view in:

OBLIGATIONS GÉNÉRALES EN MATIÈRE DE CONFIDENTIALITÉ

DERNIÈRE MISE À JOUR: 24 août 2023
1. INTRODUCTION
  1. Les présentes obligations générales en matière de confidentialité (les « Obligations générales en matière de confidentialité ») décrivent un certain nombre d'obligations en matière de protection des données que nous demandons à nos fournisseurs et autres partenaires (ensemble, les « Partenaires ») de respecter dans le cadre de la fourniture de leurs produits et services. Ces Obligations générales en matière de confidentialité sont complémentaires à tout contrat que nous avons conclu avec nos Partenaires et en font partie intégrante lorsqu'elles y ont été intégrées (le « Contrat »).
  2. Les différentes sections des présentes Obligations générales en matière de confidentialité s'appliquent en fonction de la nature de notre relation avec le Partenaire. Nous précisons dans chaque section leur champ d'application.
2. DÉFINITIONS
  1. Cette section s'applique à tous les Partenaires.
  2. Aux fins des présentes Obligations générales en matière de confidentialité, les termes ci-après ont le sens qui leur est attribué comme suit :
    1. « Responsable du traitement » désigne la personne physique ou morale qui, seule ou conjointement, détermine les finalités et les moyens du Traitement des Données à caractère personnel ;
    2. « Client », « nous », « notre » et « nos » désignent : (i) l'entité Warner Bros. Discovery identifiée dans le Contrat et partie à celui-ci ; et (ii) toute société affiliée ou filiale qui contrôle, qui est contrôlée par, ou qui est sous contrôle conjoint avec l'entité Warner Bros. Discovery désignée dans le Contrat ;
    3. « Loi sur la protection des Données personnelles » désigne une constitution, une loi, une statut, un traité, une règle, un règlement, une ordonnance ou un code fédéral, étatique, provincial, local, municipal, étranger, international, multinational ou autre, ou une recommandation adopté(e) par les autorités compétentes pour les interpréter ou imposer leur application, relative au traitement des données à caractère personnel, la vie privée, la protection des données (la protection des Données à caractère personnel), ou la cybersécurité, et telle que modifiée à tout moment ;
    4. « Personne concernée » désigne la personne à laquelle se rapportent les Données à caractère personnel ;
    5. « Demande d'une personne concernée » désigne toute demande d'information, d'accès, de rectification, d'effacement, de limitation du traitement, de portabilité, d'opposition, de refus de vente, de suppression et toutes les autres demandes similaires d'une Personne concernée ;
    6. « Description du traitement » désigne la description des Données à caractère personnel qui sont traitées par un Partenaire en vertu du Contrat ;
    7. « EEE » désigne l'Espace économique européen ;
    8. « Transfert de données hors de l'EEE » désigne le transfert de Données à caractère personnel : (a) régi par le RGPD ; (b) vers un destinataire dans un pays ou territoire situé en dehors de l'EEE ; et (c) qui n'est pas couvert par une décision d'adéquation prise par la Commission européenne ;
    9. « Clauses contractuelles types de l'EEE » désignent les clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du Règlement (UE) 2016/679 du Parlement européen et du Conseil, adoptées par décision de la Commission européenne du 4 février 2021 C(2021) 3972, disponibles à l'adresse https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?url=CELEX:32021D0914&locale= en ;
    10. « RGPD » désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (Règlement général sur la protection des données) ;
    11. « Obligations en matière de sécurité de l'information » désignent toutes les obligations applicables en matière de sécurité de l'information qui sont jointes au Contrat ou qui en font partie intégrante ;
    12. « Autre transfert de données à caractère personnel » désigne un transfert de Données à caractère personnel : (i) qui est régi par la législation d'un pays qui limite le transfert de Données à caractère personnel vers un autre pays qui n'est pas considéré adéquat pour recevoir des Données à caractère personnel (« Pays restrictif ») ; et (ii) qui n'est pas un Transfert de données hors de l'EEE ou un Transfert de données hors du Royaume-Uni ;
    13. « Données à caractère personnel » désignent les informations relatives à une personne physique identifiée ou identifiable, y compris les informations définies comme des « données d'identification », des « informations personnelles », des « données personnelles » ou définies par d'autres termes similaires en vertu des Lois sur la protection des Données personnelles, qui se limitent aux Données à caractère personnel Traitées par le Partenaire dans le cadre du Contrat ;
    14. « Traitement », « Traiter », « Traite(nt) », ou « Traitées » désignent une opération, ou un ensemble d'opérations, portant sur des Données à caractère personnel, par des moyens automatiques ou non , y compris la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation, la modification, la consultation, l'utilisation, la communication par transmission, le transfert, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou la combinaison, la limitation, l'effacement ou la destruction des Données à caractère personnel ;
    15. « Sous-traitant » désigne la personne physique ou morale qui Traite les Données à caractère personnel pour le compte du Responsable de traitement ;
