1.1 Portée
 

Les présentes Conditions de traitement des données s’appliquent au Fournisseur si ce dernier traite des Données personnelles dans le cadre de l’exécution des Services par le Fournisseur (ces termes étant définis ci-dessous).

1.2 Définitions

Aux fins des présentes Conditions de traitement des données, les définitions suivantes s’appliquent :

1. Les termes « Décision d’adéquation » désignent une décision rendue par la Commission européenne en vertu de l’article 45 du RGPD.
    
2. Les termes « Loi applicable » désignent toutes les lois applicables (y compris celles découlant du droit commun), statuts, ordonnances, règlements, directives, traités, codes et autres déclarations ayant effet de loi des États-Unis, de tout pays étranger ou de tout État, comté, ville ou autre subdivision politique, du pays ou d’un pays étranger, y compris ceux promulgués ou appliqués par toute autorité gouvernementale, tels que modifiés ou complétés.
    
3. L’expression « Données du titulaire de carte » désigne : (1) en ce qui concerne une carte de paiement, le nom du titulaire du compte, le numéro de compte, les codes de sécurité, le code/valeur de validation de carte, les codes de service (c.-à-d. le numéro à trois ou quatre chiffres sur la bande magnétique qui spécifie les exigences d’acceptation et les limites pour une transaction de lecture de bande magnétique), le PIN ou bloc PIN, les dates de validité (à partir de et jusqu’à), et les données de bande magnétique; et (2) les données et renseignements liés à une transaction par carte de paiement pouvant être liée à un compte spécifique, qu’une carte physique soit utilisée ou non dans le cadre de la transaction.
    
4. Les termes « Transfert de données  » désignent l’accès aux Données personnelles par une Personne, ou le transfert, la livraison ou la divulgation de Données personnelles à une Personne, quand cette Personne est située dans un pays autre que le pays d’origine des Données personnelles.
    
5. L’acronyme « EEE  » désigne collectivement les États membres de l’Union européenne et la Suisse.
    
6. L’acronyme « RGPD » désigne le Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des personnes physiques en ce qui concerne le Traitement des données personnelles et la libre circulation de ces données, et abrogeant la Directive 95/46/EC, telle que modifiée ou complétée.
    
7. Les termes « Normes PCI » désignent les normes de sécurité des données pour la protection des renseignements relatifs aux cartes de paiement auxquelles les sociétés de carte de paiement exigent collectivement ou individuellement que les commerçants se conforment, y compris, mais sans s’y limiter, les Normes de sécurité des données de l’industrie des cartes de paiement actuellement en vigueur et modifiées pendant la durée du Contrat.
    
8. L’expression « Violation des données personnelles » désigne tout accès, acquisition, utilisation, modification, divulgation, perte, destruction ou dommage accidentel, illégal ou non autorisé des données personnelles, ou tout autre traitement non autorisé des données personnelles.
    
9. Les termes « Données personnelles » désignent toute information relative à une personne physique identifiée ou identifiable; ou toute information qui identifie, se rapporte à, décrit ou pourrait raisonnablement être liée à une personne physique ou à un ménage particulier, à laquelle le Fournisseur à accès ou qu’il achète à la Société, que la Société fournit au Fournisseur, ou que le Fournisseur obtient ou acquiert au nom de la Société; une personne physique identifiable est une personne pouvant être identifiée, directement ou indirectement, en particulier grâce à un identifiant comme un nom, un numéro d’identification, des données d’emplacement, un identifiant en ligne ou un ou plusieurs facteurs spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique. Les Données personnelles comprennent, sans s’y limiter : (a) nom; (b) adresse postale; (c) numéro de téléphone ou de télécopieur; (d) adresse de courriel; et (e) numéro d’identification du gouvernement. Les données personnelles comprennent également les renseignements personnels, les renseignements permettant d’identifier une personne, ou les termes similaires tels que définis par les lois sur la protection de la vie privée.
    
10. L’expression « Lois sur la protection de la vie privée » désigne toutes (1) les Lois applicables relatives à la protection de la vie privée, la confidentialité, la conservation ou la sécurité des données personnelles, y compris mais sans s’y limiter, le RGPD, le RGPD du Royaume-Uni, le California Consumer Privacy Act de 2018, tel que modifié (« CCPA »), la Loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE), les lois provinciales sur la protection de la vie privée (y compris celles de Colombie-Britannique, d’Alberta, et du Québec), et la loi canadienne anti-pourriel; la Loi sur le contrôle de la pornographie et du marketing non sollicités (CAN-SPAM); le Règlement sur l’élimination des renseignements et des dossiers des rapports de consommation de la FTC, 16 C.F.R. § 682 (2005); le Règlement fédéral sur la « Confidentialité des renseignements financiers des consommateurs » (12 CFR Part 30) publié en vertu de l’article 504 de la Gramm-Leach-Bliley Act de 1999 (15 U.S.C. §6801, et suivants); Le HIPAA et la Loi HITECH, et tous les exigences similaires, qu’elles soient nationales, fédérales, étatiques, provinciales, ou locales, (2) toutes les normes de l’industrie applicables en matière de confidentialité, de protection des données, de confidentialité ou de sécurité de l’information actuellement en vigueur et à mesure qu’elles entrent en vigueur; y compris la Norme de sécurité des données de l’industrie des cartes de paiement, et toute autre norme similaire, et (3) les dispositions applicables de toutes les politiques de confidentialité, déclarations ou avis fournis au Fournisseur ou mis à sa disposition par la Société. Pour éviter tout doute, les lois sur la protection de la vie privée s’appliquent à toute réception ou traitement de données personnelles, ainsi qu’à leur accès, intentionnels ou non.
     
