Clauses contractuelles types (SCC)

Nous avons rédigé cet Accord sur le traitement des données de façon à inclure toutes les configurations SCC possibles. Il est possible qu’elles ne s’appliquent pas toutes à votre cas. Pour plus de clarté :  

CCPA (loi californienne sur la protection de la vie privée des consommateurs) 

Nous avons actualisé cet Accord sur le traitement des données pour refléter les modifications apportées par la loi californienne régissant les droits à la vie privée (California Privacy Rights Act) à la loi CCPA. Nous n’acceptons aucune modification de cet ATD par le Client. 

Cet Accord sur le traitement des données Momentive (« ATD ») fait partie de votre Accord avec Momentive et contient des conditions relatives à la protection des données, la confidentialité et la sécurité, conformément aux lois et réglementations sur la protection des données, le cas échéant. Dans le cas (et dans la mesure seulement) où il existe un conflit entre les différentes lois et réglementations sur la protection des données, les parties se conformeront aux exigences les plus onéreuses ou à la norme la plus élevée qui sera, en cas de litige à cet égard, déterminée uniquement par Momentive. 

Le présent Accord est conclu entre le client et l'entité Momentive concernée, déterminée comme suit : 

(i) Pour les clients situés dans un pays autre que les États-Unis, Momentive Europe UC sera l’entité contractante. 

(ii) Pour les clients situés aux États-Unis, Momentive Inc. sera l’entité contractante. 

Ceci est la version la plus récente de notre ATD (en date du 1er janvier 2023). 

Dans cet ATD, les expressions suivantes ont, sauf interprétation contraire imposée par le contexte, les significations suivantes :

« Accord » désigne tout accord entre Momentive Inc. ou Momentive Europe et un client pour les Services. Un tel accord peut porter divers titres, tels que « bon de commande », « commande », « conditions d’utilisation » ou « accord-cadre des Services ». 

« Article 28 » fait référence à l’article 28 du RGPD et du RGPD britannique, tel qu’applicable au traitement des Données personnelles du client. 

« Client » ou « vous » désigne le client qui est identifié sur l’accord et/ou qui prend part à l’accord. 

« Données client » fait référence à toutes les données (y compris mais sans s’y limiter les Données personnelles du client) fournies à Momentive par le Client ou pour le compte du Client par le biais de l’utilisation des Services et à toutes les données envoyées au Client par des tiers en utilisant les Services. 

« Données personnelles du client » fait référence à toutes les Données personnelles envoyées aux Services par ou au Client et traitées par Momentive dans le but de fournir les Services au Client, y compris mais sans s’y limiter les données personnelles définies dans l’annexe 2 de cet ATD. 

« Lois sur la protection des données » signifie : 
(i) le Règlement général sur la protection des données (Règlement (EU) 2016/679)(« RGPD ») et toutes les autres lois ou réglementations (ainsi que leurs mises à jour, amendements ou remplacements) de l’UE, de l’EEE ou d’un état membre européen qui s’appliquent au traitement des données à caractère personnel dans le cadre de l’Accord ;

(ii) la loi fédérale suisse sur la protection des données (« LPD ») ou la nouvelle loi fédérale sur la protection des données entrée en vigueur le 1er janvier 2023 (« nLPD ») ;

(iii) toutes les lois et réglementations américaines qui s’appliquent au traitement des données à caractère personnel dans le cadre de l’Accord, y compris mais sans s’y limiter la loi californienne sur la protection de la vie privée des consommateurs de 2018 (code civil californien §§ 1798.100 - 1798.199) (« CCPA ») ; 

(iv) toutes les lois et réglementations qui s’appliquent au traitement des données à caractère personnel dans le cadre de l’Accord périodiquement en vigueur au Royaume-Uni (notamment le RGPD britannique) ; et

(v) la loi sur la protection des renseignements personnels et des documents électroniques canadienne (« LPRPDE ») et l’ensemble de ses mises à jour, modifications ou remplacements qui s’appliquent au traitement des données personnelles au Canada.

Les termes « responsable du traitement », « évaluation de l’impact sur la protection des données », « processus », « traitement », « sous-traitant », « autorité de contrôle » ont la même signification que dans le RGPD ou le RGPD britannique.

« Momentive » ou « nous » désigne, pour les clients aux États-Unis, Momentive Inc., et pour les clients hors des États-Unis, Momentive Europe. 

« Momentive Europe » désigne Momentive Europe UC, une société irlandaise sise à l’adresse : 2 Shelbourne Buildings, Second Floor, Shelbourne Road, Dublin 4, Irlande. 

« Momentive Inc. » désigne Momentive Inc., une société du Delaware sise à l’adresse : One Curiosity Way, San Mateo, CA 94403, États-Unis.  

« Avis de confidentialité de Momentive » désigne l’Avis de confidentialité de Momentive que vous pouvez consulter à https://fr.surveymonkey.com/mp/legal/privacy/.

« Données personnelles » fait référence aux informations concernant un individu qui est, ou peut être, raisonnablement identifié à partir d’informations, soit seules, soit combinées à d’autres informations (« Personne concernée »).

« Services » désigne les services commandés à Momentive par le Client dans le cadre de l’Accord. 

