3. TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL
3.1. Portée. L’utilisation de la Plateforme par le Client et la relation de gestion avec le Client peut entraîner le Traitement des Données client par Globalization Partners en tant que Sous-traitant ou Prestataire de services pour le compte du Client.
3.2. Instructions. Globalization Partners traitera les Données client conformément aux instructions documentées du Client. Le Client convient que le présent Addendum, le Contrat-cadre et l’Annexe I jointe aux présentes, comprennent les instructions complètes du Client à Globalization Partners concernant le Traitement des Données client. Toute instruction supplémentaire ou alternative doit être convenue entre les parties par écrit, y compris les coûts (le cas échéant) associés au respect de ces instructions. Globalization Partners n’est pas responsable de déterminer si les instructions du Client sont conformes à la loi applicable. Toutefois, si Globalization Partners estime qu’une instruction du Client enfreint les Lois applicables en matière de protection des données, Globalization Partners en informera le Client dès que raisonnablement possible et ne sera pas tenue de se conformer à ladite instruction en infraction.
3.3. Détails du traitement. Les détails de l’objet du Traitement, sa durée, sa nature et sa finalité, ainsi que le type de Données du Client et les personnes concernées sont tels que spécifiés dans l’Annexe I jointe aux présentes.
3.4. Conformité Le Client et Globalization Partners conviennent de se conformer à leurs obligations respectives en vertu des Lois sur la protection des données applicables aux Données du Client qui sont Traitées comme spécifié à l’Annexe I. Le Client est seul responsable du respect des Lois sur la protection des données concernant la légalité du Traitement des Données du Client avant de divulguer, transférer ou autrement mettre à disposition des Données du Client à Globalization Partners. Afin d’éviter toute ambiguïté, dans tous les cas, le Client obtiendra, le cas échéant, tout consentement des Personnes concernées pour que Globalization Partners traite les Données client conformément aux instructions du Client.
3.5. Sous-traitants ultérieurs. Le Client autorise Globalization Partners à nommer et à utiliser des Sous-traitants (« Sous-traitants ultérieurs ») pour traiter les Données client en lien avec les Services. Les Sous-traitants ultérieurs peuvent inclure des tiers ou tout membre du groupe de sociétés Globalization Partners. Globalization Partners peut continuer à utiliser les Sous-traitants ultérieurs déjà engagés par Globalization Partners à la date du présent Addendum, et une liste de ces Sous-traitants ultérieurs est disponible en Annexe III jointe aux présentes. Si un Sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données telles que spécifiées ci-dessus, Globalization Partners sera responsable envers le Client de l’exécution des obligations du Sous-traitant ultérieur. Globalization Partners informera le Client de toute modification de sa liste de Sous-traitants ultérieurs. Si, dans les 10 (dix) jours suivant la réception de cet avis, le Client s’oppose légitimement à l’ajout ou au retrait d’un Sous-traitant ultérieur pour des raisons de protection des données et que Globalization Partners ne peut raisonnablement répondre à l’objection du Client, les parties discuteront des préoccupations du Client de bonne foi en vue de résoudre le problème.
3.6. Mesures de sécurité techniques et organisationnelles. En tenant compte des normes du secteur, les coûts de mise en œuvre, la nature, portée, le contexte et les finalités du Traitement, et toute autre circonstance pertinente relative au Traitement des Données Client au sein de la Plateforme, Globalization Partners mettra en œuvre des mesures de sécurité techniques et organisationnelles appropriées pour assurer la sécurité, confidentialité, intégrité, la disponibilité et la résilience des systèmes et services de traitement impliqués dans le Traitement des Données du Client sont proportionnelles au risque concernant lesdites Données du Client. Globalization Partners (i) testera et surveillera périodiquement l’efficacité de ses garanties, contrôles, systèmes et procédures et (ii) identifiera les risques internes et externes raisonnablement prévisibles pour la sécurité, la confidentialité et l’intégrité des Données client, et s’assurera que ces risques sont traités.