11. Les termes « Traiter » ou « Traitement » désignent toute opération ou tout ensemble d’opérations effectuées, que ce soit ou non par des moyens automatisés, sur des Données personnelles ou sur des ensembles de Données personnelles, telles que la collecte, l’enregistrement, l’organisation, la structuration, la modification, l’utilisation, l’accès, la divulgation, la copie, le transfert, le stockage, la suppression, l’alignement ou la combinaison, la restriction, l’adaptation, la récupération, la consultation, la destruction, l’élimination ou toute autre utilisation des Données personnelles.
     
12. L’expression « RGPD du R.-U. » désigne l’application par le R.-U. du RGPD dans la loi nationale, telle que définie dans les articles 3(10) et 205(4) de la Loi sur la protection des données de 2018.
     

1.3 Limitation d’utilisation
 

1. Portée du traitement. Le Fournisseur traitera les Données personnelles en rapport avec les Services décrits dans le Contrat et pendant la durée dudit Contrat, sous réserve du respect des Lois applicables et du Contrat. Le type de Données personnelles traitées par le Fournisseur est décrit dans le Contrat. Le Traitement peut concerner les Données personnelles des employés de la Société ou des clients de la Société, et les coordonnées professionnelles des clients, fournisseurs et autres partenaires commerciaux de la Société, comme décrit plus en détail dans le Contrat. En aucun cas le Fournisseur n’utilisera, ne traitera (y compris en combinant de manière spécifique avec d’autres données) ou ne divulguera les Données personnelles à ses propres fins commerciales, en dehors de la relation commerciale directe avec la Société ou à toute autre fin que la prestation des Services.
    
2. Traitement conformément aux instructions de la Société. Le Fournisseur reconnaît qu’en ce qui concerne les Données personnelles, la Société est le contrôleur et le Fournisseur est un sous-traitant de données tel que défini par les Lois sur la protection de la vie privée applicables. Le Fournisseur ne traitera les Données personnelles qu’au nom de la Société, au besoin, pour fournir les Services conformément au Contrat (y compris les présentes Conditions de traitement des données) et conformément aux instructions de la Société émises de temps à autre par écrit (collectivement, les « Instructions »). Le Fournisseur traitera les Données personnelles et exécutera toujours les Services conformément aux Lois applicables, en fournissant le même niveau de protection de la vie privée que celui requis par la Société en vertu des Lois sur la protection de la vie privée. Le Fournisseur ne peut pas : (1) utiliser les Données personnelles à toute fin autre que celle prévue par la Section 1.3.a; (2) vendre, céder ou louer à des tiers des Données personnelles; (3) partager des Données personnelles avec des tiers à des fins de publicité comportementale de contexte croisé; ou (4) exploiter commercialement les Données personnelles ni traiter d’aucune autre manière les Données personnelles aux fins propres du Fournisseur. Si la Loi applicable exige que le Fournisseur effectue un Traitement qui est ou pourrait être interprété comme incompatible avec les Instructions, le Fournisseur doit notifier la Société immédiatement et avant de commencer le Traitement, à moins que la Loi applicable n’interdise une telle notification pour des motifs importants d’intérêt public. Le Fournisseur doit aviser immédiatement la Société si le Fournisseur croit qu’une instruction de la Société viole ou entraînerait un Traitement violant la Loi applicable.
    

1.4 Limitation de la divulgation

Le Fournisseur ne divulguera pas de Données personnelles à un tiers sans avoir obtenu au préalable le consentement écrit de la Société, sauf dans les cas prévus par la Section 1.7 (Demandes de sujets des données) ou par la Section 1.11 (Demandes de production). Le Fournisseur imposera des obligations écrites exécutoires à tous les employés, entrepreneurs et agents traitant des Données personnelles au nom du Fournisseur, afin de protéger la confidentialité des Données personnelles (pendant la durée de leur emploi ou de leur engagement, et par la suite).

1.5 Mesures techniques et organisationnelles; exigences de sécurité
 

1. Exigences de sécurité. Le Fournisseur doit se conformer aux exigences de la Société en matière de mesures de contrôle administratives, techniques et physiques applicables à la prestation par le Fournisseur des Services et aux exigences de la Société en matière de sécurité physique dans les installations mentionnées dans le présent document, dans le Contrat, et comme autrement indiqué par la Société au Fournisseur par écrit (les « Exigences de sécurité  »). La Société doit aviser le Fournisseur par écrit de tout changement, mise à jour, ou modification des Exigences de sécurité. Le Fournisseur se conformera, et veillera à ce que ses agents et sous-traitants respectent les exigences de sécurité, telles qu’elles sont modifiées par la Société de temps à autre.
    