    16. « Incident de sécurité » désigne : (i) toute interruption majeure des activités de Traitement du Partenaire ; (ii) tout acquisition, perte, accès, utilisation ou utilisation abusive, ou perte des possibilités d'utiliser les Données à caractère personnel, de manière non autorisée (y compris la perte des supports de stockage sur lesquels sont conservées les Données à caractère personnel) ; ou (iii) toute violation de la sécurité ayant pour conséquence la destruction, la perte, l'altération, l'utilisation ou l'utilisation abusive, la divulgation non autorisée de Données à caractère personnel, ou l'accès à de telles données, de manière accidentelle ou illicite ;
    17. « Données sensibles » désignent les Données à caractère personnel qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'appartenance syndicale, la santé physique ou mentale, la vie sexuelle ou l'orientation sexuelle; le Traitement des données génétiques, de données biométriques aux fins d'identifier une Personne concernée de manière unique; les Données à caractère personnel relatives aux condamnations pénales et infractions ou mesures de sécurité associées, les numéros d'identification émis par le gouvernement, les identifiants de connexion, les numéros des comptes bancaires y compris les numéros de carte de paiement, les données précises de localisation, les contenus des communications qui ne sont pas directement adressés au Partenaire ou au Client, et les sous-catégories des Données à caractère personnel qui sont réputées « sensibles » ou qui nécessitent une protection renforcée au titre des Lois sur la protection des Données personnelles en vigueur ;
    18. « Services » ont le sens qui leur est attribué dans le Contrat ou, à défaut d'y être définis, désignent les produits ou services qui nous sont fournis par le Partenaire en vertu du Contrat ;
    19. « Sous-traitant ultérieur » désigne la personne physique ou morale qui Traite les Données à caractère personnel pour le compte d'un Sous-traitant ;
    20. « Transfert de données hors du Royaume-Uni » désigne le transfert de Données à caractère personnel : (a) régi par le RGPD du Royaume-Uni ; (b) vers un destinataire dans un pays ou territoire situé en dehors du Royaume-Uni ; et (c) qui n'est pas couvert par décision d'adéquation prise par le secrétaire d'État britannique ;
    21. « RGPD du Royaume-Uni » désigne le RGPD tel qu'intégré aux lois en vigueur en Angleterre et au Pays de Galles, en Écosse et en Irlande du Nord en vertu de l'article 3 du European Union (Withdrawal) Act 2018 (Loi sur le retrait de l'Union européenne) ; et
    22. « Addendum aux CCT du Royaume-Uni » désigne le modèle d'addendum publié par l'Information Commissioner Office (ICO) du Royaume-Uni et déposé devant le Parlement conformément à l'article s119A de la loi sur la protection des données 2018 le 2 février 2022, tel que révisé en vertu de l'article 18 et disponible à l'adresse https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf.
3. CONDITIONS POUR TOUS LES PARTENAIRES
  1. Cette section s'applique à tous les Partenaires.
  2. Respect de la loi. Le Partenaire respecte toutes les Lois sur la protection des Données personnelles applicables et offre un niveau de protection des données approprié conformément à ses obligations prévues aux présentes. Le Partenaire informe le Client à l'adresse wbdprivacy@wbd.com s'il n'est plus en mesure de respecter ses obligations au titre de la Loi sur la protection des Données personnelles. Le Client aura le droit de prendre les mesures appropriées visant à cesser et à corriger tout Traitement non autorisé de Données à caractère personnel par le Partenaire.
  3. Sécurité. Le Partenaire mettra en place et maintiendra des mesures techniques et organisationnelles appropriées et adéquates afin de protéger les Données à caractère personnel. Les mesures de sécurité du Partenaire doivent viser à : (i) garantir la confidentialité, la disponibilité, et l'intégrité des Données à caractère personnel ; (ii) assurer une protection contre toute menace ou risque prévisible pour la sécurité ou l'intégrité des Données à caractère personnel ; et (iii) protéger les Données à caractère personnel contre leur Traitement non autorisé.
  4. Communication des tiers. Si un Partenaire reçoit une communication d'une personne physique, d'un régulateur, d'une administration publique ou d'un autre tiers qui concerne :
    1. Le Traitement par le Partenaire des Données à caractère personnel dans le cadre du Contrat ; ou
    2. Le Traitement par le Client des Données à caractère personnel,

    Le Partenaire (sauf disposition légale contraire) en informer immédiatement le Client (à l'adresse wbdprivacy@wbd.com) en lui donnant tous les détails de cette communication, et doit coopérer dans toute la mesure raisonnablement exigée par le Client pour répondre à cette communication. Le Partenaire ne peut répondre directement à ces communications sans autorisation préalable du Client, sauf en cas d'obligation légale.
  5. Réponse aux demandes et aux incidents. Le Partenaire s'abstiendra de mentionner le Client (ou une filiale ou société affiliée du Client) sans avoir préalablement obtenu l'accord écrit de celui-ci, dans toute : (i) réponse à une Personne concernée ; (ii) communication publique relative au Traitement ; (iii) notification d'un Incident de sécurité, ou (iv) divulgation faite à une autorité chargée de la protection de données ou à une autre entité légale en ce qui concerne le Traitement.
  6. Durée et survie.
    1. Les présentes Obligations générales en matière de confidentialité prendront fin si un Partenaire cesse de Traiter les Données à caractère personnel dans le cadre du Contrat.
