Le présent avenant relatif au traitement mondial des données (ci-après dénommé « l’Avenant »), qui prend effet à la date d’entrée en vigueur de l’Avenant (telle que définie ci-dessous), modifie spécifiquement les obligations mondiales de GumGum, Inc. (« GumGum ») en tant que prestataire de services auprès de l’entreprise ou de l’entité (ci-après dénommée « le Client ») avec laquelle GumGum a conclu un contrat de services (le « Contrat principal »), aux termes duquel GumGum traite les données à caractère personnel du Client. Le présent Avenant est conclu entre GumGum et l’entité Client qui a soit accepté les Conditions d’utilisation de GumGum, soit, le cas échéant, comme indiqué sur la page de signature ci-dessous, en son nom propre et au nom des Affiliés du Client (tels que définis ci-dessous).
Le présent avenant s’applique au traitement des données à caractère personnel effectué par GumGum dans le cadre des services de GumGum (les « Services ») fournis au Client et à ses filiales concernées, et restera en vigueur après la résiliation ou l’expiration du contrat principal tant que GumGum ou ses sous-traitants traiteront les données à caractère personnel.
1. Ordre de préséance et interprétation
En cas de contradiction entre les dispositions du présent avenant et de ses annexes et toute autre disposition du contrat principal ou de tout avenant relatif à la protection des données y afférent, les parties conviennent que les dispositions du présent avenant, de ses annexes et du contrat principal doivent être interprétées de manière à permettre à chaque partie de remplir ses obligations en vertu de la législation applicable.
2. Portée et finalités du traitement ; durée de conservation
GumGum traitera toutes les données à caractère personnel uniquement dans le but de remplir ses obligations envers le Client au titre du Contrat principal, y compris le présent Avenant, et pour le compte du Client, et à aucune autre fin, sauf si les lois applicables en matière de protection des données auxquelles GumGum est soumise l’exigent. Dans ce cas, GumGum informera le Client de cette obligation légale avant le traitement, à moins que ladite loi n’interdise au Client de fournir ces informations pour des motifs importants d’intérêt public au sens des lois applicables en matière de protection des données.
Sans préjudice de ce qui précède, le Client charge GumGum de traiter les données à caractère personnel conformément à ses instructions écrites, telles qu’il pourra les communiquer à GumGum de temps à autre, et de la manière suivante :
Objet, nature et finalité du traitement – GumGum traitera les données dans le seul but de fournir des services au Client et de remplir les obligations qui lui incombent en vertu du Contrat principal, ce qui peut inclure tout traitement licite ou toute finalité commerciale prévue par les lois applicables en matière de protection des données.
Catégories de données à caractère personnel généralement soumises au traitement en vertu du contrat principal : tous les types de données à caractère personnel, à l'exception des catégories particulières de données, telles que définies par le RGPD. Le client déclare et garantit à GumGum qu'il ne transférera ni ne fournira de quelque manière que ce soit à GumGum des données à caractère personnel susceptibles de constituer des catégories particulières de données à caractère personnel.
Catégories types de personnes concernées – Telles que définies à l'annexe 2 (télécharger ici).
Durée prévue du traitement : pendant toute la durée du contrat principal ou tant que GumGum continue à traiter des données à caractère personnel, la période la plus longue étant retenue.
GumGum ne fera pas ce qui suit :
Vendre des données à caractère personnel à quelque fin que ce soit, sauf dans les cas autorisés par le Contrat principal. Aux fins du présent paragraphe, le terme « vendre » a le sens qui lui est donné dans la CCPA.
Traiter des données à caractère personnel à des fins autres que celles spécifiquement énoncées dans les présentes. À titre de précision, GumGum ne traitera pas de données à caractère personnel en dehors du cadre de la relation commerciale directe entre le Client et GumGum.
Tenter d'établir un lien, d'identifier ou de créer de quelque manière que ce soit une relation entre des données à caractère personnel et des données à caractère non personnel ou toute autre donnée sans l'autorisation expresse du client.