2. Garanties . Outre les exigences spécifiques énoncées dans les Exigences de sécurité, le Fournisseur élaborera par écrit, un programme de sécurité de l’information concernant les données personnelles (et en fournira une copie à la Société) (« WISP ») qui devra être fondamentalement conforme au cadre établi par l’Organisation internationale de normalisation dans un document de normes intitulé « Code de déontologie pour la gestion de la sécurité de l’information » (ISO/IEC 27002:2013, et tel qu’il peut être parfois modifié) et qui, conformément à la section 1.5(c) ci-dessous : (1) assure la sécurité, la confidentialité, l’intégrité et la disponibilité des données personnelles; (2) protège contre toute menace ou tout danger potentiel qu’il s’agisse de sécurité, de confidentialité, de disponibilité ou d’intégrité des données personnelles; (3) protège contre tout accès, utilisation ou divulgation non autorisés des données personnelles; et (4) assure l’élimination appropriée et sécurisée des données personnelles. Le Fournisseur prendra, conformément au WISP et aux lois sur la protection de la vie privée, toutes les mesures de sécurité techniques et organisationnelles nécessaires contre le traitement non autorisé ou illégal des données personnelles et contre la perte, l’altération ou la destruction des données personnelles ou les dommages qui leur seraient causés. Lors de l’évaluation du niveau de sécurité approprié, le Fournisseur doit tenir compte de l’état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des objectifs du traitement des données personnelles, ainsi que du risque à la probabilité et à la gravité variables, pour les droits et les libertés des personnes physiques.
    
3. Documentation. Pendant la durée du présent contrat et pour une période de sept ans par la suite, le Fournisseur tiendra à jour et fournira dans le cadre de l’examen de la Société, à la demande de cette dernière : (a) le WISP et (b) d’autres documents relatifs au programme de sécurité, y compris ses politiques d’intervention en cas d’incident, ses normes de cryptage et/ou d’autres politiques ou procédures de protection de la sécurité informatique, conformes aux Lois sur la protection de la vie privée. Le Fournisseur doit fournir à la Société toute modification apportée à ces politiques ou programmes, ainsi que toute nouvelle politique ou tout nouveau programme relatif à la confidentialité et à la sécurité des informations que le Fournisseur peut adopter de temps à autre, dans les 30 jours suivant l’adoption d’une telle modification, qu’il s’agisse des politiques ou des programmes.
    
4. Évaluation de la sécurité. Sans limiter la généralité de ce qui précède, le WISP du Fournisseur doit prévoir : (a) l’évaluation et la réévaluation régulières des risques pour la confidentialité; l’intégrité et la disponibilité des données personnelles et des systèmes acquis ou maintenus par le Fournisseur et ses agents et entrepreneurs; y compris (x) l’identification des menaces internes et externes qui pourraient entraîner une violation de données personnelles, (y) l’évaluation de la probabilité et des dommages potentiels de ces menaces; et (z) l’évaluation de la suffisance des politiques, procédures et systèmes d’information du Fournisseur et des Sous-traitants (définis ci-dessous), ainsi que d’autres modalités en place, pour contrôler les risques; et (b) une protection contre ces risques.
    
5. Médias. Le Fournisseur doit supprimer l’ensemble des données personnelles de tout support mis hors service, puis détruire ou effacer par souci de sécurité, ces supports conformément aux normes industrielles actuelles telles que le NIST 800-88 ou une norme équivalente, aux Lois sur la protection de la vie privée et d’une manière qui permette d’éviter tout accès ou utilisation non autorisés des données personnelles en lien avec cette destruction ou suppression. Aucun support sur lequel les données personnelles sont stockées ne peut être utilisé ou réutilisé pour stocker les données d’un autre client du Fournisseur ou pour livrer des données à un tiers, y compris un autre client du Fournisseur, à moins qu’elles ne soient effacées en toute sécurité.
    

1.6 Sous-traitance

Le Fournisseur ne peut sous-traiter le traitement des données personnelles qu’avec l’autorisation écrite préalable de la Société. Avant toute divulgation des données personnelles à un sous-traitant ou autre traitement des données personnelles par un sous-traitant (chacun, un « Sous-traitant  »), le Fournisseur doit avoir conclu un accord qui exige que le Sous-traitant se conforme aux Lois sur la protection de la vie privée et aux mêmes obligations et restrictions que celles prévues dans les présentes Conditions de traitement des données. Le Fournisseur fournira sur demande l’accord à la Société dans les plus brefs délais. Le Fournisseur demeurera responsable du traitement des données personnelles par ces Sous-traitants ainsi que de toutes leurs actions et omissions.

1.7 Demandes des personnes concernées

Le Fournisseur avisera rapidement la Société par écrit (et dans tous les cas dans les deux jours ouvrables suivant la réception), à moins que la Loi en vigueur l’interdise formellement, s’il reçoit : (1) la demande d’une personne concernant les données personnelles traitées, y compris, mais sans s’y limiter, les demandes de retrait, d’accès, de rectification, d’effacement, de restriction ou de portabilité des données, les demandes impliquant une objection au traitement ou à la prise de décision automatisée; et toutes les demandes similaires; ou (2) toute plainte, enquête ou avis d’enquête en vertu de la loi applicable concernant le traitement des données personnelles, y compris, mais sans s’y limiter, les allégations selon lesquelles le traitement enfreint les droits d’une personne en vertu de la Loi en vigueur. Le Fournisseur s’engage, à titre gracieux, à : (a) mettre en œuvre les processus appropriés (y compris des mesures techniques et organisationnelles) pour aider la Société à répondre à ces demandes ou plaintes émanant de particuliers; et (b) coopérer pleinement avec la Société en ce qui concerne l’authentification, l’enregistrement, l’enquête, le traitement, l’exécution et la résolution de l’ensemble de ces demandes, plaintes, demandes de renseignements ou avis d’enquête, et faciliter la tâche de la Société à cet égard. Le Fournisseur ne répondra pas à une telle demande, plainte, enquête ou avis d’enquête à moins d’y être autorisé par écrit par la Société, ou d’y être tenu par la Loi en vigueur.