    2. Sauf mention contraire dans cette section 3 (Conditions pour tous les partenaires), les Sections 3.4, 3.5, 3.8 et 7 resteront en vigueur après la résiliation ou l'expiration du Contrat et des présentes Obligations générales en matière de confidentialité.
  7. Traductions. En cas de conflit entre la version anglaise des présentes Obligations générales en matière de confidentialité et une autre version dans une autre langue, la version anglaise qui prévaudra.
  8. Aucune limitation de responsabilité. Afin de lever toute ambiguïté, les responsabilités des parties au titre des présentes Obligations générales en matière de confidentialité ne sont pas soumises aux clauses limitatives ou exonératoires de responsabilité figurant dans le Contrat.
  9. Aucun accord de partenariat. Rien dans ces Obligations générales en matière de confidentialité ne sera réputé former un contrat de travail, de coentreprise, d'agence ou de partenariat entre les parties, et aucune des parties n'est autorisée ni n'agira à l'égard d'une tierce partie, d'une entité individuelle ou du public de manière à suggérer l'existence d'un tel accord.
4. CONDITIONS POUR LES SOUS-TRAITANTS
  1. Cette section s'applique dans la mesure où :
    1. Le Partenaire Traite les Données à caractère personnel en tant que Sous-traitant pour le compte du Client ; ou
    2. Le Contrat indique expressément que la présente section s'applique.
  2. Instructions. Le Partenaire ne Traitera les Données à caractère personnel que conformément aux instructions documentées du Client (sauf obligation contraire de Traiter ces Données à caractère personnel conformément à une exigence légale à laquelle est soumis le Partenaire, auquel cas le Partenaire informera le Client de l'existence d'une telle exigence légale avant de procéder au Traitement, à moins que cette exigence légale lui interdise d'en informer le Client). Les instructions documentées du Client visent à Traiter les Données à caractère personnel : (i) dans la mesure nécessaire pour permettre au Partenaire de fournir les Services et d'exécuter toute autre obligation imposée par le Contrat ; et (ii) tel que formulé par le Client à tout moment par écrit. Le Partenaire informe immédiatement le Client de toute directive ou instruction écrite du Client, qui selon lui est contraire à la Loi sur la protection des Données personnelles applicable.
  3. Description du Traitement. Une description de l'objet et la durée du Traitement, la nature et la finalité du Traitement, les catégories de Données à caractère personnel et les catégories de Personnes concernées, figurent dans la Description du Traitement.
  4. Limitation d'utilisation. Le Partenaire ne doit pas : (i) vendre les Données à caractère personnel ou autrement les divulguer en échange d'une contrepartie monétaire ou de toute autre contrepartie de valeur ; (ii) Traiter les Données à caractère personnel à d'autres fins que celle de fournir les Services ou respecter des directives du Client ; (iii) Traiter les Données à caractère personnel autrement que dans le cadre de sa relation commerciale directe avec le Client ; ou (iv) combiner les Données à caractère personnel avec des données personnelles reçues de ou pour le compte d'autres personnes, ou collectées auprès de consommateurs. Le Partenaire garantit qu'il comprend et qu'il respectera les limitations imposées par la présente section.
  5. Demandes des personnes concernées. Le Partenaire informe immédiatement le Client de toute communication ou Demande d'une personne concernée ou faite pour le compte d'une Personne concernée, relative aux Données à caractère personnel qu'il Traite dans le cadre des Services, sans répondre à la Personne concernée sauf pour accuser réception de cette communication ou Demande d'une personne concernée (sauf disposition contraire de la Loi sur la protection des Données personnelles ou sauf instruction contraire du Client). Le Partenaire aide le Client dans la mesure nécessaire pour lui permettre de répondre aux Demandes d'une personne concernée, y compris en lui fournissant des mesures techniques et organisationnelles appropriées, et des outils et fonctionnalités de produit nécessaires. Le Partenaire lui apporte son aide dans les meilleurs délais, et en tout état de cause dans un délai de cinq (5) jours suivant la Demande d'une personne concernée ou la demande d'aide du Client. Lorsque les circonstances le permettent, et sur demande raisonnable du Client, le Partenaire aide le Client à informer les individus au sujet du Traitement de leurs Données à caractère personnel, y compris en fournissant ou en adressant aux Personnes concernées une notice ou une politique de confidentialité conforme aux Lois sur la protection des Données personnelles. Le Partenaire maintient et fournit au Client un accès raisonnable aux dossiers complets et exact des Demandes d'une personne concernée pour lesquelles le Partenaire apporte son aide.
  6. Obligation de confidentialité du personnel. Le Partenaire veille à ce que chacun des membres de son personnel soit tenu par une obligation de confidentialité à l'égard des Données à caractère personnel.
  7. Sécurité. Le Partenaire met en place et maintient les pratiques et procédures de sécurité de l'information énoncées dans les Obligations en matière de sécurité de l'information.
