OBLIGATIONS GÉNÉRALES EN MATIÈRE DE CONFIDENTIALITÉ
DERNIÈRE MISE À JOUR: 21 novembre 2022
- Les présentes obligations générales en matière de confidentialité (les « Obligations générales en matière de confidentialité ») décrivent un certain nombre d'obligations en matière de protection des données que nous demandons à nos fournisseurs et autres partenaires (ensemble, les « Partenaires ») de respecter dans le cadre de la fourniture de leurs produits et services. Ces Obligations générales en matière de confidentialité sont complémentaires à tout contrat que nous avons conclu avec nos Partenaires et en font partie intégrante lorsqu'elles y ont été intégrées (le « Contrat »).
- Les différentes sections des présentes Obligations générales en matière de confidentialité s'appliquent en fonction de la nature de notre relation avec le Partenaire. Nous précisons dans chaque section leur champ d'application.
- Cette section s'applique à tous les Partenaires.
- Aux fins des présentes Obligations générales en matière de confidentialité, les termes ci-après ont le sens qui leur est attribué comme suit :
- « Responsable de Traitement » désigne la personne physique ou morale qui, seule ou conjointement, détermine les finalités et les moyens du Traitement de Données à Caractère Personnel ;
- « Client », « nous », « notre » et « nos » désignent : (i) l'entité Warner Bros. Discovery identifiée dans le Contrat et partie à celui-ci ; et (ii) toute société affiliée ou filiale qui contrôle, qui est contrôlée par, ou qui est contrôlée conjointement avec l'entité Warner Bros. Discovery désignée dans le Contrat ;
- « Loi sur la Protection des Données personnelles » désigne les constitution, loi, traité, décret, règlement, réglementation, directive, code et recommandation fédérale, étatique, provinciale, locale, municipale, internationale ou tout autre texte adopté par les autorités ayant compétence pour l'interpréter ou imposer son application, qui concerne le traitement de données à Caractère Personnel, la vie privée, la protection des données (la protection des Données à Caractère Personnel), ou la cybersécurité, et telle que modifié à tout moment ;
- « Personne Concernée » désigne la personne à laquelle se rapportent les Données à Caractère Personnel ;
- « Demande d'une Personne Concernée » désigne toute demande d'information, d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité, d'opposition, de refus de vente, de suppression et toutes les autres demandes similaires d'une Personne concernée ;
- « Description du Traitement » désigne la description des Données à Caractère Personnel qui sont Traitées par un Partenaire en vertu du Contrat ;
- « EEE » désigne l'Espace économique européen ;
- « Transfert de Données hors de l'EEE » désigne un transfert de Données à Caractère Personnel régi par le RGPD, vers un pays ou un territoire situé en dehors de l'EEE dont la Commission européenne juge qu'il n'offre pas un niveau adéquat de protection des données personnelles ;
- « Clauses Contractuelles Types de l'EEE » désignent les clauses contractuelles types pour le transfert de données à Caractère Personnel vers des pays tiers en vertu du Règlement (UE) 2016/679 du Parlement européen et du Conseil, adoptées par décision de la Commission européenne du 4 février 2021 C(2021) 3972, disponibles à l'adresse https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?uri=CELEX:32021D0914&locale=en ;
- « RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (Règlement général sur la protection des données) ;
- « Obligations en matière de Sécurité de l'Information » désignent toutes les obligations applicables en matière de sécurité de l'information qui sont jointes au Contrat ou qui en font partie intégrante ;
- « Autre Transfert de Données à Caractère Personnel » désigne un transfert de Données à Caractère Personnel : (i) qui est régi par la législation d'un pays qui limite le transfert de Données à Caractère Personnel vers un autre pays dont le niveau de protection des données est jugé inadéquat pour lui permettre de recevoir des données (« Pays Restreint ») ; et (ii) qui n'est pas un Transfert de données hors de l'EEE ou du Royaume-Uni ;
- « Données à Caractère Personnel » ou « Données Personnelles » désignent les informations relatives à une personne physique identifiée ou identifiable, y compris les informations définies comme des « données personnelles d'identification », des « informations personnelles », des « données personnelles » ou définies par d'autres termes similaires en vertu des Lois sur la Protection des Données Personnelles, qui se limitent aux Données à Caractère Personnel Traitées par le Partenaire dans le cadre du Contrat ;
- « Traitement », « traiter », « traite(nt) », ou « traité(es) » désignent toute opération, ou ensemble d'opérations, portant sur des Données à Caractère Personnel, quel que soit le procédé utilisé, y compris la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation, la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement, la limitation, l'effacement ou la destruction des Données à Caractère Personnel ;
- « Sous-traitant » désigne la personne physique ou morale chargée de traiter les Données à Caractère Personnel pour le compte du Responsable de traitement ;