1.8 Violations des données personnelles
 

1. Le Fournisseur doit aviser la Société par écrit immédiatement (et dans tous les cas dans les 24 heures) chaque fois qu’il pense raisonnablement qu’il y a eu une violation de données personnelles, y compris la présence de logiciels malveillants. La notification par le Fournisseur à la Société d’une violation de données personnelles doit contenir les éléments suivants : (1) une description des catégories et du nombre approximatif de personnes concernées; ainsi que les catégories et le nombre approximatif de dossiers de données personnelles touchés par ladite violation; (2) le nom et les coordonnées du Chargé de protection des données mandaté par le Fournisseur; (3) l’évaluation du Fournisseur; élaborée avec une diligence raisonnable, des conséquences probables de la violation de données personnelles concernant à la fois les données personnelles et les personnes concernées; et (4) toute information supplémentaire requise en vertu des lois sur la protection de la vie privée applicables au fournisseur ou à la Société.
    
2. En cas de violation de données personnelles, le Fournisseur enquêtera sur cette violation, prendra toutes les mesures nécessaires pour éliminer ou limiter l’exposition des données personnelles et tiendra la Société informée de l’état de la violation des données personnelles et de l’enquête du Fournisseur et des mesures prises pour y remédier. Le Fournisseur accepte en outre de fournir, à ses propres frais, une assistance et une coopération raisonnables et appropriées demandées par la Société; dans le cadre de toute correction, remédiation, ou enquête de la Société sur cette violation de données personnelles et/ou l’atténuation de tout dommage résultant d’une telle violation, y compris toute notification que la Société peut juger appropriée d’envoyer aux personnes concernées, organismes de réglementation ou tiers, et/ou la prestation de tout service d’évaluation du crédit que la Société juge nécessaire de fournir aux personnes concernées. De plus, dans les 30 jours suivant l’identification ou l’information d’une violation de données personnelles, le Fournisseur doit élaborer et exécuter un plan visant à réduire la probabilité d’une nouvelle violation de données personnelles.
    
3. Si la Société détermine qu’une violation de données personnelles doit être divulguée à un tiers, y compris, mais sans s’y limiter, aux personnes concernées, aux autorités gouvernementales ou aux instances chargées de la protection des données, le Fournisseur coopérera pleinement avec la Société et l’aidera à remplir ses obligations en matière de déclaration et de divulgation. Sauf si la Loi en vigueur l’exige, le Fournisseur ne notifiera à aucune personne physique ni à un tiers, à l’exception des forces de l’ordre, une éventuelle violation de données personnelles sans avoir au préalable consulté la Société et obtenu son autorisation écrite.
    

1.9 Renvoi ou suppression de renseignements

En cas de résiliation ou expiration du Contrat pour quelque raison que ce soit, ou à la demande de la Société (et sans tenir compte du constat de défaut des Parties en vertu du Contrat), le Fournisseur doit, dans les 10 jours, restituer de la manière et dans le format raisonnablement demandé par la Société, ou, à la demande de celle-ci, détruire toutes les données personnelles en sa possession ou sous son contrôle, sauf dans le cas où la Loi en vigueur l’exigerait autrement. Si le Fournisseur a l’obligation légale de conserver les données personnelles au-delà de la période autrement spécifiée par le Contrat, il en informera la Société par écrit (sauf si la Loi en vigueur l’en empêche) et retournera ou détruira les données personnelles conformément aux présentes Conditions de traitement des données dès que possible après l’expiration de la période de conservation légalement requise. Le Fournisseur procédera à la destruction permanente et sécurisée des données personnelles selon la procédure des présentes Conditions de traitement des données, conformément aux Lois sur la protection de la vie privée et aux normes de l’industrie afin que les informations ne puissent être lues ou reconstituées de manière pratique par des moyens judiciaires ou autres. À la demande de la Société, le Fournisseur fournira une explication par écrit de la méthode utilisée pour éliminer et détruire des données, ainsi qu’une attestation écrite indiquant que les données personnelles ont été retournées ou détruites en toute sécurité conformément aux présentes Conditions de traitement des données.

1.10 Enquêtes

Une fois notifié, le Fournisseur doit aider et soutenir la Société dans le cas d’une enquête menée par un organisme de réglementation, y compris de la protection des données, ou une autorité similaire, si et dans la mesure où cette enquête concerne les données personnelles traitées par le Fournisseur pour le compte de la Société. Cette assistance se fera aux frais de la Société, sauf si l’enquête a été diligentée à cause d’actes ou d’omissions du Fournisseur, auquel cas ce dernier devra prendre en charge lui-même, les frais d’assistance.

1.11 Certification

Le Fournisseur certifie par la présente qu’il comprend et s’engage à respecter les restrictions énoncées dans les présentes Conditions de traitement des données en ce qui concerne les données personnelles.