  8. Audit et assistance. En dépit des clauses d'audit contenues dans les Obligations en matière de sécurité de l'information, le Partenaire doit :
    1. Fournir au Client toutes les informations et l'aide raisonnablement exigée afin de confirmer le respect par ce Partenaire de ces Obligations générales en matière de confidentialité, y compris l'aider à effectuer les analyses d'impact relatives à la protection des données et à consulter les autorités chargées de la protection des données. En outre, le Partenaire fournit toute l'aide raisonnablement nécessaire pour permettre au Client de respecter la Loi sur la protection des Données personnelles ; et
    2. Sur demande du Client, le Partenaire présente son programme de protection des données et ses équipements de Traitement des Données à caractère personnel afin de vérifier leur conformité aux présentes Obligations générales en matière de confidentialité et/ou aux Lois sur la protection des Données personnelles applicables. L'audit peut être effectué par le Client ou par un représentant désigné pour son compte, sous réserve que le représentant accepte de conclure un accord de confidentialité acceptable pour le Partenaire. Le Client adresse un préavis raisonnable pour mener l'audit, et effectue l'audit pendant les heures normales de bureau, sans perturber de manière déraisonnable les activités du Partenaire. Afin de lever toute ambiguïté, la présente clause n'oblige pas le Partenaire à accorder au Client un accès aux informations confidentielles des autres clients du Partenaire.
  9. Incidents de sécurité. Le Partenaire informe immédiatement, et en tout état de cause dans un délai de quarante-huit (48) heures au plus tard, le Client par courrier électronique à l'adresse cybersecurity@wbd.com, de tout Incident de sécurité réel ou raisonnablement suspecté. À la demande du Client, le Partenaire lui communique toutes les informations et lui apporte toute l'aide raisonnablement demandée par le Client afin d'enquêter, d'atténuer et de répondre à un Incident de sécurité, y compris au minimum, toute information ou aide qui est exigée par la Loi sur la protection des Données personnelles applicable ou qui est nécessaire pour permettre au Client de notifier l'Incident de sécurité. Le Partenaire accepte de consulter le Client avant d'effectuer toute déclaration publique ou avant d'informer l'autorité chargée de la protection des données ou la Personne concernée en ce qui concerne un Incident de sécurité. Le Partenaire est responsable, et doit s'acquitter auprès du Client sur demande de ce dernier, de tous les frais, passifs, pertes, dommages et dépenses (y compris les honoraires d'avocat) engagés par le Client à la suite ou dans le cadre d'un Incident de sécurité impactant les Données à caractère personnel Traitées par le Partenaire, ses sociétés affiliées, bénéficiaires, ou Sous-traitants ultérieurs.
  10. Sous-traitance ultérieure. Le Partenaire peut faire appel à un Sous-traitant ultérieur afin de Traiter, ou autoriser un Sous-traitant ultérieur à Traiter des Données à caractère personnel pour son compte, à condition que ce Partenaire :
    1. conclue avec chaque Sous-traitant ultérieur un accord écrit qui prévoit des obligations au moins aussi contraignantes que celles qui figurent dans les présentes Obligations générales en matière de confidentialité applicables au Partenaire ;
    2. fasse preuve de toute la diligence raisonnable pour s'assurer que chaque Sous-traitant ultérieur agisse dans toute la mesure nécessaire pour permettre au Partenaire de respecter ses obligations imposées par les présentes Obligations générales en matière de confidentialité applicables au Partenaire ;
    3. notifie au Client à l'avance et par écrit, tout nouveau Sous-traitant ultérieur qu'il souhaite engager. Le Client dispose de trente (30) jours à compter de la réception de cette notification pour s'opposer au recrutement par le Partenaire du nouveau Sous-traitant ultérieur. Si le Client ne s'y oppose pas dans ce délai, le Partenaire peut autoriser le Sous-traitant ultérieur à Traiter les Données à caractère personnel. Si le Client s'oppose au recours à un Sous-traitant ultérieur, le Partenaire répondra aux objections du Client dans un délai de dix (10) jours à compter de leur réception. Si le Partenaire n'est pas en mesure de proposer, en réponse aux objections du Client, une solution satisfaisante pour celui-ci dans ce délai de dix (10) jours, le Client peut résilier immédiatement et à tout moment le Contrat sans pénalité, par écrit adressé au Partenaire. Le Partenaire n'autorisera pas le Sous-traitant ultérieur à Traiter les Données à caractère personnel pendant (i) une durée de trente (30) jours à compter de la notification de recrutement d'un nouveau Sous-traitant ultérieur, ou (ii) toute la période pendant laquelle le Partenaire n'a pu proposer une solution satisfaisante en réponse aux objections du Client ; et
    4. reste entièrement responsable du Traitement des Données à caractère personnel effectué par chaque Sous-traitant ultérieur.
  11. Suppression ou restitution. Dès la résiliation ou l'expiration du Contrat, ou sauf instruction contraire du Client, le Partenaire doit, conformément aux instructions du Client : (i) restituer au Client (ou à une tierce partie désignée par le Client) une copie complète des Données à caractère personnel qu'il a Traitées dans le cadre du Contrat, dans un format raisonnablement convenu par les parties ; et (ii) supprimer en toute sécurité les Données à caractère personnel (y compris toutes les copies) en sa possession ou sous sa garde, qu'il a Traitées dans le cadre du Contrat.