Les informations qui ont été anonymisées ne constituent pas des données à caractère personnel. GumGum ne peut anonymiser des données à caractère personnel que si :
- a mis en place des mesures de sécurité techniques empêchant la réidentification de la personne concernée à laquelle ces informations pourraient se rapporter ;
- a mis en place des procédures opérationnelles interdisant expressément la réidentification des informations ; et
- Ne cherche en aucune manière à réidentifier les informations.
3. Respect des lois par GumGum
GumGum ne traitera les données à caractère personnel que conformément aux dispositions du présent avenant et dans le respect des lois applicables en matière de protection des données.
GumGum certifie par la présente qu’elle a pris connaissance des restrictions et obligations énoncées dans le présent avenant et qu’elle s’engage à les respecter.
4. Exigences relatives au traitement des données à caractère personnel
GumGum va :
- S'assurer que les personnes qu'elle autorise à traiter les données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée, et que ces personnes ont pris connaissance des procédures mises en place par GumGum et reçoivent une formation adéquate en matière de protection et de sécurité des données.
- Sur demande écrite du Client, aider ce dernier à s’acquitter de ses obligations de répondre aux demandes vérifiables formulées par les personnes concernées (ou leurs représentants) en vue de l’exercice de leurs droits en vertu des lois sur la protection des données, tels que les droits d’accès ou de suppression des données à caractère personnel.
- Informer sans délai le Client (i) de toute demande ou réclamation émanant d’un tiers ou d’une personne concernée concernant le traitement des données à caractère personnel ou (ii) de toute demande émanant d’une autorité publique ou d’une personne concernée visant à obtenir l’accès ou des informations sur le traitement des données à caractère personnel effectué par GumGum pour le compte du Client, sauf si les lois sur la protection des données l’interdisent. Si GumGum reçoit une demande émanant d’un tiers, d’une personne concernée ou d’une autorité publique, GumGum attendra les instructions écrites du Client quant à la manière, le cas échéant, de l’aider à répondre à cette demande. GumGum apportera au Client une coopération et une assistance raisonnables concernant toute demande de ce type.
- Apporter une assistance raisonnable au Client et coopérer avec lui afin de lui permettre de réaliser une analyse d’impact relative à la protection des données concernant le traitement ou le projet de traitement des données à caractère personnel.
- Apporter une assistance raisonnable au Client et coopérer avec lui dans le cadre de ses consultations avec les autorités de régulation concernant le traitement ou le projet de traitement de données à caractère personnel, y compris en se conformant à toute obligation applicable à GumGum en vertu des lois sur la protection des données, consistant à consulter une autorité de régulation au sujet du traitement ou du projet de traitement de données à caractère personnel par GumGum.
5. Mesures de sécurité et signalement des incidents ; droits d'audit
Mesures de sécurité. GumGum mettra en œuvre et maintiendra des mesures administratives, techniques, physiques et organisationnelles appropriées pour protéger les données à caractère personnel afin de garantir les éléments suivants :
- GumGum se conformera aux obligations relatives aux violations de sécurité qui lui sont directement applicables en vertu de la législation sur la protection des données. GumGum mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles afin de protéger de manière adéquate les données à caractère personnel de chaque Affilié du Client contre les risques inhérents : (a) au traitement des données à caractère personnel aux fins identifiées dans le Contrat principal ; et (b) au traitement non autorisé ou illicite, ainsi qu’à la destruction, à l’endommagement, à l’utilisation abusive et à la perte de ces données. GumGum mettra en œuvre et maintiendra des procédures et pratiques de sécurité raisonnables et adaptées à la nature des données à caractère personnel qu’elle traite.