2.1 Audit annuel
 

Outre les droits d’audit prévus par le Contrat, une fois tous les 12 mois, sous réserve de dispositions contraires à la Section 2.3 des présentes Conditions de traitement des données, le Fournisseur transmettra à la Société, ou à un tiers indépendant choisi par celle-ci et jugé acceptable par le Fournisseur, moyennant un préavis raisonnable : (1) l’accès aux informations, aux locaux de traitement et aux dossiers du Fournisseur; (2) l’assistance et la coopération adéquates du personnel concerné du Fournisseur; et (3) les installations adaptées dans les locaux du Fournisseur, pour les besoins de l’audit de la Société sur le respect par le Fournisseur des présentes Conditions relatives au traitement des données. Au lieu de procéder à un audit sur place, la Société peut demander au Fournisseur, une copie de l’évaluation tierce la plus récente, telle qu’une certification ISO 27001, SSAE 18 SOC 2, ISAE 3402 ou une attestation similaire. Le Fournisseur fournira sur demande, une copie de cette évaluation à la société dans les plus brefs délais. La Société s’arroge le droit de procéder à un audit tel que décrit dans le présent paragraphe, et ce même si une telle attestation a été fournie. Chaque partie prendra en charge ses propres dépenses liées à un audit effectué en vertu de la présente section 2.1.

2.2 Audit des violations de données personnelles

Si le Fournisseur informe la Société d’une violation de données personnelles comme décrit à la Section 1.8, la Société dispose des droits de vérification suivants, sans tenir compte de la limitation de durée prévue par la Section 2.1. Sous réserve de la section 2.3 des présentes Conditions relatives au traitement des données, la Société aura le droit d’effectuer, par un tiers indépendant choisi par celle-ci et jugé raisonnablement acceptable par le Fournisseur, ou par l’intermédiaire de son propre personnel, un audit de suivi afin de s’assurer que toutes les mesures correctives raisonnablement nécessaires ont été prises. Si cet audit conclut que le Fournisseur n’a pas pris de mesures correctives appropriées pour remédier aux problèmes, (1) le Fournisseur devra les prendre rapidement afin de résoudre les problèmes; et (2) le Fournisseur remboursera à la Société tous les coûts justifiés de l’audit.

2.3 Confidentialité de l’audit

Les parties conviennent que si les politiques écrites préexistantes du Fournisseur, fournies à la Société sur demande, ne permettent pas au personnel de la Société d’effectuer un audit ou un examen de sécurité requis ou autorisé en vertu des présentes Conditions de traitement des données, la Société effectuera cet audit ou examen de sécurité par l’intermédiaire d’un auditeur tiers qu’elle sélectionnera elle-même et que le Fournisseur jugera acceptable, et ce dernier remboursera à la Société le coût de l’exécution de cet audit ou examen de sécurité. La Société convient que tout auditeur ou société de sécurité tiers conclura un accord écrit avec le Fournisseur et la Société, exigeant que cette entreprise (1) utilise toute information confidentielle du Fournisseur uniquement aux fins de l’inspection ou de l’audit, et (2) garde les informations du Fournisseur confidentielles conformément à toutes les dispositions applicables du Contrat. Les parties conviennent en outre que si les politiques du Fournisseur interdisent également aux auditeurs tiers de la Société d’effectuer une vérification ou un examen de sécurité, le Fournisseur engagera, à la demande de la Société, un cabinet d’audit indépendant, mais agissant avec une obligation envers lui, pour effectuer cette vérification ou cet examen de sécurité, à ses propres frais, et ce cabinet fournira à la Société une lettre de déclaration de la direction certifiant les résultats de l’audit ou de l’examen, y compris toutes les constatations, commentaires et recommandations concernant les mesures à prendre.

Les Transferts de données effectués en vertu du Contrat ou des Services doivent être conformes à la présente Section 3. Si un mécanisme de transfert de données identifié dans ce document est invalidé ou abrogé par un tribunal compétent ou une autorité gouvernementale compétente, le Fournisseur doit immédiatement adopter et se conformer à l’un des autres mécanismes de Transfert de données énoncés ci-dessous.

3.1 Transferts par la Société

Les Transferts de données au Fournisseur effectués par une Société affiliée établie dans l’EEE ou au Royaume-Uni (y compris tout Sous-traitant du Fournisseur) dans un endroit situé à l’extérieur de l’EEE ou du Royaume-Uni et non couvert par une Décision d’adéquation doivent être conformes à un ou plusieurs des moyens approuvés énoncés ci-dessous :

1. BCR-P. Règles d’entreprise contraignantes pour les sous-traitants mises en œuvre par le Fournisseur et approuvées par toutes les autorités de surveillance applicables conformément à l’article 47 du GDPR et à d’autres lois sur la protection de la vie privée applicables (« BCR-P »), auquel cas le fournisseur déclare, garantit et s’engage à : (i) maintenir ces BCR-P pendant toute la durée du Contrat; (ii) notifier rapidement à la Société toute modification matérielle ultérieure de cette autorisation; et (iii) transmettre toutes ses obligations en aval. Règles d’entreprise contraignantes pour les sous-traitants mises en œuvre par le Fournisseur et approuvées par toutes les autorités de surveillance applicables conformément à l’Articl  47 du GDPR et à d’autres lois sur la protection de la vie privée applicables (« BCR-P »), auquel cas le fournisseur déclare, garantit et s’engage à : (i) maintenir ces BCR-P pendant la durée du Contrat; (ii) aviser rapidement la Société de tout changement important ultérieur dans cette autorisation; et (iii) faire circuler en aval ses obligations conformément à un ou plusieurs des moyens approuvés énoncés ci-dessous : en vertu de ses BCR-P en concluant un accord de transfert ultérieur approprié avec un Sous-traitant.
    