5. CONDITIONS POUR LES RESPONSABLES DE TRAITEMENT
  1. Cette section s'applique dans la mesure où :
    1. Le Partenaire détermine en toute indépendance les finalités et les moyens du Traitement des Données à caractère personnel qu'il effectue dans le cadre du Contrat ; ou
    2. Le Contrat indique expressément que la présente section s'applique.
  2. Notifications et transparence. Le Partenaire met en place et maintient une politique de confidentialité claire et facilement consultable qui informe les Personnes concernées (dont les Données à caractère personnel sont Traitées par le Partenaire dans le cadre du Contrat) sur la manière dont il Traite leurs Données à caractère personnel, et qui soit conforme à toutes les lois applicables.
  3. Incidents de sécurité. Le Partenaire informe immédiatement le Client concerné de tout Incident de sécurité réel ou raisonnablement suspecté qui a des répercussions sur les Données à caractère personnel Traitées dans le cadre du Contrat, et lui communique immédiatement des informations sur la nature de l'Incident de sécurité, les Données à caractère personnel concernées, et les mesures qu'il compte mettre en place pour répondre et atténuer l'Incident de sécurité.
  4. Confidentialité. Le Partenaire veille à ce que chacun des membres de son personnel soit tenu par une obligation de confidentialité à l'égard des Données à caractère personnel.
6. TRANSFERTS INTERNATIONAUX
  1. Cette section s'applique aux Partenaires dans le cadre d'un Transfert de données hors de l'EEE ou Transfert de données hors du Royaume-Uni, ou de tout Autre transfert de données à caractère personnel.
  2. Transferts de données (Sous-traitants). Ce paragraphe s'applique lorsque la section 4 (Conditions pour les Sous-traitants) s'applique.
    1. Transferts de données hors de l'EEE. Dans le cas et dans la mesure où les Données à caractère personnel Traitées par le Partenaire sont soumises à un Transfert de données hors de l'EEE, les Clauses contractuelles types de l'EEE sont intégrées aux présentes par renvoi et s'appliquent comme suit :
      1. Application. Le Partenaire agit en tant qu'importateur de données, et le Client agit en tant qu'exportateur de données ;
      2. Clause d'amarrage. Aux fins de la Section I, Clause 7, la clause d'amarrage facultative s'applique ;
      3. Modules. Le MODULE 2 (transfert de responsable de traitement à sous-traitant) s'applique.
      4. Instructions. Aux fins de la Section II, Clause 8.1 (Module 2), les instructions données à l'importateur de données sont des instructions consistant à Traiter les Données à caractère personnel dans la mesure nécessaire à la prestation des Services et/ou à la distribution des produits par le Partenaire, et de la manière prévue par le Contrat ;
      5. Sous-traitants ultérieurs. Aux fins de la Section II, Clause 9 (Module 2), l'Option 2 s'applique (et la durée de préavis que doit respecter l'importateur de données pour informer l'exportateur de données de toute modification qu'il souhaite effectuer doit être de trente (30) jours) ;
      6. Correction. Aux fins de la Section II, Clause 11, la langue facultative ne s'applique pas ;
      7. Droit applicable. Aux fins de la Section IV, Clauses 17 et 18, dans la mesure autorisée par la Loi sur la protection des Données personnelles applicable, les parties acceptent que leurs obligations respectives en vertu des Clauses contractuelles types de l'EEE sont régies par le droit en vigueur en République d'Irlande, et que les tribunaux irlandais sont compétents pour connaître de tout litige ;
      8. Informations de l'Annexe I, Partie A. L'Annexe I, Partie A, (Liste des parties) est réputée complétée par : (i) les informations sur le Client (qui agit en tant qu'exportateur de données) ; et (ii) les informations sur le Partenaire (qui agit en tant qu'importateur de données), dans chaque cas tel que prévu par le Contrat ;
      9. Informations de l'Annexe I, Partie B. L'Annexe I, Partie B (Description du transfert) des Clauses contractuelles types de l'EEE est réputée être complétée par les informations figurant dans la Description du traitement ;
      10. Informations de l'Annexe I, Partie C. En ce qui concerne l'Annexe I, Partie C (Autorité de contrôle compétente) des Clauses contractuelles types de l'EEE, dans la mesure autorisée par la Loi sur la protection des Données personnelles applicable, les parties désignent l'autorité chargée de la protection des données personnelles en République d'Irlande ;
      11. Informations de l'Annexe II. L'Annexe II des Clauses contractuelles types de l'EEE (Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à assurer la sécurité des données) est réputée être complétée par les clauses énoncées dans les Obligations en matière de sécurité de l'information ; et
      12. Conflits de clauses. En cas de contradiction ou d'incohérence entre les Clauses contractuelles types de l'EEE et la présente Section, les stipulations sont interprétées de manière à garantir la meilleure protection possible des Personnes concernées.
    2. Interprétation des Clauses contractuelles types de l'EEE pour les Pays restrictifs. Dans le cas et dans la mesure où la divulgation par le Client au Partenaire de Données à caractère personnel constitue un Autre transfert de données à caractère personnel, les Clauses contractuelles types de l'EEE sont intégrées aux présentes par renvoi et s'appliquent de la manière indiquée ci-dessus dans le présent paragraphe de la Section 6, à l'exception des points suivants : (i) les références contenues dans les Clauses contractuelles types de l'EEE aux termes « UE », « Union », « État membre de l'Union européenne », ou « État membre » renvoient à la place à ce Pays restrictif ; (ii) les références aux termes « Règlement (UE) 2016/679 » ou « ce Règlement » renvoient à la place aux Lois sur la protection des Données personnelles dans ce Pays restrictif, et les références à des articles ou dispositions spécifiques du RGPD sont remplacées par la stipulation ou l'article le plus équivalent de la Loi sur la protection des Données personnelles en vigueur dans ce Pays restrictif ; (iii) « Autorité de contrôle » renvoie à l'autorité chargée de la protection des données dans ce Pays restrictif ; (iv) les références aux « Clauses » désignent le présent paragraphe tel qu'il intègre et modifie ces Clauses.