- GumGum s'engage à assister le Client pour répondre aux demandes émanant des autorités chargées de la protection des données concernant le traitement des données à caractère personnel dans le cadre du Contrat principal. Si une telle demande est adressée directement à GumGum, GumGum ne répondra pas directement à cette communication sans l’autorisation préalable du Client, sauf si la loi l’y oblige. Si GumGum est tenue de répondre à une telle demande, elle en informera sans délai le Client et lui fournira une copie de la demande, sauf si la loi l’en interdit.
- GumGum informera le Client sans délai et, en tout état de cause, au plus tard vingt-quatre (24) heures après en avoir pris connaissance, dans les cas suivants : (a) toute interruption grave des opérations de traitement de GumGum ; (b) toute acquisition, perte, tout accès ou toute utilisation non autorisés de Données à caractère personnel ; ou (c) toute faille de sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé, accidentels ou illicites, à des Données à caractère personnel (collectivement, un « Incident de sécurité »).
Audits. Sans préjudice du Contrat principal, GumGum fournira et mettra à la disposition du Client les informations et l’assistance nécessaires pour faciliter les audits, ainsi que toute autre information nécessaire pour réaliser une analyse d’impact relative à la protection des données ou pour confirmer la conformité à toute disposition du présent Avenant, du Contrat principal et de l’ensemble de la législation applicable en matière de protection des données. Pour éviter toute ambiguïté, la présente disposition n’oblige pas GumGum à fournir au Client l’accès aux informations confidentielles des autres clients de GumGum ni à d’autres informations confidentielles ou exclusives appartenant à GumGum.
6. Suppression des données
En cas de résiliation ou d’expiration du Contrat principal, à la demande du Client ou conformément aux lois applicables en matière de protection des données, GumGum remettra au Client une copie complète des Données à caractère personnel qu’elle a traitées dans le cadre du Contrat principal, sous une forme et dans un format convenus de manière raisonnable par les parties. Dès confirmation par le Client de la réception de cette copie, GumGum procédera à la destruction sécurisée de toutes les Données à caractère personnel restant en sa possession ou sous son contrôle.
7. Sous-traitants
Le Client reconnaît et accepte que GumGum puisse faire appel à des sociétés affiliées à GumGum et/ou à des sous-traitants pour traiter les données à caractère personnel conformément aux dispositions du présent avenant et à la législation applicable en matière de protection des données. GumGum fournira au Client une liste à jour des sous-traitants à la demande de ce dernier.
Lorsque GumGum sous-traite l’un de ses droits ou obligations concernant les Données à caractère personnel, y compris à une société affiliée, GumGum (i) prendra les mesures nécessaires pour sélectionner et retenir des sous-traitants capables de mettre en œuvre des mesures de confidentialité et de sécurité appropriées afin de protéger les Données à caractère personnel conformément aux Lois applicables en matière de protection des données, et (ii) conclura avec chaque sous-traitant un accord écrit imposant à ce dernier des obligations au moins aussi restrictives que celles imposées à GumGum en vertu du présent Addendum.
8. Indemnisation
Outre les obligations d’indemnisation incombant à GumGum en vertu du Contrat principal, GumGum sera responsable et indemnisera le Client pour toutes réclamations, actions, responsabilités, pertes, dommages et frais (y compris les frais juridiques) encourus par le Client et résultant d’une violation du présent Avenant, qu’elle soit le fait direct de GumGum ou de ses sous-traitants et cessionnaires, y compris, sans s’y limiter, ceux découlant de toute, y compris par une autorité de protection des données, ou de toute violation substantielle du contrat, négligence, fraude, faute intentionnelle, manquement à une obligation légale ou non-respect de toute loi et réglementation applicable en matière de protection des données par GumGum. Afin d’éviter toute ambiguïté, les parties reconnaissent et conviennent que les termes de la présente clause d’indemnisation ne remplacent pas, mais s’ajoutent à et ne sont en aucun cas incompatibles avec toute clause d’indemnisation du Contrat principal.