- « Incident de sécurité » désigne : (i) toute interruption majeure des activités de Traitement du Partenaire ; (ii) tout accès ou perte d'accès aux Données à Caractère Personnel, ou toute acquisition, perte, utilisation ou utilisation abusive, ou perte de jouissance des Données à Caractère Personnel, non autorisés (y compris la perte des supports de stockage sur lesquels sont conservées les Données à Caractère Personnel) ; ou (iii) toute violation de la sécurité ayant pour conséquence la destruction, la perte, l'altération, l'utilisation ou l'utilisation abusive, la divulgation non autorisée de Données à Caractère Personnel, ou l'accès à de telles données, de manière accidentelle ou illicite ;
- « Données Sensibles » désignent les Données à Caractère Personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, la santé, ou la vie sexuelle ou l'orientation sexuelle d'une personne physique, ainsi que les données génétiques, les données biométriques aux fins d'identifier une Personne Concernée de manière unique, les données qui concernent le casier judiciaire ou toute mesure de sécurité similaire, les numéros d'identification émis par le gouvernement, les identifiants de connexion, les numéros des comptes bancaires ou financiers, y compris les numéros de carte bancaire, les données précises de localisation, les contenus des communications qui ne sont pas directement adressés au Partenaire ou au Client, et les sous-catégories des Données personnelles qui sont réputées « sensibles » ou qui nécessitent une protection renforcée au titre des Lois sur la Protection des Données Personnelles en vigueur ;
- « Services » ont le sens qui leur est attribué dans le Contrat ou, à défaut d'y être définis, désignent les produits ou services qui nous sont fournis par le Partenaire en vertu du Contrat ;
- « Sous-traitant Ultérieur » désigne la personne physique ou morale chargée de traiter les Données à Caractère Personnel pour le compte du Sous-traitant ;
- « Transfert de données hors du Royaume-Uni » désigne un transfert de Données à Caractère Personnel régi par le RGPD du Royaume-Uni, vers un pays ou un territoire situé en dehors du Royaume-Uni dont le secrétaire d'État britannique a jugé qu'il n'offrait pas un niveau adéquat de protection des Données personnelles ;
- « RGPD du Royaume-Uni » désigne le RGPD tel que figurant dans les lois en vigueur en Angleterre et au Pays de Galles, en Écosse et en Irlande du Nord en vertu de l'article 3 du European Union (Withdrawal) Act 2018 (Loi sur le retrait de l'Union européenne) ; et
- « Addendum aux CCT du Royaume-Uni » désigne le modèle d'addendum publié par le Bureau du Commissaire à l'information du Royaume-Uni et déposé devant le Parlement conformément à l'article 119A de la loi sur la protection des données 2018 le 2 février 2022, tel que révisé en vertu de l'article 18 et disponible sur la page https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.
- Cette section s'applique à tous les Partenaires.
- Respect de la loi. Le Partenaire doit respecter toutes les Lois sur la Protection des Données Personnelles en vigueur et offrir un niveau de protection des données approprié conformément à ses obligations prévues aux présentes. Le Partenaire informe le Client à l'adresse wmprivacy@warnermedia.com de tout événement qui ne lui permet plus de respecter ses obligations au titre de la Loi sur la Protection des Données Personnelles. Le Client aura le droit de prendre les mesures appropriées visant à faire cesser et à corriger tout Traitement de Données à Caractère Personnel non autorisé par le Partenaire.
- Sécurité. Le Partenaire mettra en place et appliquera des mesures techniques et organisationnelles adéquates afin de protéger les Données à Caractère Personnel. Le Partenaire mettra en place des mesures de protection visant à : (i) garantir la confidentialité, la disponibilité, et l'intégrité des Données à Caractère Personnel ; (ii) assurer une protection contre toute menace ou risque prévisible pour la sécurité ou l'intégrité des Données à Caractère Personnel ; et (iii) protéger les Données à Caractère Personnel contre un Traitement non autorisé.
- Communication pardes tiers. Si un Partenaire reçoit une communication d'une personne physique, d'un régulateur, d'une administration publique ou d'un autre tiers qui concerne :
- Le Traitement par ce Partenaire, de Données à Caractère Personnel dans le cadre du Contrat ; ou
- Le Traitement par un Client, des Données à Caractère Personnel,
Le Partenaire doit (sauf disposition légale contraire) en informer immédiatement le Client (à l'adresse wmprivacy@warnermedia.com) en lui donnant tous les détails de cette communication, et coopèrer dans toute la mesure raisonnablement exigée par le Client pour répondre à cette communication. Le Partenaire ne peut répondre directement à ces communications qu'après avoir obtenu l'accord préalable du Client, sauf si la loi en vigueur l'en interdit.
- Réponses aux demandes et aux incidents. Le Partenaire s'abstiendra de mentionner le Client (ou une filiale ou société affiliée du Client) sans avoir préalablement obtenu l'accord de ce celui-ci, dans toute : (i) réponse à une Personne concernée ; (ii) communication publique relative au Traitement ; (iii) notification d'un Incident de Sécurité, ou (iv) divulgation faite à une autorité chargée de la protection de données ou à une autre entité légale en ce qui concerne le Traitement.
- Durée et survie.
- Sous réserve de la section 3.6(b), les présentes Obligations générales en matière de confidentialité prendront fin si un Partenaire cesse de traiter les Données à Caractère Personnel dans le cadre du Contrat.
