Le présent avenant relatif au traitement mondial des données (ci-après dénommé « l’Avenant »), qui prend effet à la date d’entrée en vigueur de l’Avenant (telle que définie ci-dessous), modifie spécifiquement les obligations mondiales de GumGum, Inc. (« GumGum ») en tant que « Responsable du traitement » ou « Entreprise concernée » vis-à-vis de l’entreprise ou de l’entité (ci-après dénommée « Sous-traitant ») avec laquelle GumGum a conclu un Contrat de services (le « Contrat principal »), aux termes duquel le Sous-traitant traite des Données à caractère personnel.
1. Ordre de préséance et interprétation
En cas de contradiction entre les dispositions du présent avenant et de ses annexes et toute autre disposition du contrat principal ou de tout avenant relatif à la protection des données y afférent, les parties conviennent que les dispositions du présent avenant, de ses annexes et du contrat principal doivent être interprétées de manière à permettre à chaque partie de remplir ses obligations en vertu de la législation applicable.
2. Portée et finalités du traitement ; durée de conservation
Le Sous-traitant traitera toutes les Données à caractère personnel dans le seul but de remplir ses obligations envers GumGum en vertu du Contrat principal, y compris le présent Avenant, et pour le compte de GumGum, et à aucune autre fin, sauf si les lois applicables en matière de protection des données l'exigent. Dans ce cas, le Sous-traitant informera GumGum de cette obligation légale avant de procéder au traitement.
Sans préjudice de ce qui précède, GumGum donne pour instruction au sous-traitant de traiter les données à caractère personnel conformément aux instructions écrites de GumGum, telles qu’elles peuvent être communiquées de temps à autre par GumGum au sous-traitant, et de la manière suivante :
Objet, nature et finalité du traitement Le sous-traitant traitera les données exclusivement dans le but de fournir des services à GumGum et de remplir les finalités prévues dans le Contrat principal, ce qui peut inclure tout traitement licite ou toute finalité commerciale prévue par les lois applicables en matière de protection des données. Objet, nature et finalité du traitement Le sous-traitant traitera les données uniquement dans le but de fournir des services à GumGum et de remplir les finalités prévues dans le Contrat principal, ce qui peut inclure tout traitement licite ou toute finalité commerciale conformément aux lois applicables en matière de protection des données.
Catégories de données à caractère personnel généralement soumises au traitement en vertu du contrat-cadre - Tous les types de données à caractère personnel, à l'exception des catégories particulières de données, telles que définies par le RGPD. GumGum déclare et garantit au sous-traitant qu'elle ne lui transmettra ni ne lui fournira d'aucune autre manière des données à caractère personnel susceptibles de constituer des catégories particulières de données à caractère personnel.
Catégories types de personnes concernées - Telles que définies à l'annexe 2 (télécharger ici).
Durée prévue du traitement — Pendant toute la durée du contrat principal ou tant que le sous-traitant continue à traiter légalement les données à caractère personnel, la période la plus longue étant retenue.
Le sous-traitant s'engage à ne pas :
Vendre des données à caractère personnel à quelque fin que ce soit, sauf dans les cas autorisés par le Contrat principal. Aux fins du présent paragraphe, le terme « vendre » a le sens qui lui est donné dans la CCPA.
Traiter les données à caractère personnel à des fins autres que celles spécifiquement énoncées dans les présentes. À titre de précision, le sous-traitant ne traitera pas les données à caractère personnel en dehors du cadre de la relation commerciale directe entre GumGum et le sous-traitant.
Tenter d'établir un lien, d'identifier ou de créer de quelque manière que ce soit une relation entre des données à caractère personnel et des données non personnelles ou toute autre donnée sans l'autorisation expresse de GumGum.
Les informations qui ont été anonymisées ne constituent pas des données à caractère personnel. Le terme « anonymisé » a le sens qui lui est donné dans les lois applicables en matière de protection des données (et peut inclure des termes similaires tels que « pseudo-anonymisé »).
Le sous-traitant ne peut anonymiser les données à caractère personnel que s'il :
- a mis en place des mesures de sécurité techniques empêchant la réidentification de la personne concernée à laquelle ces informations pourraient se rapporter ;
- a mis en place des procédures opérationnelles interdisant expressément la réidentification des informations ; et
- Ne cherche en aucune manière à réidentifier les informations.
3. Respect de la législation par le sous-traitant
Le sous-traitant ne traitera les données à caractère personnel que conformément aux dispositions du présent avenant et dans le respect des lois applicables en matière de protection des données.
Le sous-traitant certifie par la présente qu’il a pris connaissance des restrictions et obligations énoncées dans le présent avenant et qu’il s’engage à les respecter.