3.7. Confidentialité. Globalization Partners s’assurera que les personnes autorisées à accéder aux Données client (i) se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale appropriée de confidentialité et (ii) n’accèdent aux Données client que sur instructions documentées de Globalization Partners, sauf si la loi applicable l’exige.
3.8. Violation de données à caractère personnel. Globalization Partners informera le Client sans délai injustifié après avoir pris connaissance d’une Violation de données en relation avec le Traitement des Données du Client et déploiera des efforts raisonnables pour aider le Client à atténuer, lorsque cela est possible, les effets indésirables de toute Violation de données.
3.9. Transferts internationaux . Globalization Partners est autorisée, dans le cadre normal de ses activités, à effectuer des transferts internationaux de Données client à ses sociétés affiliées et/ou Sous-traitants ultérieurs. Lors de ces transferts, Globalization Partners s’assurera qu’une protection appropriée est en place pour protéger les Données client transférées en vertu du Contrat-cadre ou en relation avec celui-ci, comme suit :
-
3.9.1. Lorsque Globalization transfère des Données client vers des pays en dehors de l’EEE (qui ne sont pas soumis à une décision d’adéquation en vertu des Lois sur la protection de la vie privée), Globalization Partners exécutera et se conformera à ses obligations en vertu des CCT de l’UE, qui sont intégrées au présent Addendum par le présent renvoi et complétées comme suit :
-
Le Module 2 (du Responsable du traitement au Sous-traitant) s’appliquera lorsque le Client est un Responsable du traitement des Données à caractère personnel et que Globalization Partners est un Sous-traitant des Données à caractère personnel ;
-
à la Clause 7, la clause d’amarrage facultatif s’appliquera ;
-
à la Clause 9, l’option s2’appliquera avec 10 jours ;
-
à l’article 11, la formulation facultative ne s’appliquera pas ;
-
à la Clause 12, toute réclamation introduite en vertu des CCT de l’UE sera soumise aux conditions générales énoncées dans le Contrat ;
-
à la Clause 17, l’Option 1 s’appliquera, les CCT de l’UE seront régies par le Droit irlandais ;
-
à la Clause 18(b), les litiges seront résolus devant les tribunaux irlandais ;
-
L’Annexe I des CCT de l’UE sera réputée complétée avec les informations énoncées à l’Annexe I du présent Addendum ;
-
L’Annexe II des CCT de l’UE sera réputée complétée avec les informations énoncées à l’Annexe II du présent Addendum ; et
-
L’Annexe III des CCT de l’UE sera réputée complétée avec les informations énoncées à l’Annexe III du présent Addendum.
-
3.9.2. En ce qui concerne les Données client protégées par le RGPD du Royaume-Uni, les Parties sont légalement autorisées à s’appuyer sur les CCT de l’UE pour les Transferts restreints depuis le Royaume-Uni, sous réserve de l’Addendum britannique qui est intégré au présent Addendum par référence et complété comme défini dans l’Annexe IV jointe aux présentes. Si le présent article 3.9.2 ne s’applique pas, Globalization Partners Exporting Company et le Client coopéreront de bonne foi pour mettre en œuvre des mesures de protection appropriées pour les transferts de ces Données à caractère personnel, comme requis ou autorisé par le RGPD du Royaume-Uni, sans retard injustifié.
-
3.9.3. Rien dans les interprétations de la présente Section n3.9’est destiné à entrer en conflit avec les droits ou responsabilités de l’une ou l’autre des Parties en vertu des CCT de l’UE et/ou de l’Addendum britannique et, en cas d’un tel conflit, les CCT de l’UE et/ou l’Addendum britannique, selon le cas, prévaudront.
3.10. Suppression des Données à caractère personnel. À la résiliation des Services (pour quelque raison que ce soit) et sur demande écrite du Client, Globalization Partners devra, dès que raisonnablement possible, retourner ou supprimer les Données client stockées sur la Plateforme, sauf si la loi applicable exige le stockage des Données client pendant une période plus longue. Pour cette conservation, les dispositions du présent Addendum continueront de s’appliquer à ces Données Client.