- Par dérogation à la section 3.6(a), les Sections 3.4, 3.5 et 3.7 resteront en vigueur après la résiliation ou à l'expiration du Contrat et des présentes Obligations générales en matière de confidentialité.
- Traductions. En cas de conflit entre la version anglaise des présentes Obligations générales en matière de confidentialité et une version traduite dans une autre langue, la version anglaise prévaudra.
- Aucune limitation de responsabilité. Afin de lever toute ambiguïté, les responsabilités des parties au titre des présentes Obligations générales en matière de confidentialité ne sont pas soumises aux clauses limitatives ou exonératoires de responsabilité figurant dans le Contrat.
- Cette section s'applique dans la mesure où :
- Le Partenaire traite des Données à Caractère Personnel en tant que Sous-traitant pour le compte du Client ; ou
- Le Contrat indique expressément que la présente section s'applique.
- Instructions. Le Partenaire ne traitera les Données à Caractère Personnel que conformément aux instructions documentées du Client (sauf obligation contraire de Traiter ces Données à Caractère Personnel conformément à une exigence légale imposée à un Partenaire, auquel cas le Partenaire informera le Client de l'existence d'une telle exigence légale avant de procéder au Traitement, à moins que cette exigence légale lui interdise d'en informer le Client). Les instructions documentées du Client visent à traiter les Données à Caractère Personnel : (i) dans la mesure nécessaire pour permettre au Partenaire de fournir les Services et d'exécuter les autres obligations imposées par le Contrat ; et (ii) de toute autre manière que le Client formule à tout moment par écrit. Le Partenaire informe immédiatement le Client de toute directive ou instruction écrite du Client, qui selon lui est contraire à la Loi sur la protection des Données personnelles.
- Description du Traitement. La description de l'objet et la durée du Traitement, la nature et la finalité du Traitement, les catégories de Données à Caractère Personnel et les catégories de Personnes Concernées, figurent dans la Description du Traitement.
- Limitations sur l'utilisation. Le Partenaire ne doit pas : (i) vendre les Données à Caractère Personnel ou les divulguer de toute autre façon en échange d'une contrepartie monétaire ou de toute autre contrepartie de valeur ; (ii) traiter les Données à Caractère Personnel à d'autres fins que celles de fournir les Services ou respecter des directives du Client ; (iii) Traiter les Données à Caractère Personnel autrement que dans le cadre de sa relation commerciale avec le Client ; ou (iv) combiner les Données à Caractère Personnel et des données personnelles reçues ou collectées auprès, ou pour le compte, d'autres personnes, ou collectées auprès des consommateurs. Le Partenaire garantit qu'il comprend et qu'il respectera les limitations imposées par la présente section.
- Demandes des personnes concernées. Le Partenaire informe immédiatement le Client de toute communication ou Demande d'une Personne Concernée, ou de toute communication ou Demande faite pour son compte, relative aux Données à Caractère Personnel qu'il traite dans le cadre des Services, sans répondre à la Personne Concernée mais en accusant réception de cette communication ou Demande (sauf disposition contraire de la Loi sur la Protection des Données Personnelles ou sauf instruction contraire du Client). Le Partenaire aide le Client dans toute la mesure nécessaire pour lui permettre de répondre efficacement aux Demandes d'une Personne Concernée, y compris en lui fournissant des mesures techniques et organisationnelles appropriées, et des outils et fonctionnalités de produit nécessaires. Le Partenaire lui apporte son aide dans les meilleurs délais, et en tout état de cause dans un délai de cinq (5) jours suivant la Demande d'une personne concernée ou la demande d'aide du Client. Lorsque les circonstances le permettent, et sur demande raisonnable du Client, le Partenaire l'aide à informer les Personnes Concernées au sujet du Traitement de leurs Données à Caractère Personnel, y compris en leur fournissant ou en leur adressant un avis ou une politique de confidentialité conforme aux Lois sur la Protection des Données Personnelles. Le Partenaire fournit au Client un accès raisonnable aux dossiers complets et précis des Demandes d'une Personne Concernée dans le cadre desquels il apporte son aide, et maintient cet accès.
- Obligation de confidentialité du personnel. Le Partenaire veille à ce que chacun des membres de son personnel soit tenu par une obligation de confidentialité à l'égard des Données à Caractère Personnel.
- Sécurité. Le Partenaire met en place et maintient les pratiques et procédures de Sécurité de l'Information énoncées dans les Obligations en matière de Sécurité de l'Information.
- Sécurité. Le Partenaire met en place et maintient les pratiques et procédures de Sécurité de l'Information énoncées dans les Obligations en matière de Sécurité de l'Information.
