Addendum relatif au traitement des données

Le présent Addendum relatif au traitement des données (l’« ATD ») fait partie de l’accord (l’« Accord ») conclu entre l’entité ou les entités du LexisNexis Risk Solutions (« LNRS ») en vertu duquel LNRS fournit au Client ou au Titulaire de licence (tel que défini dans l’Accord et ci-après le « Client ») et, le cas échéant, à ses Affiliés certains produits ou services (les « Services ») et dans lequel le présent ATD est référencé.

I.		Définitions

	1.	L’expression « Lois relatives à la protection des données » désigne l’ensemble des lois, règles, réglementations, décrets, ordonnances et autres exigences gouvernementales applicables en matière protection de la vie privée et des données.
	2.	Les expressions « données à caractère personnel », « violation de données à caractère personnel », « traitement », « sous-traitant » et « personne concernée » auront la même signification que celle qui leur est attribuée dans les Lois relatives à la protection des données et, lorsque les Lois relatives à la protection des données utilisent des termes équivalents ou correspondants, comme « informations personnelles » au lieu de « données à caractère personnel », ils seront interprétés dans les présentes comme ayant la même définition.

II.				Portée
				Le présent ATD s’applique au traitement des données à caractère personnel par LNRS pour le compte du Client et, le cas échéant, des Affiliés du Client en vertu de l’Accord.

III.		Portée du Traitement

	1.	Le traitement par LNRS sera régi par le présent ATD. En particulier, LNRS traitera les données à caractère personnel uniquement selon les instructions écrites du Client, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, à moins que cela ne soit requis par la législation applicable à laquelle LNRS est soumise ; dans ce cas, LNRS informera le Client de cette exigence légale avant le traitement, à moins que cette loi n’interdise à LNRS de le faire pour des motifs importants d’intérêt public.
	2.	L’objet du traitement est les données à caractère personnel fournies dans le cadre des Services en vertu du présent Accord. La durée du traitement est la durée de la fourniture des Services en vertu de l’Accord jusqu’à l’élimination des données à caractère personnel conformément à l’Accord. La nature et la finalité du traitement sont liées à la fourniture des Services dans le cadre de l’Accord. Les types de données à caractère personnel traitées sont celles soumises à LNRS par ou sur instruction du Client dans le cadre des Services. Les catégories de personnes concernées sont celles dont les données à caractère personnel sont soumises à LNRS par ou sur instruction du Client dans le cadre des Services.
	3.	L’Accord, y compris le présent ATD, ainsi que l’utilisation et la configuration des Services par le Client, constituent les instructions écrites complètes et définitives à LNRS pour le traitement des données à caractère personnel. Des instructions supplémentaires ou alternatives doivent être convenues séparément par les parties. LNRS veillera à ce que son personnel engagé dans le traitement des données à caractère personnel ne traite ces données que sur les instructions documentée fournies par le Client, sauf si la loi applicable l’exige.

IV.		Confidentialité

		LNRS veillera à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

V.		Sécurité du traitement

	1.	Compte tenu l’état des connaissances, des coûts de mise en œuvre et de la nature, la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le Client et LNRS mettront en œuvre des mesures techniques et organisationnelles visant à assurer un niveau de sécurité adapté au risque, tel que décrit dans l’Accord, y compris entre autres, selon les besoins :

		(a) la pseudonymisation et le chiffrement des données à caractère personnel ;

		(b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;

		(c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique ; et

		(d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

	2.	Lors de l’évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.

	3.	Le Client et LNRS prendront des mesures pour veiller à ce que toute personne physique agissant sous l’autorité du Client ou de LNRS qui a accès aux données à caractère personnel ne traite pas les données, sauf sur les instructions du Client, à moins que cela ne lui soit requis par la législation applicable.

	4.	Nonobstant toute disposition contraire, LNRS peut modifier ou mettre à jour ses mesures de sécurité à sa discrétion, à condition que cette modification ou mise à jour n’entraîne pas une dégradation importante de la protection offerte par l’Accord.

VI.		Sous-traitement
	1.	Le Client donne par les présentes à LNRS l’autorisation générale d’engager d’autres sous-traitants pour le traitement des données à caractère personnel conformément au présent ATD. LNRS conservera une liste de ces sous-traitants sur la page Web https://risk.lexisnexis.com/corporate/dpa/sub-processors, que LNRS peut mettre à jour à tout moment. Au moins 14 jours avant d’autoriser un nouveau sous-traitant à traiter les données à caractère personnel, LNRS devra mettre à jour cette liste sur son site Web. Le Client peut s’opposer à la modification sans pénalité, sous réserve du processus de résolution des litiges de l’Accord ou de tout droit de remboursement ou de résiliation applicable que le Client peut avoir en vertu de l’Accord.