« SCC » fait référence aux Clauses contractuelles types (Standard Contractual Clauses) annexées à la décision de la Commission européenne du : i) 4 juin 2021 sur les clauses contractuelles types pour le transfert des données personnelles à des pays tiers en vertu du RGPD ou ii) (jusqu’à ce que Momentive ait conclu les Clauses contractuelles types définies à i)), 5 février 2010 pour le Transfert des Données personnelles du client à des Sous-traitants établis dans des Pays tiers en vertu de la directive 95/46/EC). Quand la LPD/nLPD s'applique, toute référence dans les SCC doit être interprétée comme une référence correspondante à la LPD/nLPD. Tous les termes utilisés dans ce contexte doivent donc être interprétés en fonction de la définition fournie dans la LPD/nLPD.

« Avenant pour le R.-U. » fait référence (i) au modèle d’avenant émis par le Bureau du commissaire à l’information du Royaume-Uni et déposé devant le Parlement britannique le 2 février 2022 conformément à l’article 119A de la loi britannique sur la protection des données de 2018, tel que révisé de temps à autre en vertu de l’article 18 des clauses obligatoires. Lorsque le modèle d’avenant auquel il est fait référence dans cette définition signifie le document intitulé « International Data Transfer Addendum to the EU Commission Standard Contractual, version B1.0 » en vigueur le 21 mars 2022 ; ou (ii) (jusqu’à ce que Momentive ait conclu l’avenant pour le Royaume-Uni décrit au point (i)), à la décision de la Commission européenne du 5 février 2010 pour le transfert de données personnelles à des sous-traitants établis dans des pays tiers en vertu de la directive 95/46/EC.

« RGPD britannique » désigne le RGPD de l’UE où il fait partie des lois d’Angleterre et du Pays de Galles, d’Écosse et d’Irlande du Nord en vertu de l’article 3 de la loi de 2018 de l’Union européenne (retrait) et tel que modifié par les règlements de 2019 et 2020 sur la protection des données, la confidentialité et les communications électroniques (amendements, etc.) (sortie de l’UE) respectivement et toute législation en vigueur au Royaume-Uni de temps à autre qui modifie ou remplace ultérieurement le RGPD britannique.

Dans le cadre de la prestation des Services au Client, Momentive est un sous-traitant des Données client à caractère personnel aux fins du RGPD. Dans le cadre de la loi CCPA, le cas échéant, par le présent Accord, Momentive et le Client conviennent que Momentive est un « fournisseur de services » et que le Client est l’« Entreprise » en ce qui concerne les Informations personnelles (telles que définies dans la loi CCPA).

Cet ATD restera en vigueur jusqu’à sa résiliation (conformément aux conditions énoncées dans l’Accord) ou son expiration. 

Le Client garantit et déclare qu’il est en droit de transférer des Données client à Momentive afin que Momentive puisse traiter et transférer légalement les données à caractère personnel en accord avec cet ATD. Le Client doit s’assurer que les personnes concernées ont été informées de, et ont donné tout consentement nécessaire à, cette utilisation, ce traitement et transfert ainsi que le stipulent les Lois sur la protection des données applicables. Le Client doit s’assurer que toutes les données à caractère personnel traitées ou transférées à Momentive le sont de manière légale et appropriée.

Lorsque la société Momentive traite des Données client à caractère personnel au nom du Client, elle s’engage à :

(a) ne le faire que sur la base des instructions documentées du Client et en accord avec les Lois sur la protection des données, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou un organisme international et les parties acceptent que l’Accord représente ces instructions documentées du Client à Momentive de traiter les Données client à caractère personnel (y compris vers des destinations hors de l’EEE), en plus d’autres instructions raisonnables fournies par le Client à Momentive (par ex. via email) tant que ces instructions ne vont pas à l’encontre du présent Accord ; 

(b) s’assurer que tous les employés de Momentive concernés par le traitement de Données client à caractère personnel sont soumis à des obligations de confidentialité en ce qui concerne les données à caractère personnel ; 

(c) mettre à la disposition du Client les informations nécessaires pour qu’il puisse démontrer sa conformité avec ses obligations en vertu de l’Article 28 du RGPD (si cela est applicable au Client), si ces informations sont détenues par Momentive et ne sont pas autrement disponibles pour le Client via son compte et d’autres sections d’utilisateur ou sur les sites Web de Momentive, sous réserve que le Client fasse parvenir à Momentive un avis écrit au moins 14 jours avant cette demande d’informations ;

(d) coopérer, à la demande raisonnable du Client, pour permettre à ce dernier de se conformer à tout exercice des droits accordés aux personnes concernées par les Lois sur la protection des données concernant les données à caractère personnel traitées par Momentive dans le cadre de la prestation des Services ; 

(e) fournir de l’assistance, si nécessaire, pour répondre aux demandes reçues de la part d’une Personne concernée, relatives aux Données à caractère personnel de cette Personne concernée, et envoyées par le biais des Services ;

(f) suite à leur suppression de votre fait, ne pas conserver de Données à caractère personnel au sein de votre compte, hormis celles nécessaires pour se conformer aux lois et règlements applicables et qui peuvent autrement être conservées dans des copies de sauvegarde de routine effectuées à des fins de récupération après incident et de continuité d’activité, conformément à nos politiques de conservation des données ;