- Fournir au Client toutes les informations et l'aide raisonnablement exigées afin de garantir le respect par ce Partenaire de ses Obligations générales en matière de confidentialité, y compris l'aider à effectuer les analyses d'impact relatives à la protection des données et à consulter les autorités chargées de la protection des données. En outre, le Partenaire fournit toute l'aide raisonnablement nécessaire pour permettre au Client de respecter la Loi sur la Protection des Données personnelles ; et
- Sur demande du Client, le Partenaire présente son programme de protection des données et ses équipements de Traitement des Données à Caractère Personnel afin de vérifier leur conformité aux présentes Obligations générales en matière de confidentialité et/ou aux Lois sur la Protection des Données Personnelles. L'audit peut être effectué par le Client ou par un représentant désigné pour son compte, sous réserve que le représentant accepte de conclure un accord de confidentialité acceptable pour le Partenaire. Le Client adresse un préavis raisonnable pour mener l'audit, et effectue l'audit pendant les heures normales de bureau, sans perturber de manière déraisonnable les activités du Partenaire. Afin de lever toute ambiguïté, la présente clause n'oblige pas le Partenaire à accorder au Client un accès aux informations confidentielles des autres clients du Partenaire.
- Incidents de sécurité. Le Partenaire informe immédiatement, et en tout état de cause dans un délai de quarante-huit (48) heures au plus tard, le Client et le service d'assistance du Centre opérationnel de sécurité (SOC) de WarnerMedia par téléphone au (001)404-827-1900 et par courrier électronique à cybersecurity@WarnerMedia.com , de tout Incident de sécurité réel ou raisonnablement suspecté dont il prend connaissance. À la demande du Client, le Partenaire lui communique toutes les informations et lui apporte toute l'aide qu'il exige raisonnablement afin d'enquêter, d'atténuer et de répondre à un Incident de sécurité, y compris a minima, toute information ou aide qui est exigée par la Loi sur la Protection des Données Personnelles applicable ou qui est nécessaire pour permettre au Client de notifier l'Incident de sécurité. Le Partenaire accepte de consulter le Client avant d'effectuer toute déclaration publique ou avant d'informer l'autorité chargée de la protection des données ou la Personne Concernée en ce qui concerne cet Incident de sécurité. Le Partenaire est responsable, et doit s'acquitter auprès du Client sur demande de ce dernier, de tous les frais, passifs, pertes, dommages et dépenses (y compris les honoraires d'avocat) engagés par le Client à la suite ou dans le cadre d'un Incident de sécurité qui a des répercussions sur les Données à Caractère Personnel Traitées par le Partenaire ou par ses sociétés affiliées, bénéficiaires, ou Sous-traitants Ultérieurs.
- Sous-traitance ultérieure. Le Partenaire peut faire appel à un Sous-traitant Ultérieur afin de Uraiter, ou autoriser un Sous-traitant Ultérieur à Traiter, des Données à Caractère Personnel pour son compte, à condition que ce Partenaire :
- conclue avec chaque Sous-traitant ultérieur un accord écrit qui prévoit des obligations au moins aussi contraignantes que celles qui figurent dans les présentes Obligations générales en matière de confidentialité applicables au Partenaire ;
- fasse preuve de toute la diligence raisonnable pour s'assurer que chaque Sous-traitant ultérieur agisse dans toute la mesure nécessaire pour permettre au Partenaire de respecter ses obligations imposées par les présentes Obligations générales en matière de confidentialité applicables au Partenaire ;
- notifie au Client à l'avance et par écrit, tout nouveau Sous-traitant ultérieur qu'il souhaite engager. Le Client dispose de trente (30) jours à compter de la réception de cette notification pour s'opposer au recrutement par le Partenaire du nouveau Sous-traitant ultérieur. Si le Client ne s'y oppose pas dans ce délai, le Partenaire peut autoriser le Sous-traitant ultérieur à traiter les Données à Caractère Personnel. Si le Client s'oppose au recours à un Sous-traitant ultérieur, le Partenaire répondra aux objections du Client dans un délai de dix (10) jours à compter de leur réception. Si le Partenaire n'est pas en mesure de proposer, en réponse aux objections du Client, une solution satisfaisante pour celui-ci dans ce délai de dix (10) jours, le Client peut résilier immédiatement et à tout moment le Contrat sans pénalité, au moyen d'un préavis adressé au Partenaire. Le Partenaire n'autorisera pas le Sous-traitant ultérieur à traiter les Données à Caractère Personnel pendant (i) une durée de trente (30) jours à compter de la notification de proposition de recrutement d'un nouveau Sous-traitant ultérieur, ou (ii) toute la période pendant laquelle le Partenaire n'a pu proposer une solution satisfaisante en réponse aux objections du Client ; et
- reste entièrement responsable du Traitement des Données à Caractère Personnel effectué par chaque Sous-traitant ultérieur.
- Suppression ou restitution. Dès la résiliation ou l'expiration du Contrat, ou sur toute instruction du Client en ce sens, le Partenaire doit, conformément aux instructions du Client : (i) restituer au Client une copie complète des Données à Caractère Personnel qu'il a traitées dans le cadre du Contrat, dans un format raisonnablement convenu par les parties ; et (ii) supprimer de façon sécurisée les Données à Caractère Personnel (y compris toutes les copies) en sa possession ou sous sa garde, qu'il a Traitées dans le cadre du Contrat.
- Cette section s'applique dans la mesure où :
- Le Partenaire détermine en toute indépendance les finalités et les moyens du Traitement des Données à Caractère Personnel qu'il effectue dans le cadre du Contrat ; ou
- Le Contrat indique expressément que la présente section s'applique.
