Addendum relatif à la protection des données

Dernière mise à jour : 25 octobre 2023

Le présent Addendum relatif à la protection des données (« APD ») fait partie de l’accord (l’« Accord ») conclu entre l’entité ou les entités du LexisNexis Risk Solutions (« LNRS ») en vertu duquel LNRS fournit au Client ou au Titulaire de licence (tel que défini dans l’Accord et ci-après le « Client ») et, le cas échéant, à ses Affiliés certains produits ou services (les « Services ») et dans lequel le présent APD est référencé.

I.          Définitions
    
 
 
   1.          L’expression « Lois relatives à la protection des données » désigne l’ensemble des lois, règles, réglementations, décrets, ordonnances et autres exigences gouvernementales applicables en matière de protection de la vie privée et des données.

 
   2.      Les expressions « responsable du traitement », « données à caractère personnel », « traitement » et « personne concernée » auront la même signification que celle qui leur est attribuée dans les Lois relatives à la protection des données et, lorsque les Lois relatives à la protection des données utilisent des expressions équivalentes ou correspondantes, comme « informations personnelles » au lieu de « données à caractère personnel », elles seront interprétées dans les présentes comme ayant la même définition.

II.                    Portée
    
 


 
             Le présent APD s’applique au traitement des données à caractère personnel que chaque Partie reçoit de l’autre Partie et, le cas échéant, de ses Affiliés en vertu de l’Accord, à l’exclusion de toute donnée à caractère personnel que l’une ou l’autre Partie traite pour le compte de l’autre Partie.

III.  

        Rôles des Parties et Restrictions
 
1.        Les Parties reconnaissent que chacune détermine séparément et indépendamment les finalités et les moyens du traitement et, par conséquent, chacune est un responsable indépendant du traitement des données à caractère personnel. Les Parties ne traitent pas et ne traiteront pas les données à caractère personnel en tant que responsables conjoints du traitement.
         
 
2.    Chaque Partie se conformera à ses obligations en vertu des Lois relatives à la protection des données, et chaque Partie sera individuellement et séparément responsable de sa propre conformité. Aucune disposition dans le présent APD ne modifiera les restrictions applicables aux droits de l’une ou l’autre des Parties d’utiliser ou de traiter les données à caractère personnel en vertu de l’Accord.
         
    3.    Le Client convient que les données à caractère personnel reçues par LNRS ont été collectées, transférées et traitées conformément aux Lois relatives à la protection des données, notamment en fournissant les informations énoncées dans l’Avis relatif au traitement des données du LexisNexis Risk Solutions applicable accessible sur le site https://risk.lexisnexis.com/corporate/processing-notices.
         
    4.    Le Client convient que LNRS traite toutes les informations d’authentification, les données de compte, les données d’utilisation, les journaux de service et les autres données à caractère personnel traitées lorsque cela est nécessaire pour fournir, gérer ou sécuriser les Services soumis à la Politique de confidentialité du LexisNexis Risk Solutions accessible sur le site https://risk.lexisnexis.com/corporate/privacy-policy.
         
    5.    Le Client convient que le personnel qui traite des données à caractère personnel recevra une formation appropriée sur la protection de la vie privée (notamment comme cela peut être requis par les Lois relatives à la protection des données).
IV.                   Droits de la personne concernée
    
 


 
             Chaque Partie sera responsable de répondre aux demandes des personnes concernées. Aucune des Parties n’a l’obligation d’informer l’autre d’une demande d’une personne concernée ou de répondre au nom de l’autre Partie.
V.                      Assistance
 
               Chaque Partie coopérera avec l’autre et l’assistera dans la mesure raisonnablement nécessaire pour permettre à l’autre Partie de se conformer à son obligation en vertu des Lois relatives à la protection des données, en tenant compte de la nature du traitement et des informations à la disposition de la Partie.
VI.                      Transfert transfrontalier
 
               Chaque Partie veillera à ce que, dans la mesure où des données à caractère personnel sont transférées par la Partie vers un autre pays, ledit transfert soit soumis à des garanties appropriées qui fournissent un niveau de protection adéquat conformément aux Lois relatives à la protection des données.
VII.            Conditions spécifiques à la juridiction
           
            Dans la mesure où l’une ou l’autre des Parties traite des données à caractère personnel provenant de l’une des juridictions énumérées ci-dessous ou autrement soumises aux Lois relatives à la protection des données de ces juridictions, les conditions spécifiées dans les présentes en ce qui concerne la ou les juridictions applicables s’appliquent en plus des conditions précédentes.
             