(g) coopérer avec tout organisme de contrôle ou tout organisme qui le remplace ou lui succède de temps à autre (ou, dans la mesure où le Client l’exige, avec tout autre organisme de réglementation de la protection des données ou de la vie privée en vertu des Lois sur la protection des données) pour l’exécution des tâches de cette autorité de contrôle lorsque cela est nécessaire ; 

(h) assister le Client, dans la mesure du raisonnable, quand le Client : 

(i) réalise une évaluation de l’impact sur la protection des données impliquant les Services (cela peut inclure la mise à disposition de documents permettant au client de réaliser sa propre évaluation) ; ou

(ii) doit déclarer un Incident de sécurité (tel que défini ci-dessous) à un organisme de contrôle ou une personne concernée

(i) ne pas (a) vendre ni partager d’Informations personnelles (telles que définies dans la loi CCPA) à des fins commerciales, ni (b) collecter, conserver, utiliser, divulguer ou traiter de toute autre façon que ce soit les Informations personnelles autrement que pour (1) remplir ses obligations envers le Client dans le cadre de l’Accord, (2 pour le compte du Client, (3) pour les besoins opérationnels du Client, (4) pour l’usage interne de Momentive tel qu’autorisé par les Lois sur la protection des données, (5) pour détecter les incidents de sécurité des données ou se protéger contre les activités frauduleuses ou illégales, ou (6) tel qu’autrement autorisé par les Lois sur la protection des données ; 

(j) Lorsque les Lois sur la protection des données l’exigent, Momentive informera le Client s’il est porté à sa connaissance que toute instruction reçue par le Client enfreint les dispositions des Lois sur la protection des données. Nonobstant ce qui précède, Momentive n’a aucune obligation de surveiller ou vérifier la légalité de toute instruction reçue du client ; et

(k) La société Momentive certifie qu’elle comprend les restrictions et obligations définies dans cet ATD et qu’elle les respectera. 

6.1 Sous-traitement. Le Client fournit une autorisation générale à Momentive pour engager des sous-traitants ultérieurs, sous réserve du respect des exigences de la présente Section 6.

6.2 Liste des sous-traitants. Momentive, sous réserve des dispositions de l’Accord relatives à la confidentialité ou d’autres dispositions imposées par Momentive :

(a) mettre à la disposition du Client une liste des sous-traitants Momentive qui sont impliqués dans le traitement ou sous-traitement des Données personnelles du client dans le cadre de la fourniture des Services (« Sous-traitants »), ainsi qu’une description de la nature des services fournis par chaque Sous-traitant (« Liste sous-traitants »). Vous pouvez demander un exemplaire de cette Liste sous-traitants ici ; 

(b) s’assurera que tous les Sous-traitants figurant sur la Liste des sous-traitants sont liés par des conditions contractuelles qui, à tous égards importants, ne sont pas moins rigoureuses que celles contenues dans le présent ATD ; et 

(c) sera responsable des actes et omissions de ses Sous-traitants dans la même mesure que Momentive serait responsable si elle exécutait les services de chacun de ces sous-traitants directement selon les conditions du présent ATD, sauf disposition contraire dans le présent Accord. 

6.3 Nouveaux sous-traitants/Remplacement des sous-traitants.  Momentive fournira au Client une notification écrite de l’ajout d’un nouveau sous-traitant ou du remplacement d’un sous-traitant existant pendant toute la durée de l’Accord (« Notification de nouveau sous-traitant »). Le Client s’inscrira à une liste de diffusion mise à disposition par Momentive, par l’intermédiaire de laquelle ces notifications seront envoyées par email, ou bien vérifiera les mises à jour de la liste ici. Si le Client a une raison raisonnable de s’opposer à l’utilisation par Momentive d’un nouveau sous-traitant ou d’un sous-traitant de remplacement, le Client en informera Momentive rapidement par écrit et, en tout état de cause, dans les 30 jours suivant la réception d’une Notification de nouveau sous-traitant. Dans le cas d’une telle objection raisonnable, le Client ou Momentive peut résilier la partie de tout Accord relatif aux Services qui ne peut pas être raisonnablement fournie sans le nouveau Sous-traitant faisant l’objet de l’objection (ce qui peut, à la discrétion et au choix de Momentive, impliquer la résiliation de l’ensemble de l’Accord) avec effet immédiat en fournissant une notification écrite à l’autre partie. Cette résiliation se fera sans droit de remboursement de tous les frais payés d’avance par le Client pour la période suivant la résiliation.

7.1 Mesures de sécurité. Momentive a, en prenant en compte l’état de l’art, le coût d’implémentation et la nature, l’étendue, le contexte et les objectifs des Services ainsi que le niveau de risque, mis en œuvre des mesures techniques et organisationnelles (conformément à l’Annexe 1) pour garantir un niveau de sécurité approprié au risque de traitement interdit ou illégal, à la perte accidentelle des Données client à caractère personnel et/ou aux dommages qui leur seraient causés. À intervalles raisonnables, Momentive teste et évalue l’efficacité de ces mesures techniques et organisationnelles afin de garantir la sécurité du traitement.