- Notifications et transparence. Le Partenaire met en place et maintient une politique de confidentialité claire et facilement consultable qui informe les Personnes concernées (dont les Données à Caractère Personnel sont traitées par le Partenaire dans le cadre du Contrat) sur la manière dont il traite leurs Données à Caractère Personnel, et qui soit conforme à toutes les lois applicables.
- Incidents de sécurité. Le Partenaire informe promptement le Client concerné de tout Incident de sécurité réel ou raisonnablement suspecté qui a des répercussions sur les Données à Caractère Personnel traitées dans le cadre du Contrat, et lui communique immédiatement la nature de l'Incident de sécurité, les Données à Caractère Personnel concernées, et les mesures qu'il compte mettre en place pour répondre et atténuer l'Incident de sécurité.
- Cette section s'applique aux Partenaires dans le cadre d'un Transfert de Données hors de l'EEE ou du Royaume-Uni, ou de tout Autre Transfert de Données à Caractère Personnel.
- Transferts de Données (Sous-traitants). Ce paragraphe s'applique lorsque la section 4 (Obligations des Sous-traitants) s'applique.
- Transferts de données hors de l'EEE. Dans le cas et dans la mesure où les Données Personnelles Traitées par le Partenaire sont soumises au Transfert de Données hors de l'EEE, les Clauses Contractuelles Types de l'EEE sont intégrées par voie de référence et s'appliquent comme suit :
- Application. Le Partenaire agit en tant qu'importateur de données, et le Client agit en tant qu'exportateur de données ;
- Clause d'amarrage. Aux fins de la Section I, Clause 7, la clause d'amarrage facultative s'applique ;
- Modules. Le MODULE 2 (transfert de responsable de traitement à sous-traitant) s'applique.
- Instructions. Aux fins de la Section II, Clause 8.1 (Module 2), les instructions données à l'importateur de données sont des instructions consistant à Traiter les Données à Caractère Personnel dans la mesure nécessaire à la prestation des Services et/ou à la distribution des produits par le Partenaire, et de la manière prévue par le Contrat ;
- Sous-traitants Ultérieurs. Aux fins de la Section II, Clause 9 (Module 2), l'Option 2 s'applique (et l'importateur de données doit informer l'exportateur de données, trente (30) jours à l'avance, de toute modification qu'il souhaite effectuer) ;
- Correction. Aux fins de la Section II, Clause 11, la langue facultative ne s'applique pas ;
- Droit applicable. Aux fins de la Section IV, Clauses 17 et 18, dans la mesure autorisée par la Loi sur la Protection des Données personnelles, les parties acceptent que leurs obligations respectives en vertu des Clauses Contractuelles Types de l'EEE sont régies par le droit en vigueur en République d'Irlande, et que les tribunaux irlandais sont compétents pour connaître de tout litige ;
- Complétion de l'Annexe I, Partie A. L'Annexe I, Partie A, (Liste des parties) est réputée complétée par : (i) des informations sur le Client (qui agit en tant qu'exportateur de données) ; et (ii) des informations sur le Partenaire (qui agit en tant qu'importateur de données), dans chaque cas tel que prévu par le Contrat ;
- Complétion de l'Annexe I, Partie B. L'Annexe I, Partie B (Description du transfert) des Clauses Contractuelles Types de l'EEE est réputée être complétée par les informations figurant dans la Description du Traitement ;
- Complétion de l'Annexe I, Partie C. En ce qui concerne l'Annexe I, Partie C (Autorité de contrôle compétente) des Clauses Contractuelles Types de l'EEE, dans la mesure autorisée par la Loi sur la Protection des Données personnelles en vigueur, les parties désignent l'autorité chargée de la protection des données personnelles en République d'Irlande ;
- Complétion de l'Annexe II. L'Annexe II des Clauses contractuelles types de l'EEE (Mesures techniques et organisationnelles, y compris des mesures techniques et organisationnelles visant à assurer la sécurité des données) est réputée être complétée par les clauses énoncées dans les Obligations en matière de Sécurité de l'Information ; et
- Conflits de clauses. En cas de contradiction entre les Clauses Contractuelles Types de l'EEE et la présente section, les stipulations sont interprétées de manière à garantir la meilleure protection possible des Personnes Concernées.
- Interprétation des Clauses Contractuelles Types de l'EEE pour les Pays Restreints. Dans le cas où et dans la mesure où la divulgation par le Client au Partenaire de Données à Caractère Personnel constitue un Autre Transfert de Données à Caractère Personnel, les Clauses Contractuelles Types de l'EEE sont intégrées aux présentes par voie de référence et s'appliquent de la manière indiquée ci-dessus au paragraphe de la Section 6, étant entendu que : (i) les références contenues dans les Clauses Contractuelles Types de l'EEE aux termes « UE », « Union », « État Membre de l'Union européenne », ou « État Membre » renvoient à la place à ce Pays Restreint ; (ii) les références aux termes « Règlement (UE) 2016/679 » ou « ce Règlement » renvoient à la place aux Lois sur la Protection des Données Personnelles dans ce Pays Restreint, et les références à des articles ou dispositions spécifiques du RGPD sont remplacées par la stipulation ou l'article le plus équivalent d'une Loi sur la Protection des Données Personnelles en vigueur dans ce Pays Restreint ; (iii) « Autorité de contrôle » renvoie à l'autorité chargée de la protection des données dans ce Pays Restreint ; (iv) les références aux « Clauses » désignent le présent paragraphe tel qu'il intègre et modifie ces Clauses.