    3. Transferts de données hors du Royaume-Uni. Dans le cas et dans la mesure où les Données à caractère personnel Traitées par le Partenaire sont soumises à un Transfert de données hors du Royaume-Uni, l'Addendum aux CCT du Royaume-Uni sont intégrées par renvoi et s'appliquent comme suit :
      1. Établissement du tableau 1. Le tableau 1 de l'Addendum aux CCT du Royaume-Uni est complété par les informations sur le Client (qui agit en tant qu'exportateur de données) et les informations sur le Partenaire (qui agit en tant qu'importateur de données), comme prévu par le Contrat. La « date de début » est la date de début, la date d'entrée en vigueur ou la date équivalente dans le Contrat. Le « contact principal» pour le Client est le « Responsable de la Protection des données » ou son représentant qui peut être contacté à l'adresse wbdprivacy@wbd.com et le « contact principal» pour le Partenaire sera celui communiqué au Client à tout moment, y compris l'intitulé de son poste spécifique et son adresse électronique.
      2. Établissement des tableaux 2 et 3. Le tableau 2 de l'Addendum aux CCT du Royaume-Uni est complété en sélectionnant « les CCT approuvées par l'UE, y compris les informations de l'annexe et uniquement avec les modules, clauses ou dispositions facultatives suivants des CCT approuvées par l'UE mises en application aux fins du présent Addendum ». Aux fins du tableau 2 et du tableau 3 de l'Addendum aux CCT du Royaume-Uni, les « CCT approuvées par l'UE » sont complétées comme indiqué ci-dessus dans le présent paragraphe de la section 6.
      3. Établissement du tableau 4. Le tableau 4 de l'Addendum aux CCT du Royaume-Uni est complété en sélectionnant « aucune des parties ».
      4. Conflits de clauses. En cas de contradiction ou d'incohérence entre l'Addendum aux CCT du Royaume-Uni et les présentes Obligations générales en matière de confidentialité, l'Addendum aux CCT du Royaume-Uni prévaudra.
  3. Transferts de données (Responsables du traitement). Ce paragraphe s'applique lorsque la section 5 (Conditions pour les Responsables de traitement) s'applique.
    1. Transferts de données hors de l'EEE. Dans le cas et dans la mesure où les Données à caractère personnel Traitées par le Partenaire sont soumises à un Transfert de données hors de l'EEE, les Clauses contractuelles types de l'EEE sont intégrées aux présentes par renvoi et s'appliquent comme suit :
      1. Application. Le Partenaire agit en tant qu'importateur de données, et le Client agit en tant qu'exportateur de données ;
      2. Clause d'amarrage. Aux fins de la Section I, Clause 7, la clause d'amarrage facultative s'applique ;
      3. Modules. LE MODULE 1 (transfert de responsable du traitement à responsable de traitement) s'applique ;
      4. Correction. Aux fins de la Section II, Clause 11, la langue facultative ne s'applique pas ;
      5. Droit applicable. Aux fins de la Section IV, Clauses 17 et 18, dans la mesure autorisée par la Loi sur la protection des Données personnelles applicable, les parties acceptent que leurs obligations respectives en vertu des Clauses contractuelles types de l'EEE sont régies par le droit en vigueur en République d'Irlande, et que les tribunaux irlandais sont compétents pour connaître de tout litige ;
      6. Informations de l'Annexe I, Partie A. L'Annexe I, Partie A, (Liste des parties) est réputée complétée par : (i) les informations sur le Client (qui agit en tant qu'exportateur de données) ; et (ii) les informations sur le Partenaire (qui agit en tant qu'importateur de données), dans chaque cas tel que prévu par le Contrat ;
      7. Informations de l'Annexe I, Partie B. L'Annexe I, Partie B (Description du transfert) des Clauses contractuelles types de l'EEE est réputée être complétée par les informations figurant dans la Description du traitement ;
      8. Informations de l'Annexe I, Partie C. En ce qui concerne l'Annexe I, Partie C (Autorité de contrôle compétente) des Clauses contractuelles types de l'EEE, dans la mesure autorisée par la Loi sur la protection des Données personnelles applicable, les parties désignent l'autorité chargée de la protection des données personnelles en République d'Irlande ;
      9. Informations de l'Annexe II. L'Annexe II des Clauses contractuelles types de l'EEE (Mesures techniques et organisationnelles, y compris des mesures techniques et organisationnelles visant à assurer la sécurité des données) est réputée être complétée par les clauses énoncées dans les Obligations en matière de sécurité de l'information ; et
      10. Conflits de clauses. En cas de contradiction ou d'incohérence entre les Clauses contractuelles types de l'EEE et la présente Section, les stipulations sont interprétées de manière à garantir la meilleure protection possible des Personnes concernées.