            Espace économique européen, Royaume-Uni et Suisse
             
     
1.   Dans la mesure où l’une ou l’autre des Parties transfère des données à caractère personnel depuis l’Espace économique européen (« EEE »), le Royaume-Uni (« R.-U. ») ou la Suisse à l’autre Partie située en dehors de l’EEE, du Royaume-Uni ou de la Suisse, à moins que les Parties ne puissent s’appuyer sur un mécanisme ou une base de transfert alternatif en vertu des Lois sur la protection des données, les Parties seront réputées avoir conclu les clauses contractuelles types approuvées par la décision d’exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 accessible sur le site http://data.europa.eu/eli/dec_impl/2021/914/oj (les « Clauses ») concernant ce transfert, en vertu desquelles :
  1.  la Partie destinataire est l’« importateur de données » et l’autre Partie est l’« exportateur de données » ;
  2.  Le Module Un s’applique, les Modules Deux, Trois et Quatre, les notes de bas de page, la Clause 11(a) Option et la Clause 17 Option 2 sont omis, et les annexes applicables doivent être remplies respectivement avec les informations énoncées dans l’APD et l’Accord (le cas échéant) ;
  3.  l’« autorité de contrôle compétente » est l’autorité de contrôle en Irlande ;
  4.  les Clauses sont régies par le droit irlandais ;
  5.  tout litige découlant des Clauses sera résolu par les tribunaux irlandais ; et
  6.  en cas de conflit entre les conditions de l’Accord et les Clauses, les Clauses prévaudront.

     
2.   En ce qui concerne les transferts de données à caractère personnel depuis le Royaume-Uni, les Clauses telles que mises en œuvre en vertu de la section 1 ci-dessus s’appliqueront sous réserve des modifications suivantes :
  1.  les Clauses sont modifiées comme spécifié par la Partie 2 de l’addendum sur le transfert international de données aux clauses contractuelles types de la Commission européenne émises en vertu de la Section 119A de la Loi britannique relative à la protection des données de 2018, telle qu’elle peut être modifiée ou remplacée de temps à autre (l’« Addendum britannique ») ;
  2.  les tableaux 1 à 3 de la Partie 1 de l’Addendum britannique doivent être remplis respectivement avec les informations énoncées dans l’APD et l’Accord (le cas échéant) ; et
  3.  le tableau 4 de la Partie 1 de l’Addendum britannique doit être rempli en sélectionnant « aucune des parties ».

     
3.    En ce qui concerne les transferts de données à caractère personnel depuis la Suisse, les Clauses telles que mises en œuvre en vertu de la section 1 ci-dessus s’appliqueront sous réserve des modifications suivantes :
  1.  les références à la « Réglementation (UE) 2016/679 » doivent être interprétées comme des références à la Loi fédérale sur la protection des données (la « LPD ») ;
  2.  les références aux articles spécifiques du « Règlement (UE) 2016/679 » seront remplacées par l’article équivalent ou la section équivalente de la LPD ;
  3.  les références à l’« UE », l’« Union », « un État membre » et « droit d’un État membre » seront remplacées par des références à la « Suisse » ou au « droit suisse », selon le cas ;
  4.  l’expression « État membre » ne doit pas être interprétée de manière à exclure les personnes concernées en Suisse de la possibilité d’accéder à leurs droits ;
  5.  La Clause 13(a) et la Partie C de l’Annexe I ne sont pas utilisées et l’« autorité de contrôle compétente » est le Préposé fédéral à la protection des données et à la transparence ;
  6.  les Clauses sont régies par le droit suisse ; et
  7.  tout litige découlant des Clauses sera résolu par les tribunaux suisses.
             
            États-Unis
             
       
  U.S. Privacy Laws Addendum  
             
            Brésil
             
         1.            Chaque Partie devra :
  1. respecter ses obligations en vertu de la Loi générale de protection des données au Brésil, n° 13.709 de 2018 (Lei Geral de Proteção de Dados Pessoais) (LGPD) ;
  2. tenir un registre des opérations de traitement des données à caractère personnel qu’elle effectue ;
  3. nommer un délégué à la protection des données ; et
  4. adopter des mesures de sécurité, techniques et administratives capables de protéger les données à caractère personnel contre tout accès non autorisé et contre toute destruction, perte, altération, communication accidentelle ou illégale ou toute forme de traitement inapproprié ou illégal, y compris les normes techniques minimales applicables telles que définies par l’autorité nationale.
         2.            Dans la mesure où l’une ou l’autre des Parties transfère des informations personnelles à partir du Brésil à l’autre Partie située en dehors du Brésil, la Partie destinataire se conformera aux principes et aux droits de la personne concernée et au régime de protection des données prévu par la LGPD.