- Transferts de Données hors du Royaume-Uni. Dans le cas et dans la mesure où les Données Personnelles traitées par le Partenaire sont soumises au Transfert de Données hors du Royaume-Uni, l'Addendum aux CCT du Royaume-Uni est intégré par voie de référence et s'applique comme suit :
- Établissement du Tableau 1. Le Tableau 1 de l'Addendum aux CCT du Royaume-Uni est complété par des informations sur le Client (qui agit en tant qu'exportateur de données) et des informations sur le Partenaire (qui agit en tant qu'importateur de données), comme prévu par le Contrat. La « date de début » est la date de début, la date d'entrée en vigueur ou la date équivalente dans le Contrat. Le « principal contact » pour le Client est le « Délégué à la Protection des Données » ou son représentant qui peut être contacté à l'adresse wmprivacy@warnermedia.com et le « principal contact » pour le Partenaire sera celui communiqué au Client à tout moment, y compris l'intitulé de son poste spécifique et son adresse électronique.
- Établissement des Tableaux 2 et 3. Le tableau 2 de l'Addendum aux CCT du Royaume-Uni est complété en sélectionnant « les CCT Approuvées par l'UE, y compris les informations de l'annexe et uniquement avec les modules, clauses ou dispositions facultatives suivants des CCT Approuvées par l'UE mises en application aux fins du présent Addendum ». Aux fins du Tableau 2 et du Tableau 3 de l'Addendum aux CCT du Royaume-Uni, les « CCT Approuvées par l'UE » sont complétées comme indiqué ci-dessus dans le présent paragraphe de la section 6.
- Établissement du Tableau 4. Le Tableau 4 de l'Addendum aux CCT du Royaume-Uni est complété en sélectionnant « aucune des parties ».
- Conflits de clauses. En cas de contradiction entre l'Addendum aux CCT du Royaume-Uni et les présentes Obligations Générales en matière de Confidentialité, l'Addendum aux CCT du Royaume-Uni prévaudra.
- Transferts de Données (Responsables de Traitement). Ce paragraphe s'applique lorsque la section 5 (Obligations des Responsables de Traitement) s'applique.
- Transferts de Données hors de l'EEE. Dans le cas où et dans la mesure où les Données Personnelles traitées par le Partenaire sont soumises au Transfert de Données hors de l'EEE, les Clauses Contractuelles Types de l'EEE sont intégrées par voie de référence et s'appliquent comme suit :
- Application. Le Partenaire agit en tant qu'importateur de données, et le Client agit en tant qu'exportateur de données ;
- Clause d'amarrage. Aux fins de la Section I, Clause 7, la clause d'amarrage facultative s'applique ;
- Modules. Le MODULE 1 (transfert de responsable du traitement à responsable de traitement) s'applique ;
- Correction. Aux fins de la Section II, Clause 11, la langue facultative ne s'applique pas ;
- Droit applicable. Aux fins de la Section IV, Clauses 17 et 18, dans la mesure autorisée par la Loi sur la Protection des Données Personnelles, les parties acceptent que leurs obligations respectives en vertu des Clauses Contractuelles Types de l'EEE sont régies par le droit en vigueur en République d'Irlande, et que les tribunaux irlandais sont compétents pour connaître de tout litige ;
- Complétion de l'Annexe I, Partie A. L'Annexe I, Partie A, (Liste des parties) est réputée complétée par : (i) des informations sur le Client (qui agit en tant qu'exportateur de données) ; et (ii) des informations sur le Partenaire (qui agit en tant qu'importateur de données), dans chaque cas tel que prévu par le Contrat ;
- Complétion de l'Annexe I, Partie B. L'Annexe I, Partie B (Description du transfert) des Clauses Contractuelles Types de l'EEE est réputée être complétée par les informations figurant dans la Description du Traitement ;
- Complétion de l'Annexe I, Partie C. En ce qui concerne l'Annexe I, Partie C (Autorité de contrôle compétente) des Clauses Contractuelles Types de l'EEE, dans la mesure autorisée par la Loi sur la Protection des Données Personnelles en vigueur, les parties désignent l'autorité chargée de la protection des données personnelles en République d'Irlande ;
- Complétion de l'Annexe II. L'Annexe II des Clauses Contractuelles Types de l'EEE (Mesures techniques et organisationnelles, y compris des mesures techniques et organisationnelles visant à assurer la sécurité des données) est réputée être complétée par les clauses énoncées dans les Obligations en matière de Sécurité de l'Information ; et
- Conflits de clauses. En cas de contradiction entre les Clauses Contractuelles Types de l'EEE et la présente section, les stipulations sont interprétées de manière à garantir la meilleure protection possible des Personnes Concernées.