7.2 Notification de violation et d’incident de sécurité. Si Momentive a connaissance d’un accès non autorisé ou illégal ou d’une acquisition, altération, utilisation, divulgation ou destruction des Données client à caractère personnel (« Incident de sécurité »), Momentive prendra des mesures raisonnables pour en informer le Client sans délai excessif. Un Incident de sécurité n’inclut pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des données à caractère personnel, notamment les tentatives infructueuses de connexion, les pings, les scans de port, les attaques par déni de service ou autres attaques de réseau sur les pare-feu ou les systèmes en réseau. La notification d’un Incident de sécurité au client ne constitue pas une acceptation de responsabilité de la part de Momentive.

7.3 Momentive coopérera raisonnablement avec le Client en ce qui concerne toute investigation relative à un Incident de sécurité en préparant les avis nécessaires et en fournissant toutes autres informations raisonnablement demandées par le Client en rapport avec un Incident de sécurité. 

8.1 Audits. Lorsque Momentive traite les Données client à caractère personnel pour le Client en tant que sous-traitant (uniquement), le Client fournira à Momentive un préavis écrit d’au moins un mois avant tout audit, qui peut être mené par le Client ou un auditeur indépendant nommé par le client (à condition qu’aucune personne réalisant l’audit ne soit ou n’agisse au nom d’un concurrent de Momentive) (« Auditeur »). La portée d’un audit sera la suivante :

(a) Le Client n’aura le droit de réaliser un audit qu’une fois par année d’abonnement, à moins qu’il ne soit contraint par la loi ou un organisme de réglementation ayant une autorité établie sur le Client de réaliser ou faciliter la réalisation de plus d’un audit au cours de cette année d’abonnement (auquel cas le Client et Momentive conviendront, avant la réalisation de ces audits, d’un taux de remboursement raisonnable des frais d’audit de Momentive).

(b) Momentive accepte, sous réserve de restrictions de confidentialité appropriées et raisonnables, de fournir des preuves des certifications et normes de conformité qu’elle maintient et fournira au Client à sa demande un résumé analytique des tests de pénétration annuels de Momentive les plus récents ; ce résumé devra contenir les actions correctives entreprises par Momentive suite à ces tests de pénétration.

(c) La portée de l’audit sera limitée aux systèmes, procédures et documents de Momentive relatifs au traitement et à la protection des Données client à caractère personnel et les Auditeurs réaliseront des audits, sous réserve des restrictions de confidentialité appropriées et raisonnables demandées par Momentive.

(d) Le Client informera Momentive et lui communiquera dans les meilleurs délais et de façon confidentielle tous les détails relatifs à des problèmes de non-conformité ou de sécurité détectés pendant la conduite d’un audit.

8.2 Les parties acceptent que, sauf si un arrêté ou une mesure contraignante émanant d’un organisme de contrôle ou de régulation ayant autorité sur le Client exige qu’il en soit autrement, cette section 8 définisse l’entière portée des droits d’audit du Client opposables à Momentive.

9.1 Dans la mesure où cela est applicable, pour les transferts de Données personnelles du client depuis l’Espace économique européen (« EEE »), la Suisse, ou le Royaume-Uni vers des lieux situés en dehors de l’EEE, la Suisse et le Royaume-Uni (soit directement, soit par transfert ultérieur) qui ne disposent pas de normes adéquates de protection des données telles que déterminées par la Commission européenne ou les Lois sur la protection des données pertinentes, Momentive s’appuie sur les éléments suivants :

(a) les SCC ; et

(b) pour les transferts soumis au RGPD britannique, l’Avenant pour le Royaume-Uni ; ou

(c) d’autres garanties appropriées, ou dérogations (dans la mesure où elles sont appropriées), spécifiées ou autorisées par la législation sur la protection des données. 

9.2 Le cas échéant, les parties signent les SCC (dont une copie est accessible ici) et l’Avenant pour le Royaume-Uni (Annexe 3). Les SCC sont incorporées dans le présent Accord par référence et s’appliquent comme suit : 

(a) lorsque le Client passe un contrat avec Momentive Inc. aux États-Unis dans le cadre de l’Accord sur les services et qu’il est un responsable du traitement des Données personnelles du client et que, par l’utilisation des Services, il transfère ces Données personnelles du client depuis l’EEE vers des lieux qui n’ont pas été déterminés comme offrant des niveaux adéquats de protection des Données personnelles par la Commission européenne, Momentive signe les SCC en tant qu’importateur de données et le Client signe les SCC en tant qu’exportateur de données et seul le Module 2 des SCC s’appliquera ; et/ou

(b) lorsque le Client passe un contrat avec Momentive Inc. aux États-Unis dans le cadre de l’Accord sur les services et qu’il est un sous-traitant des Données personnelles du client et que, par l’utilisation des Services, il transfère ces Données personnelles du client depuis l’EEE vers des lieux qui n’ont pas été déterminés comme offrant des niveaux adéquats de protection des Données personnelles par la Commission européenne, Momentive signe les SCC en tant qu’importateur de données et le Client signe les SCC en tant qu’exportateur de données et seul le Module 3 des SCC s’appliquera ; et/ou