2. Clauses types pour les transferts en provenance du Royaume-Uni. Dans tous les cas non couverts par la Section 3.1.a ci-dessus, les Transferts de données du Royaume-Uni seront régis par les Clauses contractuelles types (du Contrôleur au Sous-traitant) (les « Clauses types C2P ») pour les transferts du Royaume-Uni. Le Fournisseur doit respecter les Clauses types C2P, qui doivent être incorporées dans leur intégralité aux présentes Conditions de traitement des données lorsque la Société signe un contrat avec le Fournisseur. Les clauses types C2P s’appliquent au Fournisseur en tant qu’importateur de données, et en signant le Contrat, le Fournisseur signe également les clauses types C2P en tant qu’importateur de données. Le Fournisseur s’engage également à signer les Clauses types C2P directement sur demande.
    
3. Clauses types pour les transferts de l’EEE. Dans tous les cas non couverts par la section 3.1.a ou 3.1.b ci-dessus, les transferts de données de l’EEE seront régis par les Clauses contractuelles types (modules du Contrôleur au Processeur) (les « Clauses modèles 2021 ») pour les transferts de l’EEE. Le Fournisseur doit respecter les Clauses modèles de 2021, qui doivent être incorporées dans leur intégralité aux présentes Conditions de traitement des données lorsque la Société signe un contrat avec le Fournisseur. Les clauses types de 2021 s’appliquent au Fournisseur en tant qu’importateur de données, et en signant le Contrat, le Fournisseur signe également les clauses types de 2021 en tant qu’importateur de données. Le Fournisseur convient également de signer les Clauses types de 2021 directement sur demande.
    

3.2 Transferts par le Fournisseur

Le Fournisseur ne transférera aucune Donnée personnelle au-delà des frontières nationales, sauf avec le consentement écrit préalable de la Société. Le Fournisseur n’exportera pas à l’extérieur de l’EEE de Données personnelles recueillies, stockées ou autrement traitées par le Fournisseur dans l’EEE, sauf conformément aux instructions de la Société. Le Fournisseur doit s’assurer en tout temps que tous les Transferts de données sont conformes aux Lois sur la protection de la vie privée.

4.1
 

Le Fournisseur déclare, garantit et convient qu’aucune Donnée personnelle n’a été recueillie par le Fournisseur ou transférée par le Fournisseur à des tiers en violation des Lois sur la protection de la vie privée. Il n’y a aucune notification, réclamation, enquête ou procédure en cours, ou, à la connaissance du Fournisseur, annoncée, par des agences étatiques ou fédérales ou des parties privées, impliquant la notification ou l’envoi à des personnes de renseignements indiquant que des Données personnelles détenues ou stockées par le Fournisseur ont été compromises, perdues, prises, consultées ou mal utilisées. Le Fournisseur n’a reçu aucune notification concernant une violation des Lois sur la protection de la vie privée, et le Fournisseur n’a aucune raison de croire que la sécurité des Données personnelles traitées par le Fournisseur a été violée ou potentiellement violée.

4.2

Tous les sites Internet et applications mobiles destinés aux consommateurs et exploités par le Fournisseur au nom de la Société doivent contenir un lien vers une déclaration de confidentialité conforme aux Lois sur la protection de la vie privée, et que la Société a approuvée par écrit. Nonobstant une telle déclaration de confidentialité, le Fournisseur ne peut traiter les Données personnelles que conformément au présent Contrat et uniquement si cela est nécessaire pour fournir des Services à la Société. Si un consommateur a des raisons de croire que des sites Internet et des applications mobiles sont fournis par la Société, ces derniers doivent contenir une déclaration de confidentialité de la Société et doivent être approuvés avant leur lancement par la Société.

4.3

Le Fournisseur doit indemniser la Société et ses dirigeants, administrateurs, employés et agents (les « Indemnisés »), et dégager les Indemnisés de toute responsabilité, de et contre, toutes les pertes, dommages et dépenses, y compris toutes les pertes, dommages et dépenses accessoires et consécutives, comprenant, sans s’y limiter, les coûts (1) d’enquête, y compris les services ou l’assistance informatiques judiciaires, (2) la notification aux personnes et aux autorités gouvernementales, (3) la surveillance ou la restauration de crédit, et (4) les honoraires d’avocat raisonnables, liés ou découlant (5) de la violation par le Fournisseur des présentes Conditions de traitement des données ou (6) de toute Violation de données personnelles impliquant des Données personnelles traitées par le Fournisseur.

5.1
 

La Société peut modifier à tout moment et de temps à autre les présentes Conditions de traitement des données à sa seule discrétion. Toute modification des présentes Conditions de traitement des données sera contraignante pour le Fournisseur une fois publiée sur https://www.unitedrentals.com/legal/msa-data-processing-terms, à condition, toutefois, que le Fournisseur dispose d’un délai raisonnable pour mettre en œuvre cette modification des Conditions de traitement des données (ne dépassant pas une période prévue par la loi ou la réglementation applicable pour mettre en œuvre cette modification). Le Fournisseur est tenu de vérifier régulièrement cette URL pour s’informer de tout changement. Les modifications les plus récentes apportées aux Conditions de traitement des données apparaîtront en bas des Conditions de traitement des données, dans la section intitulée « Révisions importantes des Conditions de traitement des données ».