3.11. Demandes des personnes concernées. Globalization Partners informera rapidement le Client de toute demande des Personnes concernées concernant les Données client. Il incombe au Client de répondre à ces demandes. Globalization Partners aidera raisonnablement le Client à répondre auxdites demandes des Personnes concernées dans la mesure où le Client n’est pas en mesure d’accéder aux Données client pertinentes dans son utilisation de la Plateforme.
3.12. Demandes de tiers. Si Globalization Partners reçoit des demandes de tiers ou une ordonnance d’un tribunal, d’un organisme de réglementation ou d’un organisme gouvernemental compétent auquel Globalization Partners est soumise concernant le Traitement des Données client en vertu du Contrat, Globalization Partners redirigera rapidement la demande au Client. Globalization Partners ne répondra pas à ces demandes sans l’autorisation préalable du Client, sauf si la loi l’y oblige. Globalization Partners, sauf interdiction légale, informera le Client à l’avance de toute divulgation des Données du Client et coopérera raisonnablement avec le Client pour limiter la portée de cette divulgation à ce qui est légalement requis.
3.13. Évaluation de l’impact sur la protection des données et consultation préalable. Dans la mesure requise par les Lois sur la protection des données, Globalization Partners fournira une assistance raisonnable au Client pour effectuer une évaluation de l’impact sur la protection des données en relation avec le Traitement des Données client entrepris par Globalization Partners et/ou toute consultation préalable requise(s) avec les autorités de contrôle. Globalization Partners se réserve le droit de facturer au Client des frais raisonnables pour la fourniture d’une telle assistance.
3.14. Démontrer la conformité. Globalization Partners effectue régulièrement des audits externes sur les contrôles de sécurité, de disponibilité, d’intégrité du traitement, de confidentialité et de confidentialité de l’organisation et fournira au Client une copie du rapport d’audit récapitulatif ou de la certification la plus récente sur demande écrite. Si le Client préfère effectuer son propre audit en plus des certifications ou rapports fournis par des tiers, cet audit doit être effectué : i) pas plus d’une fois par période 12 de (douze) mois ; ii) pendant les heures normales d’ouverture et sans perturber les activités quotidiennes de Globalization Partners ; iii) moyennant un préavis écrit de trente (30) jours ; iv) aux seuls frais du Client (y compris le temps passé par Globalization Partner à aider le Client pendant l’audit sur la base du taux quotidien d’un gestionnaire de sécurité) ; v) sur la base de paramètres et d’une portée mutuellement convenus, limité à la portée spécifique des services, les systèmes utilisés et/ou les activités de traitement envisagés et spécifiques à l’exigence réelle ; vi) sur la base d’une date convenue mutuellement à l’avance, sous réserve d’un report raisonnable par le Client sur demande raisonnable de Globalization Partners ; et vii) conformément à toutes les obligations et restrictions de confidentialité. Nonobstant ce qui précède, aucun droit d’audit n’est accordé après la résiliation du Contrat-cadre, à l’exception des obligations légales qui devront être démontrées par le Client. Tout représentant tiers sélectionné pour effectuer un audit au nom du Client ne doit pas avoir de participation ou d’affiliation avec une agence de services EOR, une organisation associée ou un consultant.
3.15. Pas de vente d’informations. Globalization Partners n’obtiendra ni n’exercera aucun droit ou avantage concernant les Données à caractère personnel, sauf tel que prévu dans le présent Addendum. Afin d’éviter toute ambiguïté, Globalization Partners ne conservera, n’utilisera, ne partagera ou ne divulguera pas les Données du Client à d’autres fins que celles spécifiques de fournir la Plateforme au Client conformément au Contrat-cadre. Globalization Partners ne vendra aucune Donnée à caractère personnel, tel que le terme « vente » est défini dans le CCPA. Globalization Partners déclare et garantit qu’elle comprend les règles, les exigences et les définitions de la CCPA et accepte de s’abstenir de prendre toute mesure qui ferait que tout transfert de Données à caractère personnel vers ou depuis Globalization Partners soit qualifié de « vente d’informations à caractère personnel » en vertu de la CCPA.