(c) lorsque le Client n’est pas un résident de l’EEE et passe un contrat avec Momentive Europe UC pour le stockage des Données personnelles du client au sein de l’EEE dans le cadre de l’Accord sur les services et qu’il est un responsable du traitement des Données personnelles du client et que, par l’utilisation des Services, il transfère ces Données personnelles depuis l’EEE vers des lieux qui n’ont pas été déterminés comme offrant des niveaux adéquats de protection des Données personnelles par la Commission européenne, Momentive signe les SCC en tant qu’exportateur de données et le Client signe les SCC en tant qu’importateur de données et seul le Module 4 des SCC s’appliquera ; et

(d) dans la Clause 7, la clause de docking facultative s’appliquera ;

(d) dans la Clause 11, la langue facultative ne s’appliquera pas ;

(f) Dans la Clause 17, les SCC seront régies par la loi irlandaise ;

(g) dans la Clause 18, les litiges seront résolus devant les tribunaux d’Irlande ; et

(h) les Annexes I et II des SCC sont considérées complétées par les informations figurant dans l’Accord et les détails fournis dans les Annexes du présent ATD.

9.3 Pour les transferts protégés par la LPD/nLPD, les SCC s’appliquent conformément à la section 9.2 ci-dessus, sauf : 

(a) toute référence au RGPD dans les SCC doit être interprétée comme une référence à la LPD/nLPD ;  

(b) toute références aux lois de l’« UE », l’« Union » et des « états membres » doit être interprétée comme une référence aux lois suisses et  

(c ) toute référence à l’« autorité de contrôle compétente » et aux « tribunaux compétents » doit être interprétée comme une référence à l’autorité de protection des données et aux tribunaux pertinents en Suisse sauf si les SCC, mises en œuvre conformément à ce qui est décrit ci-dessus, ne peuvent pas être utilisées pour transférer légalement de telles Données personnelles du Client conformément à la LPD/nLPD, auquel cas les SCC suisses doivent être incorporées par référence et faire partie intégrante de cet ATD et s’appliqueront à de tels transferts. Aux fins des SCC suisses, les Annexes pertinentes des SCC suisses doivent être remplies avec les informations contenues dans les Annexes I et II de cet ATD (le cas échéant) et les dispositions d’interprétation définies dans la présente section 9.3 s’appliqueront (le cas échéant et dans la mesure où cela est nécessaire pour se conformer à la LPD/nLPD).  

9.4 Sur demande écrite et conformément aux dispositions des Clauses contractuelles types ou de l’Avenant pour le Royaume-Uni (selon le cas), Momentive fournira au Client des copies des Clauses contractuelles types ou de l’Avenant pour le Royaume-Uni qu’il a conclus avec des importateurs de données en sa qualité de sous-traitant.

10.1 Responsabilité pour le traitement des données. La responsabilité globale respective des parties, que ce soit par contrat, délit civil (négligence comprise), non respect des dispositions législatives ou réglementaires ou de toute autre circonstance pour toutes réclamations découlant du présent ATD ou s'y rapportant, sera stipulée dans le présent Accord, sauf si convenu autrement par écrit par les parties.

10.2 Conflit. En cas de conflit ou d’ambiguïté entre : (i) les conditions du présent ATD et les conditions de l’Accord, en ce qui concerne l’objet du présent ATD, les conditions du présent ATD prévaudront ; (ii) les conditions de toute disposition contenue dans le présent ATD et toute disposition contenue dans les Clauses contractuelles types, la disposition des Clauses contractuelles Types prévaudra.

10.3 Traitement indépendant. Le Client reste exclusivement responsable de sa propre conformité à la législation sur la protection des données en ce qui concerne tous recueil et traitement indépendants de données personnelles sans rapport avec les Services. Le Client fournira ses propres avis de confidentialité clairs et visibles qui décrivent avec précision la manière dont il procède et Momentive ne sera pas responsable du traitement des données personnelles par le Client dans ces circonstances. Le client indemnisera Momentive dans son intégralité pour toute réclamation ou responsabilité découlant du recueil et de l’utilisation de données personnelles par le client dans ces circonstances.

10.4 Totalité de l’Accord. L’Accord (qui comprend le présent ATD) et tout Bon de commande représentent l’intégralité de l'accord entre les parties et remplacent tous les autres accords ou conditions antérieurs ou contemporains, écrits ou oraux, portant sur son objet. Chacune des parties confirme qu’elle ne s’est pas fondée sur des déclarations non consignées dans l’Accord pour conclure l’Accord.

10.5 Dissociabilité. Si une disposition du présent ATD est jugée inapplicable par un tribunal compétent, cette disposition sera supprimée et les autres termes resteront pleinement en vigueur. Rien dans le présent ATD n’est destiné à établir un partenariat ou une coentreprise entre les parties (ou ne doit être considéré comme tel), ni n’autorise une partie à prendre des engagements pour ou au nom d’une autre partie, sauf si cela est expressément prévu dans le présent document.

10.6 Exemplaire électronique. L’ATD est fourni sous la forme d’un document électronique.

10.7 Droit applicable. Le présent ATD est régi par les lois irlandaises et les parties se soumettent à la compétence exclusive des tribunaux irlandais (en ce qui concerne tous les litiges contractuels et non contractuels), sauf en cas d’infraction ou de violation présumée des lois, règlements, normes, orientations réglementaires et directives d’autorégulation actuelle ou future en matière de protection de la vie privée au niveau de l’État ou fédéral aux États-Unis d’Amérique, auquel cas les lois de l’État de Californie s’appliquent, sauf disposition contraire de la loi.