6.1
 

Les obligations du Fournisseur en vertu des présentes Conditions de traitement des données survivront à la résiliation ou à l’expiration de ses Services ou de tout contrat connexe, et se poursuivront tant que le Fournisseur, ou l’une de ses sociétés affiliées ou l’un de ses sous-traitants, conserve ou a accès à des Données personnelles. Le Fournisseur reconnaît et convient que chaque entité mentionnée dans la définition de « Société » ci-dessus est un tiers bénéficiaire prévu des obligations et responsabilités du Fournisseur en vertu des présentes Conditions de traitement des données, y compris, mais sans s’y limiter, les obligations du Fournisseur en ce qui concerne les Données personnelles, et qu’à ce titre, ces entités ont le droit de faire appliquer les présentes Conditions de traitement des données.

6.2 Autres garanties

Le Fournisseur doit se conformer aux Lois sur la protection de la vie privée pendant toute la durée du présent Contrat. Si le Fournisseur détermine ne plus pouvoir respecter ses obligations en vertu des Lois sur la protection de la vie privée, il doit immédiatement aviser la Société de cette décision. Le Fournisseur peut à tout moment prendre des mesures raisonnables et appropriées pour arrêter et corriger l’utilisation non autorisée de Données personnelles, y compris suspendre l’accès aux Données personnelles ou leur divulgation jusqu’à la correction de cette utilisation non autorisée. Le Fournisseur fournira les renseignements et l’assistance pertinents demandés par la Société pour démontrer que le Fournisseur respecte ses obligations en vertu des présentes Conditions de traitement des données et des Lois sur la protection de la vie privée, et pour aider la Société à respecter ses obligations en vertu des Lois sur la protection de la vie privée applicables en ce qui concerne le Traitement des données personnelles par le Fournisseur. Si un changement dans le Traitement est requis par une modification des Lois sur la protection de la vie privée, ou pour assurer la continuation de la conformité aux Lois sur la protection de la vie privée, la Société aura le droit d’exiger que le Fournisseur mette en œuvre le changement demandé.

6.3 Validité

Si une partie des présentes Conditions de traitement des données est jugée inapplicable, la validité de toutes les parties restantes ne sera pas affectée.

7.1
 

Le Fournisseur adoptera, mettra en œuvre et maintiendra des procédures et des pratiques de sécurité appropriées pour empêcher l’accès à, l’acquisition, la destruction, la modification, l’utilisation ou la divulgation non autorisés de Données personnelles. Ces procédures et pratiques seront, au minimum, conformes au Contrat, aux présentes Conditions de traitement des données et aux Lois sur la protection de la vie privée.

7.2

Conformément à ce qui précède, le Fournisseur doit :

• 7.2.1(x) séparer physiquement ou logiquement les Données personnelles de toutes les autres données détenues par le Fournisseur et empêcher qu’elles ne se mélangent; (y) s’assurer que les dispositifs portables qui traitent les Données personnelles, comme les ordinateurs portables, tablettes, iPads, assistants numériques personnels, téléphones cellulaires, téléphones intelligents, iPods, liseuses électroniques, dispositifs/lecteurs USB externes, CD, disquettes, et autres dispositifs portables similaires sont configurés pour utiliser le cryptage standard de l’industrie et, le cas échéant, disposer d’une technologie de gestion qui protège entièrement le stockage, l’installation, et les capacités d’attribution et de transmission de ces dispositifs mobiles contre un accès non autorisé, à un niveau répondant aux exigences de conformité réglementaires, qui peuvent être mises à jour de temps à autre, et autrement utiliser les technologies de cryptage standard de l’industrie pour transmettre et stocker toutes les Données personnelles; et (z) stocker et traiter toutes les Données personnelles uniquement depuis les États-Unis et les autres endroits approuvés comme endroits de Traitement par le Contrat.
   
• 7.2.2 prendre des mesures raisonnables pour assurer la fiabilité de tous les employés, membres du personnel et sous-traitants du Fournisseur qui auront accès aux Données personnelles;
   
• 7.2.3 veiller à ce que son programme de sécurité de l’information comprenne un mot de passe standard de l’industrie, un pare-feu, un système d’exploitation et des protections antivirus et contre les logiciels malveillants pour protéger les Données personnelles stockées ou traitées par les systèmes informatiques;
   
• 7.2.4 crypter, à l’aide des outils de cryptage standard de l’industrie, tous les dossiers et fichiers (A) contenant des Données personnelles que le Fournisseur transmet ou envoie sans fil ou sur des réseaux publics; et (B) contenant des Données personnelles sensibles que le Fournisseur : (x) stocke sur des ordinateurs portables ou des supports de stockage; (y) stocke sur des appareils portables; et (z) stocke sur tout appareil transporté en dehors du contrôle physique ou logique du Fournisseur. Le Fournisseur protégera la sécurité, la confidentialité et l’intégrité de toutes les clés de cryptage associées aux Données personnelles cryptées. Les « Données personnelles sensibles » sont des Données personnelles qui, en raison de leur nature, ont été classées par les Lois sur la protection de la vie privée applicables comme méritant des protections supplémentaires en matière de confidentialité et de sécurité, y compris (sans s’y limiter) : (1) le nom d’une personne en combinaison avec : (A) le numéro d’assurance sociale, le numéro d’identification de contribuable, les renseignements contenus dans un passeport ou autre document de voyage, le numéro de permis de conduire, ou tout autre numéro d’identification émis par un gouvernement ou un organisme public; ou (B) le numéro de compte financier; (2) le nom d’utilisateur en combinaison avec le mot de passe, le PIN, ou le code d’accès permettant d’accéder à un compte en ligne; (3) les données de titulaire de carte; (4) l’origine raciale ou ethnique; (5) les opinions politiques, les croyances religieuses ou philosophiques, l’adhésion à un syndicat; (6) les données génétiques; (7) les données biométriques; (8) les données sur la santé; (9) les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique; (10) la géolocalisation précise; (11) les données concernant la citoyenneté ou le statut d’immigration d’une personne physique; et (12) le contenu du courrier, courriel, ou messages de texte lorsque le Fournisseur n’est pas le destinataire prévu;
   