    2. Interprétation des Clauses contractuelles types de l'EEE pour les Pays restrictifs. Dans le cas et dans la mesure où la divulgation par le Client au Partenaire, de Données à caractère personnel constitue un Autre transfert de données à caractère personnel, les Clauses contractuelles types de l'EEE sont intégrées aux présentes par renvoi et s'appliquent de la manière indiquée ci-dessus dans le présent paragraphe de la Section 6, à l'exception des points suivants : (i) les références contenues dans les Clauses contractuelles types de l'EEE aux termes « UE », « Union », « État membre de l'Union européenne », ou « État membre » renvoient à la place à ce Pays restrictif ; (ii) les références aux termes « Règlement (UE) 2016/679 » ou « ce Règlement » renvoient à la place aux Lois sur la protection des Données personnelles dans ce Pays restrictif, et les références à des articles ou dispositions spécifiques du RGPD sont remplacées par la stipulation ou l'article le plus équivalent de la Loi sur la protection des Données personnelles en vigueur dans ce Pays restrictif ; (iii) « Autorité de contrôle » renvoie à l'autorité chargée de la protection des données dans ce Pays restrictif ; (iv) les références aux « Clauses » désignent le présent paragraphe tel qu'il intègre et modifie ces Clauses.
    3. Transferts de données hors du Royaume-Uni. Dans le cas et dans la mesure où les Données à caractère personnel Traitées par le Partenaire sont soumises à un Transfert de données hors du Royaume-Uni, l'Addendum aux CCT du Royaume-Uni sont intégrées par renvoi et s'appliquent comme suit :
      1. Établissement du tableau 1. Le tableau 1 de l'Addendum aux CCT du Royaume-Uni est complété par les informations sur le Client (qui agit en tant qu'exportateur de données) et les informations sur le Partenaire (qui agit en tant qu'importateur de données), comme prévu par le Contrat. La « date de début » est la date de début, la date d'entrée en vigueur ou la date équivalente dans le Contrat. Le « contact principal » pour le Client est le « Responsable de la Protection des données » ou son représentant qui peut être contacté à l'adresse wbdprivacy@wbd.com et le « contact principal » pour le Partenaire sera celui communiqué au Client à tout moment, y compris l'intitulé de son poste spécifique et son adresse électronique.
      2. Établissement des tableaux 2 et 3. Le tableau 2 de l'Addendum aux CCT du Royaume-Uni est complété en sélectionnant « les CCT approuvées par l'UE, y compris les informations de l'annexe et uniquement avec les modules, clauses ou dispositions facultatives suivants des CCT approuvées par l'UE mises en application aux fins du présent Addendum ». Aux fins du tableau 2 et du tableau 3 de l'Addendum aux CCT du Royaume-Uni, les « CCT approuvées par l'UE » sont complétées comme indiqué ci-dessus dans le présent paragraphe de la section 6.
      3. Établissement du tableau 4. Le tableau 4 de l'Addendum aux CCT du Royaume-Uni est complété en sélectionnant « aucune des parties ».
      4. Conflits de clauses. En cas de contradiction ou d'incohérence entre l'Addendum aux CCT du Royaume-Uni et la présente Section, l'Addendum aux CCT du Royaume-Uni prévaudra.
  4. Autres stipulations relatives aux transferts internationaux. Le présent paragraphe s'applique dans le cas et dans la mesure où les Données à caractère personnel Traitées par le Partenaire sont soumises à un Transfert de données hors de l'EEE ou du Royaume-Uni, ou à un Autre transfert de données à caractère personnel.
    Mesures supplémentaires
    1. Les parties reconnaissent et conviennent que la décision de la Cour de justice de l'Union européenne dans l'Affaire C-311/18 a clarifié le fait que des mesures supplémentaires peuvent être nécessaires pour s'assurer que les Données à caractère personnel qui font l'objet d'un Transfert de données hors de l'EEE ou d'un Transfert de données hors du Royaume-Uni, disposent d'un niveau de protection essentiellement équivalent à celui qu'elles reçoivent lorsqu'elles sont Traitées sur leur territoire d'origine (en plus des mesures de protection prévues par les Clauses contractuelles types de l'EEE). Par conséquent, les parties ont convenu d'adopter les mesures décrites aux Sections 6.4(b) à 6.4(g) comme mesures supplémentaires pour garantir cette équivalence essentielle.
    2. Si le Partenaire prend connaissance d'une requête ou demande émanant d'une autorité chargée de l'application de la loi ou d'une autorité réglementaire, judiciaire ou administrative (une « Autorité ») pour accéder à des Données à caractère personnel Traitées dans le cadre du Contrat ou à en obtenir une copie, à titre volontaire ou obligatoire, le Partenaire doit:
      1. immédiatement informer le Client de la demande de cette Autorité ;
      2. lorsque la Section 4 (Conditions pour les Sous-traitants) s'applique, immédiatement informer l'Autorité que le Partenaire agit en tant que Sous-traitant des Données à caractère personnel, et que le Client n'est pas autorisé à communiquer à l'Autorité de telles Données à caractère personnel ;
      3. informer l'Autorité que toutes les requêtes ou demandes d'accès à ces Données à caractère personnel doivent être notifiées ou signifiées au Client (qui agit en tant que Responsable de traitement) par écrit ; et
      4. sous réserve de la Section 6.4(c), ne doit pas fournir à l'Autorité un accès à ces Données à caractère personnel, sauf autorisation écrite du Client.