- Interprétation des Clauses Contractuelles Types de l'EEE pour les Pays Restreints. Dans le cas où et dans la mesure où la divulgation par le Client au Partenaire, de Données à Caractère Personnel constitue un Autre Transfert de Données à Caractère Personnel, les Clauses Contractuelles Types de l'EEE sont intégrées aux présentes par voie de référence et s'appliquent de la manière indiquée ci-dessus au paragraphe de la Section 6, étant entendu que : (i) les références contenues dans les Clauses Contractuelles Types de l'EEE aux termes « UE », « Union », « État membre de l'Union européenne », ou « État membre » renvoient à la place à ce Pays Restreint ; (ii) les références aux termes « Règlement (UE) 2016/679 » ou « ce Règlement » renvoient à la place aux Lois sur la Protection des Données Personnelles dans ce Pays Restreint, et les références à des articles ou dispositions spécifiques du RGPD sont remplacées par la stipulation ou l'article le plus équivalent d'une Loi sur la Protection des Données Personnelles en vigueur dans ce Pays Restreint ; (iii) « Autorité de contrôle » renvoie à l'autorité chargée de la protection des données dans ce Pays Restreint ; (iv) les références aux « Clauses » désignent le présent paragraphe tel qu'il intègre et modifie ces Clauses.
- Transferts de Données hors du Royaume-Uni. Dans le cas et dans la mesure où les Données personnelles traitées par le Partenaire sont soumises au Transfert de Données hors du Royaume-Uni, l'Addendum aux CCT du Royaume-Uni est intégré par voie de référence et s'applique comme suit :
- Établissement du Tableau 1. Le Tableau 1 de l'Addendum aux CCT du Royaume-Uni est complété par des informations sur le Client (qui agit en tant qu'exportateur de données) et des informations sur le Partenaire (qui agit en tant qu'importateur de données), comme prévu par le Contrat. La « date de début » est la date de début, la date d'entrée en vigueur ou la date équivalente dans le Contrat. Le « principal contact » pour le Client est le « Délégué à la Protection des Données » ou son représentant qui peut être contacté à l'adresse wmprivacy@warnermedia.com et le « principal contact » pour le Partenaire sera celui communiqué au Client à tout moment, y compris l'intitulé de son poste spécifique et son adresse électronique.
- Établissement des Tableaux 2 et 3. Le Tableau 2 de l'Addendum aux CCT du Royaume-Uni est complété en sélectionnant « les CCT approuvées par l'UE, y compris les informations de l'annexe et uniquement avec les modules, clauses ou dispositions facultatives suivants des CCT Approuvées par l'UE mises en application aux fins du présent Addendum ». Aux fins du Tableau 2 et du Tableau 3 de l'Addendum aux CCT du Royaume-Uni, les « CCT Approuvées par l'UE » sont complétées comme indiqué ci-dessus dans le présent paragraphe de la Section 6.
- Établissement du Tableau 4. Le Tableau 4 de l'Addendum aux CCT du Royaume-Uni est complété en sélectionnant « aucune des parties ».
- Conflits de clauses. En cas de contradiction entre l'Addendum aux CCT du Royaume-Uni et la présente Section, l'Addendum aux CCT du Royaume-Uni prévaudra.
- Autres stipulations relatives aux transferts transfrontaliers. Le présent paragraphe s'applique dans le cas où et dans la mesure où les Données Personnelles Traitées par le Partenaire sont soumises à un Transfert de Données Personnelles hors de l'EEE ou du Royaume-Uni, ou à un Autre Transfert de Données à Caractère Personnel.
Mesures supplémentaires
- Les parties reconnaissent et conviennent que la décision de la Cour de justice de l'Union européenne dans l'Affaire C-311/18 a clarifié que mettre en place des mesures supplémentaires peut être nécessaire pour s'assurer que les Données à Caractère Personnel qui font l'objet d'un Transfert hors de l'EEE ou du Royaume-Uni, disposent d'un niveau de protection équivalent à celui qu'elles reçoivent lorsqu'elles sont traitées sur leur territoire d'origine (en plus des mesures de protection prévues par les Clauses Contractuelles Types de l'EEE). Par conséquent, les parties ont convenu d'adopter les mesures supplémentaires décrites aux Sections 6.4(b) à 6.4(g) afin de garantir cette équivalence essentielle.
- Si un Partenaire prend connaissance d'une demande émanant d'une autorité chargée de l'application de la loi ou d'une autorité réglementaire, judiciaire ou administrative (une « Autorité ») pour accéder à des Données à Caractère Personnel traitées dans le cadre du Contrat ou à en obtenir une copie, à titre volontaire ou obligatoire, le Partenaire doit :
- immédiatement informer le Client de la demande de cette Autorité ;
- lorsque la Section 4 (Obligations des Sous-traitants) s'applique, informer l'Autorité que le Partenaire agit en tant que Sous-traitant des Données à Caractère Personnel, et que le Client n'est pas autorisé à communiquer à l'Autorité de telles Données à Caractère Personnel ;
- informer l'Autorité que toutes les demandes d'accès à ces Données à Caractère Personnel devraient être notifiées ou signifiées au Client (qui agit en tant que Responsable de Traitement) par écrit ; et
- sous réserve de la Section 6.4(c), ne doit pas fournir à l'Autorité un accès à ces Données à Caractère Personnel, sauf autorisation écrite du Client.