9. Limitation de responsabilité
La responsabilité de GumGum découlant du présent avenant ou liée à celui-ci est soumise aux dispositions relatives à la limitation de responsabilité énoncées dans le contrat principal. En outre, le Client est seul responsable de ses obligations en matière de conformité à l’ensemble des lois applicables en matière de protection des données, et GumGum décline toute responsabilité en cas de manquement de la part du Client à ces lois, sauf dans les cas prévus par le présent avenant.
10. Droit applicable
Sauf disposition contraire prévue par les clauses contractuelles types telles que définies dans le RGPD, ou par d’autres exigences en matière de transfert de données, le présent avenant sera régi par la loi applicable identifiée dans le contrat, sans qu’il soit donné effet aux principes relatifs aux conflits de lois.
11. Définitions
On entend par « date d'entrée en vigueur de l'avenant » le 1er janvier 2020 ou la date d'entrée en vigueur prévue dans le contrat principal, la date la plus tardive étant retenue.
Le terme « sociétés affiliées » désigne toute société, personne physique ou morale détenue ou contrôlée par une partie, ou relevant d’une propriété ou d’un contrôle commun avec celle-ci.
On entend par « participation » la détention, directe ou indirecte, de plus de 50 % des actions d'une société ou d'une entité, et par « contrôle » tout pouvoir de nommer des personnes au conseil d'administration d'une société ou d'une entité.
Le terme « lois applicables en matière de protection des données » désigne l’ensemble des lois et réglementations applicables en matière de protection des données dans toute juridiction concernée, relatives au traitement des données à caractère personnel et à la vie privée, y compris, sans s’y limiter, le projet de loi 375 de l’Assemblée de la Chambre des représentants de Californie, une loi visant à ajouter le titre 1.81.5 (à compter de l’article 1798.100) à la partie 4 de la division 3 du Code civil, relative à la vie privée et approuvée par le gouverneur de Californie le 28 juin 2018 (California Consumer Privacy Act, « CCPA »), le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données, « RGPD »).
« Responsable du traitement » ou « Responsable » désigne (a) la personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel, ou (b) une « entreprise concernée » telle que définie par la CCPA.
Le terme « sous-traitant » désigne la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement.
Le terme « personne concernée » désigne : (a) une personne physique identifiée ou identifiable résidant dans l’Espace économique européen (« EEE ») ou dont les droits sont protégés par le RGPD ; (b) un « consommateur » tel que défini par la CCPA ; ou (c) toute autre catégorie de personnes protégées visée par les lois applicables en matière de protection des données.
Les termes « Données à caractère personnel » ou « Informations à caractère personnel » désignent (a) toute information relative à une personne physique identifiée ou identifiable et (b) toute information définie comme « information permettant d’identifier une personne », « information à caractère personnel », « données à caractère personnel » ou tout autre terme similaire tel que défini par les lois ou réglementations applicables, dans la limite des Informations à caractère personnel que GumGum traite dans le cadre des Services fournis à un Client.
Les termes « responsable du traitement » ou « traitement » désignent (a) une personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement ou (b) un « prestataire de services » tel que défini par la CCPA, et s’appliquent à l’opération ou à l’ensemble d’opérations effectuées sur des informations à caractère personnel, que ce soit ou non par des moyens automatisés.
Les termes « vendre » ou « vente » ont le sens qui leur est donné dans la CCPA.
Le terme « sous-traitant » désigne : (a) tout sous-traitant engagé par le sous-traitant ou par tout autre sous-traitant de ce dernier, qui accepte de recevoir les données à caractère personnel destinées exclusivement à des activités de traitement à effectuer pour le compte du responsable du traitement, après le transfert des données à caractère personnel, conformément aux instructions du responsable du traitement et dans le cadre du contrat principal de prestation de services au responsable du traitement ; ou (b) un « prestataire de services » tel que défini par la CCPA.
Pour télécharger une copie complète de l'avenant relatif au traitement des données à l'échelle mondiale de GumGum destiné aux clients, veuillez cliquer ici.