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par Momentive 

Momentive maintiendra des mesures de protection administratives, physiques et techniques appropriées (« Mesures de sécurité ») pour assurer la sécurité, la confidentialité et l’intégrité des données à caractère personnel qui lui sont fournies dans le cadre de la prestation des Services au Client. 

Les Mesures de sécurité incluent ce qui suit : 

(a) Domaine : organisation de la sécurité des informations.

(i) Rôles et responsabilités en matière de sécurité. Le personnel Momentive ayant accès aux données est soumis à des obligations de confidentialité.

(ii) Programme de gestion des risques. Si nécessaire, Momentive réalise une évaluation des risques avant le traitement des données.

(b) Domaine : gestion des ressources.

(i) Traitement des ressources.

(1) Momentive dispose de procédures pour l’élimination des documents imprimés qui contiennent des Données client.

(2) Momentive maintient un inventaire de tout le matériel sur lequel sont stockées les Données client.

(c) Domaine : sécurité au niveau des ressources humaines.

(i) Formation à la sécurité.

(1) Momentive informe son personnel des procédures de sécurité pertinentes et de leurs rôles respectifs. Momentive informe également son personnel des conséquences possibles d’une violation des règles et procédures de sécurité.

(d) Domaine : sécurité physique et environnementale.

(i) Accès physique aux sites. Momentive limite l’accès aux sites où se trouvent les systèmes d’informations qui traitent les Données client aux personnes autorisées.

(ii) Protection contre les perturbations. Momentive utilise une variété de systèmes standard du secteur pour se protéger contre la perte de données due à une panne d’alimentation électrique ou à des interférences sur les lignes.

(iii) Suppression des composants. Momentive utilise des processus standard du secteur pour supprimer les Données client quand elles sont devenues inutiles.

(e) Domaine : gestion des communications et des opérations. 

(i) Politique opérationnelle. Momentive conserve des documents de sécurité décrivant ses mesures de sécurité et les procédures et responsabilités pertinentes de son personnel qui a accès aux Données client. 

(ii) Procédures de récupération des données. 

(1) De façon régulière et continue, Momentive crée des copies de sauvegarde des Données client à partir desquelles les Données client peuvent être récupérées en cas de perte de l’exemplaire principal. 

(2) Momentive stocke des copies des Données client et des procédures de récupération des données dans un endroit différent de celui où se trouve l’équipement informatique principal traitant les Données client. 

(3) Momentive a mis en place des procédures spécifiques régissant l’accès aux copies des Données client. 

(iii) Logiciels malveillants. Momentive dispose de contrôles de protection contre les logiciels malveillants pour éviter que des logiciels malveillants n’obtiennent un accès non autorisé aux Données client, y compris des logiciels malveillants provenant de réseaux publics.

(iv) Données « au-delà des frontières ». 

(1) Momentive chiffre les Données client qui sont transmises sur des réseaux publics. 

(v) Consignation des événements.

(1) Momentive consigne toute utilisation de ses systèmes de traitement des données. 

(2) Momentive consigne tout accès et toute utilisation des systèmes d’information contenant les Données client, et enregistre l’ID d’accès, l’horodatage et certaines activités pertinentes.

(f) Domaine : gestion des incidents liés à la sécurité des informations.

(i) Processus de réponse aux incidents. 

(1) Momentive dispose d’un plan de réponse aux incidents.  

(2) Momentive tient un registre des violations de la sécurité avec une description de la violation, la période concernée, les conséquences de la violation, le nom de la personne ayant signalé la violation et le nom de la personne à qui elle a été signalée, ainsi que les mesures correctives, le cas échéant.

(g) Domaine : gestion de la continuité des activités.

(i) Le stockage redondant de Momentive et ses procédures de récupération des données sont conçus pour tenter de reconstituer les Données client dans leur état d’origine, avant le moment où elles ont été perdues ou détruites.   

(h) Contrôle de l’accès aux zones de traitement.  Processus visant à empêcher les personnes non autorisées d’accéder à l’équipement de traitement des données (à savoir les téléphones, les serveurs de bases de données et d’applications et le matériel connexe) où les Données client à caractère personnel sont traitées ou utilisées, notamment : 

(i) mise en place de zones sécurisées ; 

(ii) protection et restriction des chemins d’accès ;

(iii) sécurisation des téléphones portables/cellulaires ;   

(iv) équipement de traitement des données et ordinateurs personnels ;

(v) tous les accès aux centres de données où sont hébergées les Données client à caractère personnel sont consignés, surveillés et suivis ;  

(vi) les centres de données où sont hébergées les Données client à caractère personnel sont protégés par un système d’alarme et d’autres mesures de sécurité appropriées ; et 

(vii) le site est conçu pour résister aux intempéries et à d’autres conditions naturelles raisonnablement prévisibles, il est protégé 24h/24 par des gardes, un système d’accès par carte-clé et/ou biométrique (en fonction du niveau de risque), un système de filtrage et un accès contrôlé par escorte, et il est également équipé de générateurs de secours en cas de panne d’électricité.