- Par dérogation à la Section 6.4(b)(iv), le Partenaire peut, sans autorisation écrite et préalable du Client, divulguer des Données à Caractère Personnel à une Autorité dont il a reçu une demande à cet effet, sous réserve que (sauf disposition contraire du droit en vigueur) :
- Le Partenaire en informe le Client au moyen d'un préavis raisonnable afin de permettre raisonnablement au Client de s'y opposer ou de demander une ordonnance de protection ou toute autre mesure appropriée ;
- Le Partenaire coopère raisonnablement avec le Client, aux propres frais de ce dernier, pour permettre au Client de s'opposer à cette divulgation ou de demander une ordonnance de protection ou toute autre mesure appropriée ; et
- Le Partenaire ne divulgue, en tout état de cause, que la partie des Données à Caractère Personnel qu'il est légalement tenu de divulguer.
- Si le Partenaire divulgue des Données à Caractère Personnel à l'Autorité, il ne divulgue que celles qu'il est légalement tenu de communiquer et uniquement dans le respect des procédures légales applicables.
- Le Partenaire ne doit pas divulguer délibérément de Données à Caractère Personnel de façon massive ou systématique, au-delà de qui est strictement nécessaire ou proportionné dans une société démocratique.
- Le Partenaire doit mettre en place, maintenir, et respecter une politique écrite qui encadre les demandes de Données à Caractère Personnel émanant des Autorités, et qui interdit au moins :
- les divulgations massives ou systématiques de Données à Caractère Personnel des Personnes Concernées en Europe ; et
- la divulgation de Données à Caractère Personnel appartenant à des Personnes Concernées en Europe à une Autorité sans aucun(e) assignation ou citation à comparaître, mandat, ordonnance, jugement, ou toute autre décision légalement contraignante qui impose de divulguer ces Données à Caractère Personnel.
- Le Partenaire doit mettre en place et maintenir, conformément aux bonnes pratiques du secteur, des mesures visant à protéger les Données à Caractère Personnel contre toute interception (y compris lors de leur transfert entre le Client et le Partenaire, et entre différents systèmes et services). Ces mesures intègrent la mise en place et le maintien de mesures de protection du réseau pour empêcher les pirates informatiques d'intercepter des données, et des mesures de chiffrement des données en transit pour empêcher les pirates de les consulter.
Autres stipulations relatives aux transferts transfrontaliers.
- Le Partenaire accepte de coopérer de bonne foi pour signer tous les autres documents nécessaires et appliquer les mesures de protection supplémentaires, ou pour limiter le Traitement à certains territoires, lorsque le Client le juger nécessaire afin de Transférer des données hors de l'EEE ou du Royaume-Uni ou d'effectuer d'Autres Transferts (le cas échéant).
- Si le Partenaire Traite à tout moment des Données à Caractère Personnel provenant d'un pays qui limite le Transfert de Données à Caractère Personnel vers un autre pays dont le niveau de protection des données est jugé inadéquat pour lui permettre de recevoir des Données Personnelles, alors le Partenaire, selon les instructions du Client :
- prend toutes les mesures et signe tous les documents nécessaires en vertu de la Loi sur la Protection des Données Personnelles dans ce pays pour légitimer ce Traitement ; et
- assure un niveau de protection adéquat des Données à Caractère Personnel du Client.
- Dans le cas où une autorité compétente chargée de la protection des données décide qu'un mécanisme de transfert des données utilisé par les parties est invalide, ou qu'une autorité compétente chargée de la protection des données ou le droit en vigueur exige la suspension d'un transfert de Données Personnelles effectué sur la base de ce mécanisme ou sa limitation à un territoire spécifique, le Client peut alors, à sa discrétion, demander au Partenaire d'interrompre le Traitement des Données Personnelles ou de coopérer avec lui de bonne foi pour faciliter l'utilisation d'un mécanisme de transfert alternatif, signer de nouveaux documents, appliquer d'autres mesures de protection, ou limiter le Traitement à certains territoires.
- Cette section s'applique à tous les Partenaires.
- En plus des obligations d'indemnisation prévues au Contrat, le Partenaire devra protéger, indemniser et dégager le Client de toute responsabilité au titre des réclamations, actions, coûts, passifs, pertes, dommages et dépenses de tiers (y compris les honoraires d'avocat) engagés par le Client à la suite ou dans le cadre : (i) d'un Incident de sécurité ; ou (ii) du non-respect du présent Addendum par le Partenaire ou ses sociétés affiliées, ses Sous-traitants Ultérieurs (y compris les Sous-traitants Ultérieurs désignés par les sociétés affiliées du Partenaire) et ses bénéficiaires, y compris sans s'y limiter une réclamation ou une action formée par une autorité chargée de la protection des données ou par une Personne Concernée.
DOS