	2.	Si LNRS engage un autre sous-traitant pour procéder à des activités de traitement spécifiques pour le compte du Client, les mêmes obligations de protection des données que celles fixées dans le présent ATD seront imposées à cet autre sous-traitant par le biais d’un contrat ou en vertu des Lois relatives à la protection des données. Si cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, LNRS demeurera (sous réserve des conditions de l’Accord) pleinement responsable devant le Client de l’exécution par l’autre sous-traitant de ses obligations.

VII.		Droits de la personne concernée

	1.	Tient compte de la nature du traitement, LNRS aidera le Client par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer des droits de la personne concernée.

	2.	Dans la mesure permise par la loi, LNRS informera rapidement le Client de toute demande de la personne concernée reçue par LNRS et coopérera raisonnablement avec le Client pour s’acquitter de ses obligations en vertu des Lois relatives à la protection des données en lien avec de telles demandes. Le Client sera responsable de tous les coûts raisonnables découlant de l’assistance fournie par LNRS au Client pour remplir ces obligations.

VIII.				Assistance au Client

				LNRS apportera son assistance au Client pour veiller à la conformité en matière de sécurité des données, pour la notification en cas de violation de données à caractère personnel et pour d’autres obligations comme l’exigent les Lois relatives à la protection des données, en tenant compte de la nature du traitement et des informations à la disposition de LNRS.

IX.				Fin du Traitement

				À l’expiration ou à la fin de l’utilisation des Services par le Client, à moins que la législation applicable exige la conservation des données à caractère personnel, le Client donne instruction à LNRS de supprimer ou de renvoyer les données à caractère personnel conformément aux conditions et aux délais, le cas échéant, pour les Services énoncés dans le présent Accord. Lorsque l’Accord donne au Client le choix de supprimer ou de renvoyer les données à caractère personnel et que le Client ne fait pas ce choix dans les 30 jours suivant la résiliation de l’Accord, le Client donne instruction par les présentes à LNRS de supprimer les données à caractère personnel, sauf si la législation applicable exige la conservation des données à caractère personnel. Dans ce cas, LNRS supprimera les données à caractère personnel dès que possible.

X.									Audits

									Les droits relatifs à la réalisation d’audits sont énoncés dans l’Accord. En l’absence de telles exigences dans l’Accord, lorsque les Lois relatives à la protection des données l’exigent, les audits seront : (i) soumis à la signature d’accords de confidentialité ou de non-divulgation appropriés ; (ii) menés au maximum une fois par an, à moins qu’il ait été démontré qu’il existe des motifs raisonnables de croire à un non-respect de l’Accord, sur préavis écrit de 30 jours et ayant fourni un plan pour cet examen ; et (iii) menés à une date, à un lieu et d’une manière mutuellement convenus.

XI.				Transfert transfrontalier

				LNRS veillera à ce que, dans la mesure où des données à caractère personnel provenant du pays du Client sont transférées par LNRS vers un autre pays, ce transfert soit soumis à des garanties appropriées qui fournissent un niveau de protection adéquat conformément aux Lois relatives à la protection des données.

XII.				Violation de données à caractère personnel
				LNRS informera le Client toute violation de données à caractère personnel traitées en vertu du présent ATD dans les meilleurs délais après en avoir pris connaissance. et répondra raisonnablement à la demande du Client d’obtenir de plus amples informations afin que le Client puisse remplir ses obligations en vertu des Lois relatives à la protection des données.

XIII.			Registre des Activités de Traitement

			LNRS tiendra tous les registres requis par les Lois relatives à la protection des données et, dans la mesure applicable au traitement des données à caractère personnel pour le compte du Client, les mettra à disposition tel que requis.

XIV.				Licéité du Traitement

				Le Client garantit que, lorsque les Lois relatives à la protection des données l’exigent, il a notifié toutes les personnes concernées et a reçu le consentement requis des personnes concernées ou de leur représentant légal ou de leur tuteur légal.

XV.		Conditions spécifiques à la juridiction

		Dans la mesure où LNRS traite des données à caractère personnel provenant de l’une des juridictions énumérées ci-dessous ou autrement soumises aux Lois relatives à la protection des données de ces juridictions, les conditions spécifiées dans les présentes en ce qui concerne la ou les juridictions applicables s’appliquent en plus des conditions précédentes.