• 7.2.5 maintenir un programme d’intervention en cas d’incident qui précise les mesures à prendre par le Fournisseur lorsqu’il a des raisons de croire qu’une violation de Données personnelles s’est produite ou pourrait survenir;
   
• 7.2.6 lorsque le Fournisseur traite des Données de titulaire de carte en rapport avec les Services, se conformer aux Normes PCI en ce qui concerne les Données du Titulaire de carte. Conformément aux obligations du Fournisseur énoncées dans le Contrat, le Fournisseur reconnaît par les présentes sa responsabilité en matière de protection et de sécurité des Données de titulaire de carte dans le cadre de l’exécution des Services. Le Fournisseur déclare et garantit également qu’il ne prendra aucune mesure qui compromettrait la capacité de la Société à se conformer aux Normes PCI.
   
• 7.2.7 lorsque le Fournisseur, directement ou par l’entremise de l’une de ses sociétés affiliées ou de ses Sous-traitants, se connecte aux systèmes et/ou réseaux informatiques de la Société, s’assurer que : (1) toute l’interconnectivité du Fournisseur avec les systèmes informatiques et/ou les réseaux de la Société et toutes les tentatives en ce sens ne seront effectuées que via les passerelles de sécurité/pare-feu de la Société; (2) le Fournisseur n’aura pas accès, et ne permettra à aucune autre personne ou entité d’accéder aux systèmes et/ou réseaux informatiques de la Société sans l’autorisation de la Société, et tout accès réel ou tenté sera conforme à une telle autorisation; et (3) les systèmes du Fournisseur qui se connectent aux systèmes ou réseaux de la Société, et les systèmes du Fournisseur qui, s’ils étaient compromis, pourraient affecter la sécurité, la confidentialité, l’intégrité, ou la disponibilité des systèmes ou réseaux informatiques de la Société, seront activement protégés par un programme de détection/balayage des logiciels malveillants standard de l’industrie avec des antivirus à jour, avant et pendant l’accès à l’un des systèmes et/ou réseaux informatiques de la Société. Le Fournisseur convient que la Société peut effectuer des évaluations périodiques du réseau, et que si une telle évaluation révèle une sécurité inadéquate de la part du Fournisseur, de ses sociétés affiliées ou de ses Sous-traitants, la Société, en plus d’autres recours qu’elle peut avoir, peut suspendre l’accès aux systèmes informatiques et/ou aux réseaux de la Société jusqu’à ce que ce problème de sécurité ait été résolu.
   

7.3

Le Fournisseur convient que : (1) ses employés et agents devront, en condition d’emploi ou de rétention, protéger toutes les Données personnelles en possession du Fournisseur ou autrement acquises par le Fournisseur ou accessibles au Fournisseur; (2) ses employés et agents qui auront accès aux, ou seront en contact avec les Données personnelles, recevront une formation appropriée sur la protection des données personnelles; (3) il contrôlera l’accès de manière appropriée, y compris, mais sans s’y limiter, en limitant l’accès aux Données personnelles au nombre minimum d’employés et d’agents du Fournisseur ayant besoin d’un tel accès aux fins de la fourniture de biens ou de services à la Société; et (4) il imposera des mesures disciplinaires appropriées en cas de violation de ses politiques et procédures de sécurité de l’information.

7.4

Le Fournisseur doit, comme indiqué plus en détail dans son WISP, effectuer des évaluations périodiques des risques pour identifier et évaluer les risques internes et externes raisonnablement prévisibles pour la sécurité, la confidentialité et l’intégrité des dossiers électroniques, sur papier et autres, contenant des Données personnelles, et évaluer et améliorer, le cas échéant, l’efficacité de ses mesures de protection pour limiter ces risques internes et externes. Le Fournisseur doit effectuer ces examens et, le cas échéant, réviser son WISP : (1) au moins une fois par an ou chaque fois qu’il y a un changement important dans les pratiques commerciales du Fournisseur pouvant raisonnablement affecter la sécurité, la confidentialité ou l’intégrité des Données personnelles; (2) conformément aux pratiques de l’industrie en vigueur; (3) conformément à toute loi sur la protection de la vie privée nouvelle, modifiée ou réinterprétée, et (4) sur demande raisonnable de la Société. Le Fournisseur s’engage à ne pas modifier son WISP ou ses mesures de sécurité d’une manière diminuant ou compromettant la sécurité, la confidentialité ou l’intégrité des Données personnelles.

S.O.