(i) Contrôle de l’accès aux systèmes de traitement des données. Processus visant à empêcher l’utilisation des systèmes de traitement des données par des personnes non autorisées, notamment :  

(i) identification du terminal et/ou de l’utilisateur du terminal auprès des systèmes de traitement des données ; 

(ii) déconnexion automatique au bout de 30 minutes ou moins du terminal de l’utilisateur s’il reste inactif, identification et mot de passe requis pour la reconnexion ;

(iii) émission et protection de codes d’identification ;  

(iv) exigences de complexité des mots de passe (longueur minimale, expiration, etc.) ; et

(v) protection contre les accès externes par le biais d’un pare-feu industriel standard.  

(j) Contrôle d’accès pour l’utilisation de parties spécifiques des systèmes de traitement de données. Mesures visant à garantir que les personnes habilitées à utiliser les systèmes de traitement des données ne peuvent accéder aux données que dans le cadre et dans la mesure couverts par leur permission d’accès (autorisation) respective et que les Données client à caractère personnel ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation, notamment en :

(i) mettant en œuvre des politiques contraignantes à l’égard des employés et fournissant une formation concernant les droits d’accès de chaque employé aux Données client à caractère personnel ;

(ii) prenant des mesures disciplinaires efficaces et mesurées à l’encontre des personnes qui accèdent aux Données client à caractère personnel sans autorisation ; 

(iii) communiquant les données uniquement aux personnes autorisées ; 

(iv) mettant en œuvre les principes de l’accès le moins privilégié possible aux informations contenant des Données client à caractère personnel, en se basant strictement sur les exigences du « besoin de savoir » ;

(v) appliquant une gestion de l’accès aux réseaux de production et aux données régie par des contrôles via VPN, authentification à deux facteurs et accès en fonction du rôle ;

(vi) transmettant les informations relatives aux journaux des systèmes d’applications et d’infrastructures à un système de gestion centralisée des journaux à des fins de dépannage, d’examen de la sécurité et d’analyse ; et 

(vii) appliquant des politiques de contrôle de la conservation des copies de sauvegarde conformes aux lois applicables et adaptées à la nature des données en question et au risque correspondant.

(k) Contrôle des transmissions. Procédures visant à empêcher que les Données client à caractère personnel soient lues, copiées, modifiées ou supprimées par des parties non autorisées pendant leur transmission ou pendant le transport des supports de données et à garantir qu’il soit possible de vérifier et d’établir à quels organismes le transfert des Données client à caractère personnel au moyen d’installations de transmission de données est envisagé , notamment : 

(i) utilisation de pare-feu et de technologies de chiffrement pour protéger les passerelles et les pipelines par lesquels transitent les données ;

(ii) mise en place de connexions VPN pour protéger la connexion au réseau interne de l’entreprise ;

(iii) surveillance constante des infrastructures (par exemple ICMP-Ping au niveau du réseau, examen de l’espace disque au niveau du système, livraison réussie de pages de test spécifiées au niveau de l’application) ; et

(iv) contrôle de l’exhaustivité et de l’exactitude du transfert des données (vérification de bout en bout). 

(l) Contrôle du stockage. Lors du stockage des Données client à caractère personnel : elles seront sauvegardées dans le cadre d’un processus de sauvegarde et de récupération désigné sous forme chiffrée, en utilisant une solution de chiffrement prise en charge commercialement et toutes les données définies comme des Données client à caractère personnel stockées sur un dispositif informatique portable ou un support de stockage portable seront également chiffrées. Les solutions de chiffrement seront déployées avec au moins une clé de 128 bits pour le chiffrement symétrique et une clé de 1 024 bits (ou plus) pour le chiffrement asymétrique ;

(m) Contrôle d’introduction et de suppression des données. Mesures visant à garantir qu’il est possible de vérifier et d’établir si et par qui les Données client à caractère personnel ont été introduites dans les systèmes de traitement des données ou en ont été supprimées, notamment :

(i) authentification du personnel autorisé ;

(ii) mesures de protection pour l’introduction des données en mémoire, ainsi que pour la lecture, la modification et la suppression des données stockées ;

(iii) utilisation de codes utilisateur (mots de passe) ;

(iv) preuve établie au sein de l’organisation de l’importateur des données de l’autorisation de saisie ; et

(v) vérification du verrouillage des entrées des sites de traitement des données (les salles abritant le matériel informatique et les équipements connexes).

(n) Contrôle de disponibilité. Mesures visant à garantir que les Données client à caractère personnel sont protégées contre la destruction ou la perte accidentelle, notamment la redondance des infrastructures et des sauvegardes régulières effectuées sur les serveurs de base de données. 

(o) Segmentation du traitement. Procédures permettant de traiter séparément les données recueillies pour des finalités différentes, notamment :

(i) séparation des données par la sécurité des applications pour les utilisateurs appropriés ;

(ii) stockage des données, au niveau de la base de données, dans différentes tables, séparées par le module ou la fonction auxquelles elles s’appliquent ;

(iii) conception d’interfaces, de traitements par lots et de rapports destinés uniquement à des fins et des fonctions spécifiques, de sorte que les données recueillies à des fins spécifiques sont traitées séparément ; et

(iv) interdiction d’utiliser des données en temps réel à des fins de test, car seules des données factices générées à des fins de test peuvent être utilisées à cette fin.