		Espace économique européen, Royaume-Uni et Suisse

	1.	Dans la mesure où le Client transfère des données à caractère personnel depuis l’Espace économique européen (« EEE »), le Royaume-Uni (« R.-U. ») ou la Suisse à LNRS situé en dehors de l’EEE, du Royaume-Uni ou de la Suisse, à moins que les parties ne puissent s’appuyer sur un mécanisme ou une base de transfert alternatif en vertu des lois sur la protection des données, les parties seront réputées avoir conclu les clauses contractuelles types approuvées par la décision d’exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 accessible sur le site http://data.europa.eu/eli/dec_impl/2021/914/oj (les « Clauses ») concernant ce transfert, en vertu desquelles : Le Client est l’« exportateur de données » et LNRS est l’« importateur de données » ; les notes de bas de page, la Clause 9(a) Option 1, la Clause 11(a) Option et la Clause 17 Option 1 sont omises, le délai de la Clause 9(a) Option 2 est de 14 jours, et les annexes applicables doivent être remplies respectivement avec les informations énoncées dans l’ATD et l’Accord ; dans la mesure où le Client agit en tant que responsable du traitement et LNRS agit en tant que sous-traitant, le Module Deux s’applique et les Modules Un, Trois et Quatre sont omis, et dans la mesure où chaque partie agit en tant que sous-traitant, le Module Trois s’applique et les Modules Un, Deux et Quatre sont omis ; l’« autorité de contrôle compétente » est l’autorité de contrôle en Irlande ; les Clauses sont régies par le droit irlandais ; tout litige découlant des Clauses sera résolu par les tribunaux irlandais ; et en cas de conflit entre les conditions de l’Accord et les Clauses, les Clauses prévaudront.

	2.	En ce qui concerne les transferts de données à caractère personnel depuis le Royaume-Uni, les Clauses telles que mises en œuvre en vertu de la section 1 ci-dessus s’appliqueront sous réserve des modifications suivantes : les Clauses sont modifiées comme spécifié par la Partie 2 de l’addendum sur le transfert international de données aux clauses contractuelles types de la Commission européenne émises en vertu de la Section 119A de la Loi britannique relative à la protection des données de 2018, telle qu’elle peut être modifiée ou remplacée de temps à autre (l’« Addendum britannique ») ; les tableaux 1 à 3 de la Partie 1 de l’Addendum britannique doivent être remplis respectivement avec les informations énoncées dans l’ATD et l’Accord (le cas échéant) ; et le tableau 4 de la Partie 1 de l’Addendum britannique doit être rempli en sélectionnant « aucune des parties ».

	3.	En ce qui concerne les transferts de données à caractère personnel depuis la Suisse, les Clauses telles que mises en œuvre en vertu de la section 1 ci-dessus s’appliqueront sous réserve des modifications suivantes : les références à la « Réglementation (UE) 2016/679 » doivent être interprétées comme des références à la Loi fédérale relative à la protection des données (la « LFPD ») ; les références aux articles spécifiques du « Règlement (UE) 2016/679 » seront remplacées par l’article équivalent ou la section équivalente de la LFPD ; les références à l’« UE », l’« Union », « un État membre » et « droit d’un État membre » seront remplacées par des références à la « Suisse » ou au « droit suisse », selon le cas ;/li> l’expression « État membre » ne doit pas être interprétée de manière à exclure les personnes concernées en Suisse de la possibilité d’accéder à leurs droits ; La Clause 13(a) et la Partie C de l’Annexe I ne sont pas utilisées et l’« autorité de contrôle compétente » est le Préposé fédéral à la protection des données et à la transparence ; les Clauses sont régies par le droit suisse ; et tout litige découlant des Clauses sera résolu par les tribunaux suisses.

		États-Unis

		U.S. Privacy Laws Addendum
		Afrique du Sud

	1.	Dans la mesure où LNRS traite des informations personnelles dans le cadre de la Loi sud-africaine sur la protection des informations personnelles, n° 4 de 2013 (loi POPI) pour le Client, LNRS établira et maintiendra en outre les mesures de sécurité mentionnées à la section 19 de la loi POPI.
	2.	LNRS informera immédiatement le Client s’il existe des motifs raisonnables de croire que les informations personnelles d’une personne concernée ont été consultées ou acquises par une personne non autorisée.

Addendum relatif au traitement des données Dernière mise à jour : 25 octobre 2023

Share

Addendum relatif au traitement des données

Dernière mise à jour : 25 octobre 2023