    3. Par dérogation à la Section 6.4(b)(iv), le Partenaire peut, sans autorisation écrite et préalable du Client, divulguer des Données à caractère personnel à une Autorité dont il a reçu une requête ou une demande, sous réserve que (sauf disposition contraire du droit en vigueur) :
      1. Le Partenaire en informe le Client avec un préavis raisonnable afin de permettre raisonnablement au Client de s'y opposer ou de demander une ordonnance de protection ou toute autre mesure appropriée ;
      2. Le Partenaire coopère raisonnablement avec le Client, aux propres frais de ce dernier, pour permettre au Client de s'opposer à cette divulgation ou de demander une ordonnance de protection ou toute autre mesure appropriée ;
      3. Le Partenaire ne divulgue, en tout état de cause, que la partie des Données à caractère personnel qu'il est légalement tenu de divulguer.
    4. Si le Partenaire divulgue des Données à caractère personnel à une Autorité, il ne les divulgue que celles qu'il est légalement tenu de communiquer et uniquement dans le respect des procédures légales applicables.
    5. Le Partenaire ne divulgue pas délibérément de Données à caractère personnel de façon massive ou systématique qui va au-delà de qui est strictement nécessaire ou proportionné dans une société démocratique.
    6. Le Partenaire met en place, maintient, et respecte une politique écrite qui encadre les demandes de Données à caractère personnel émanant des Autorités, et qui interdit au moins :
      1. les divulgations massives ou systématiques de Données à caractère personnel des Personnes concernées en Europe ; et
      2. la divulgation de Données à caractère personnel appartenant à des Personnes concernées en Europe à une Autorité sans aucun(e) assignation ou citation à comparaître, mandat, ordonnance, jugement, ou toute autre décision légalement contraignante qui impose de divulguer ces Données à caractère personnel.
    7. Le Partenaire met en place et maintient, conformément aux bonnes pratiques du secteur, des mesures visant à protéger les Données à caractère personnel contre toute interception (y compris lors de leur transfert entre le Client et le Partenaire, et entre différents systèmes et services). Ces mesures intègrent la mise en place et le maintien de mesures de protection du réseau pour empêcher les pirates informatiques d'intercepter des données, et des mesures de chiffrement des données en transit pour empêcher les pirates de les consulter.
      Autres stipulations relatives aux transferts internationaux.
    8. Le Partenaire accepte de coopérer de bonne foi pour signer tous les autres documents et appliquer des mesures de protection supplémentaires, ou pour limiter le Traitement des données à certains territoires, que le Client jugera nécessaires afin de réaliser des Transferts de données hors de l'EEE, des Transferts de données hors du Royaume-Uni ou d'Autres transferts de données à caractère personnel (le cas échéant).
    9. Si le Partenaire Traite à tout moment des Données à caractère personnel provenant d'un pays qui limite le transfert de Données à caractère personnel vers un autre pays dont le niveau de protection n'est pas jugé adéquat pour lui permettre de recevoir des Données à caractère personnel, alors le Partenaire, selon les instructions du Client :
      1. prend toutes les mesures nécessaires et signe tous les documents nécessaires en vertu de la Loi sur la protection des Données personnelles applicable dans ce pays pour légitimer ce Traitement ; et
      2. assure un niveau de protection adéquat des Données à caractère personnel du Client.
    10. Dans le cas où une autorité compétente chargée de la protection des données considère qu'un mécanisme de transfert des données utilisé par les parties est invalide, ou qu'une autorité compétente chargée de la protection des données ou le droit applicable exige la suspension d'un transfert de Données à caractère personnel effectué sur la base de ce mécanisme ou la limitation de ce transfert à un territoire spécifique, le Client peut alors, à sa discrétion, demander au Partenaire d'interrompre le Traitement des Données à caractère personnel ou le Partenaire coopérera avec le Client de bonne foi pour faciliter l'utilisation d'un mécanisme de transfert alternatif, signer de nouveaux documents, appliquer d'autres mesures de protection, ou limiter le Traitement à certains territoires.
7. INDEMNISATION
  1. Cette section s'applique à tous les Partenaires.
  2. En plus des obligations d'indemnisation du Partenaire prévues au Contrat, le Partenaire défendra, indemnisera et dégagera le Client de toute responsabilité au titre des réclamations, actions, coûts, passifs, pertes, dommages et dépenses de tiers (y compris les honoraires d'avocat) engagés par le Client à la suite ou dans le cadre : (i) d'un Incident de sécurité ; ou (ii) du non-respect des présentes Obligations générales en matière de confidentialité par le Partenaire ou ses sociétés affiliées, ses Sous-traitants ultérieurs (y compris les Sous-traitants ultérieurs désignés par les sociétés affiliées du Partenaire) et ses bénéficiaires, y compris sans s'y limiter une réclamation ou une action formée par une autorité chargée de la protection des données ou par une Personne concernée.
DOS