou signifiées au Client (qui agit en tant que Responsable de traitement) par écrit ; et
- sous réserve de la Section 6.4(c), ne doit pas fournir à l'Autorité un accès à ces Données à caractère personnel, sauf autorisation écrite du Client.
- Par dérogation à la Section 6.4(b)(iv), le Partenaire peut, sans autorisation écrite et préalable du Client, divulguer des Données à caractère personnel à une Autorité dont il a reçu une requête ou une demande, sous réserve que (sauf disposition contraire du droit en vigueur) :
- Le Partenaire en informe le Client avec un préavis raisonnable afin de permettre raisonnablement au Client de s'y opposer ou de demander une ordonnance de protection ou toute autre mesure appropriée ;
- Le Partenaire coopère raisonnablement avec le Client, aux propres frais de ce dernier, pour permettre au Client de s'opposer à cette divulgation ou de demander une ordonnance de protection ou toute autre mesure appropriée ;
- Le Partenaire ne divulgue, en tout état de cause, que la partie des Données à caractère personnel qu'il est légalement tenu de divulguer.
- Si le Partenaire divulgue des Données à caractère personnel à une Autorité, il ne divulgue que celles qu'il est légalement tenu de communiquer et uniquement dans le respect des procédures légales applicables.
- Le Partenaire ne divulgue pas délibérément de Données à caractère personnel de façon massive ou systématique et de manière plus importante que ce qui est strictement nécessaire ou proportionné dans une société démocratique.
- Le Partenaire met en place, maintient, et respecte une politique écrite qui encadre les demandes relatives aux Données à caractère personnel émanant des Autorités, et qui interdit a minima:
- les divulgations massives ou systématiques de Données à caractère personnel des Personnes concernées en Europe ; et
- la divulgation de Données à caractère personnel appartenant à des Personnes concernées en Europe à une Autorité sans aucun(e) assignation ou citation à comparaître, mandat, ordonnance, jugement, ou toute autre décision légalement contraignante qui impose de divulguer ces Données à caractère personnel.
- Le Partenaire met en place et maintient, conformément aux bonnes pratiques du secteur, des mesures visant à protéger les Données à caractère personnel contre toute interception (y compris lors de leur transfert entre le Client et le Partenaire, et entre différents systèmes et services). Ces mesures intègrent la mise en place et le maintien de mesures de protection du réseau pour empêcher les pirates informatiques d'intercepter des données, et des mesures de chiffrement des données en transit pour empêcher les pirates de les consulter.
Autres stipulations relatives aux transferts internationaux.
- Le Partenaire accepte de coopérer de bonne foi pour signer des documents additionnels et appliquer des mesures de protection supplémentaires, ou pour limiter le Traitement des données à certains territoires, que le Client jugera nécessaires afin de réaliser des Transferts de données hors de l'EEE, des Transferts de données hors du Royaume-Uni ou d'Autres transferts de données à caractère personnel (le cas échéant).
- Si le Partenaire Traite à tout moment des Données à caractère personnel provenant d'un pays qui limite le transfert de Données à caractère personnel vers un autre pays dont le niveau de protection n'est pas jugé adéquat pour lui permettre de recevoir des Données à caractère personnel, alors le Partenaire, selon les instructions du Client :
- prend toutes les mesures nécessaires et signe tous les documents nécessaires en vertu de la Loi sur la protection des Données personnelles applicable dans ce pays pour légitimer ce Traitement ; et
- assure un niveau de protection adéquat des Données à caractère personnel du Client.
- Dans le cas où une autorité compétente chargée de la protection des données considère qu'un mécanisme de transfert des données utilisé par les parties est invalide, ou qu'une autorité compétente chargée de la protection des données ou le droit applicable exige la suspension d'un transfert de Données à caractère personnel effectué sur la base de ce mécanisme ou la limitation de ce transfert à un territoire spécifique, le Client peut alors, à sa discrétion, demander au Partenaire d'interrompre le Traitement des Données à caractère personnel et le Partenaire coopérera avec le Client de bonne foi pour faciliter l'utilisation d'un mécanisme de transfert alternatif, signer de nouveaux documents, appliquer d'autres mesures de protection, ou limiter le Traitement à certains territoires.
- Cette section s'applique à tous les Partenaires.
- En plus des obligations d'indemnisation du Partenaire prévues au Contrat, le Partenaire défendra, indemnisera et dégagera le Client de toute responsabilité au titre des réclamations, actions, coûts, passifs, pertes, dommages et dépenses de tiers (y compris les honoraires d'avocat) engagés par le Client à la suite ou dans le cadre : (i) d'un Incident de sécurité ; ou (ii) du non-respect des présentes Obligations générales en matière de confidentialité par le Partenaire ou ses sociétés affiliées, ses Sous-traitants ultérieurs (y compris les Sous-traitants ultérieurs désignés par les sociétés affiliées du Partenaire) et ses bénéficiaires, y compris sans s'y limiter une réclamation ou une action formée par une autorité chargée de la protection des données ou par une Personne concernée.
- Cette section s'applique dans la mesure où le Partenaire :
- fournit au Client une IA, ou un accès à celle-ci, dans le cadre du Contrat ; ou
- utilise l'IA pour fournir des Services dans le cadre du Contrat, en tout ou partie.
- Le Partenaire devra fournir les informations raisonnablement sollicitées par le Client quant à l'utilisation de l'IA dans le cadre de l'exécution des obligations du Partenaire aux termes du Contrat, notamment, sur demande du Client, pour procéder à des analyses d'impact relatives à la protection des données ainsi qu'à des évaluations des biais manifestés par l'IA.
- Le Partenaire déclare et certifie que : (i) toutes les Données d'apprentissage de toute IA fournie au Client dans le cadre du Contrat, ou utilisées par le Partenaire pour exécuter ses obligations prévues au Contrat : (A) ont été obtenues conformément aux lois applicables et sans qu'il soit porté atteinte aux droits d'un tiers ; (B) ne contenaient ni ne contiennent de Données à caractère personnel ; (ii) le Partenaire n'utilisera pas (ni ne facilitera ou ne permettra l'utilisation par un tiers) les Données à caractère personnel obtenues dans le cadre du Contrat pour entrainer, améliorer, développer ou demander des Résultats IA à partir de n'importe quelle IA, et (iii) le Partenaire ne se livrera pas à une Prise de décision automatisée (ni ne facilitera la Prise de décision automatisée par le Client) pour exécuter ses obligations prévues au Contrat.
AFFICHER LES VERSIONS PRÉCÉDENTES