(p) Programme de gestion des vulnérabilités. Programme visant à garantir que les systèmes sont régulièrement vérifiés pour détecter les vulnérabilités et que celles qui sont détectées sont immédiatement corrigées, notamment :

(i) analyses régulières de tous les réseaux, notamment les environnements de test et de production ; et 

(ii) tests de pénétration réguliers et correction rapide des vulnérabilités.

(q) Destruction des données. En en cas d’expiration ou de résiliation de l’Accord par l’une ou l’autre des parties ou à la demande du Client après réception d’une demande d’une personne concernée ou d’un organisme de réglementation : 

(i) toutes les Données client seront détruites de manière sécurisée dans un délai de 3 mois ; et

(ii) toutes les Données client seront purgées de tous les dispositifs de stockage de Momentive et/ou de tiers, y compris les sauvegardes, dans les 6 mois suivant la résiliation du contrat ou la réception d’une demande du Client, sauf si Momentive est tenu par la loi de conserver une catégorie de données pendant une période plus longue. Momentive veillera à ce que toutes ces données qui ne sont plus nécessaires soient détruites à un niveau suffisant pour garantir qu’elles ne sont plus récupérables.

(r) Normes et certifications. Les solutions de stockage de données et/ou les sites disposent au moins des rapports SOC 1 (SSAE 16) ou SOC 2 (les certifications ou les niveaux de sécurité équivalents ou similaires seront examinés au cas par cas).

Finalité et nature du traitement des Données à caractère personnel, catégories de Données à caractère personnel, Personnes concernées 

ANNEXES POUR les clauses contractuelles types

ANNEXE I -

A. LISTE DES PARTIES

MODULE 2 : transfert du responsable du traitement au sous-traitant

MODULE 3 : transfert de sous-traitant à sous-traitant

MODULE 4 : transfert du sous-traitant au responsable du traitement

Exportateur(s) des données : comme spécifié dans cet Accord

Nom, poste et coordonnées du contact : comme spécifiés dans cet Accord

Activités liées aux données transférées dans le cadre de ces Clauses : comme spécifiées dans l’Annexe 2 de l’ATD

Importateur(s) des données : comme spécifié dans cet Accord

Nom : comme spécifié dans cet Accord

Nom, poste et coordonnées du contact : comme spécifiés dans cet Accord

Activités liées aux données transférées dans le cadre de ces Clauses : comme spécifiées dans l’Annexe 2 de l’ATD

B. DESCRIPTION DU TRANSFERT

MODULE 2 : transfert du responsable du traitement au sous-traitant

MODULE 3 : transfert de sous-traitant à sous-traitant

MODULE 4 : transfert du sous-traitant au responsable du traitement

Catégories des personnes concernées dont les données personnelles sont transférées : comme spécifiées dans l’Annexe 2 de l’ATD

Catégories de données personnelles transférées : comme spécifiées dans l’Annexe 2 de l’ATD

Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme par exemple une stricte limitation de la finalité, des restrictions d’accès (y compris l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre des accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires : comme spécifiées dans les Annexes 1 et 2 de l’ATD

La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue) : ponctuel et continu (en fonction de l’utilisation des Services)

Nature du traitement : comme spécifiée dans l’Annexe 2 de l’ATD

Finalité du transfert de données et autre traitement : comme spécifiée dans l’Annexe 2 de l’ATD

La période pendant laquelle les données personnelles seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période : comme spécifié dans l’Accord et comme spécifié ici

Pour les transferts à des sous-traitants (secondaires), préciser également l’objet, la nature et la durée du traitement : voir ici.

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

Identifier la ou les autorités de contrôle compétentes conformément à la Clause 13 : Irlande

ANNEXE II – MESURES TECHNIQUES ET ORGANISATIONNELLES COMME SPÉCIFIÉES DANS L’ANNEXE 1 DE L’ATD

ANNEXE III – LISTE DES SOUS-TRAITANTS

MODULE 2 : transfert du responsable du traitement au sous-traitant

MODULE 3 : transfert de sous-traitant à sous-traitant

MODULE 4 : transfert du sous-traitant au responsable du traitement Le Client a autorisé l’utilisation des sous-traitants suivants : voir ici.

AVENANT POUR LE ROYAUME-UNI 

1. En ce qui concerne les transferts de données soumis au RGPD britannique, les parties concluent par les présentes l’Avenant pour le Royaume-Uni (dont une copie est disponible ici) et l’Avenant pour le R.-U. est intégré au présent Accord par référence. Pour les transferts de données régis par le RGPD britannique, toute référence à l’« autorité de contrôle compétente » ou aux « tribunaux compétents » doit être interprétée comme une référence à l’autorité de protection des données et aux tribunaux pertinents au Royaume-Uni. 

2. Les parties conviennent que le format et le contenu des tableaux de la partie 1 de l’Avenant pour le Royaume-Uni sont modifiés et remplacés par le tableau ci-dessous.

3. En cas de conflit ou d’incohérence entre le présent Accord et l’Avenant pour le Royaume-Uni, l’Avenant pour le Royaume-Uni prévaut sur le conflit ou l’incohérence en question.