4. Exigences relatives au traitement des données à caractère personnel
Le sous-traitant s'engage à :
S'assurer que les personnes qu'il autorise à traiter les données à caractère personnel se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée, et que ces personnes ont pris connaissance des procédures mises en place par le sous-traitant et reçoivent une formation adéquate en matière de protection et de sécurité des données.
Sur demande écrite de GumGum, aider GumGum à s’acquitter de ses obligations de répondre aux demandes vérifiables formulées par les personnes concernées (ou leurs représentants) en vue de l’exercice de leurs droits en vertu des lois applicables en matière de protection des données, tels que les droits d’accès ou de suppression des données à caractère personnel.
Informer sans délai GumGum (i) de toute demande ou réclamation émanant d’un tiers ou d’une personne concernée concernant le traitement des données à caractère personnel ou (ii) de toute demande émanant d’une autorité publique ou d’une personne concernée visant à obtenir l’accès aux données à caractère personnel ou des informations sur le traitement de ces données par le sous-traitant pour le compte de GumGum, sauf si les lois applicables en matière de protection des données l’interdisent. Si le Sous-traitant reçoit une demande émanant d’un tiers, d’une personne concernée ou d’une autorité publique, il attendra les instructions écrites de GumGum quant à la manière, le cas échéant, de contribuer à y répondre. Le Sous-traitant apportera à GumGum une coopération et une assistance raisonnables concernant toute demande de ce type.
Apporter une assistance raisonnable à GumGum et coopérer avec cette dernière afin de lui permettre de réaliser une analyse d'impact relative à la protection des données concernant le traitement ou le projet de traitement des données à caractère personnel.
Apporter une assistance raisonnable à GumGum et coopérer avec cette dernière dans le cadre de toute consultation auprès des autorités de régulation concernant le traitement ou le projet de traitement de données à caractère personnel, y compris en se conformant à toute obligation applicable au sous-traitant en vertu des lois applicables en matière de protection des données, qui l’oblige à consulter une autorité de régulation au sujet du traitement ou du projet de traitement de données à caractère personnel effectué par le sous-traitant.
5. Mesures de sécurité et signalement des incidents ; droits d'audit
Mesures de sécurité. Le sous-traitant mettra en œuvre et maintiendra des mesures administratives, techniques, physiques et organisationnelles appropriées pour protéger les données à caractère personnel, afin de garantir ce qui suit :
Le Sous-traitant se conformera aux obligations relatives aux violations de sécurité qui lui sont directement applicables en vertu de la législation sur la protection des données. Le Sous-traitant mettra en œuvre et maintiendra des mesures de sécurité techniques et organisationnelles afin de protéger de manière adéquate les Données à caractère personnel de chaque Affilié GumGum contre les risques inhérents (a) au traitement des Données à caractère personnel aux fins identifiées dans le Contrat principal et (b) au traitement non autorisé ou illicite, à la destruction, à l’endommagement, à l’utilisation abusive ou à la perte de ces données. Le Sous-traitant mettra en œuvre et maintiendra des procédures et pratiques de sécurité raisonnables et adaptées à la nature des données à caractère personnel qu’il traite.
Le Sous-traitant doit assister GumGum pour répondre aux demandes des autorités chargées de la protection des données concernant le traitement des données à caractère personnel dans le cadre du Contrat principal. Si une telle demande est adressée directement au Sous-traitant, celui-ci ne doit pas y répondre directement sans l’autorisation préalable de GumGum, sauf s’il y est légalement contraint. Dans le cas où le Sous-traitant serait légalement tenu de répondre à une telle demande, il doit en informer GumGum sans délai et lui fournir une copie de la demande, sauf si la loi l’interdit.
Le Sous-traitant informera GumGum sans délai et, en tout état de cause, au plus tard vingt-quatre (24) heures après en avoir pris connaissance, en cas de (a) toute interruption grave des opérations de traitement du Sous-traitant ; (b) toute acquisition, perte, tout accès ou toute utilisation non autorisés de données à caractère personnel ; ou (c) toute violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès accidentel ou illicite à des données à caractère personnel (collectivement, un « incident de sécurité »).
Audits. Sans préjudice du Contrat principal, GumGum fournira et mettra à la disposition de GumGum les informations et l’assistance nécessaires pour faciliter les audits, ainsi que toute autre information nécessaire pour réaliser une analyse d’impact relative à la protection des données ou pour confirmer le respect de toute disposition du présent Avenant, du Contrat principal et de toutes les lois applicables en matière de protection des données. Pour éviter toute ambiguïté, la présente disposition n’oblige pas le Sous-traitant à fournir à GumGum l’accès aux informations confidentielles de ses autres clients ni à d’autres informations confidentielles ou exclusives lui appartenant.
6. Suppression des données
En cas de résiliation ou d’expiration du Contrat principal, à la demande de GumGum ou conformément aux lois applicables en matière de protection des données, le Sous-traitant remettra à GumGum une copie complète des Données à caractère personnel qu’il a traitées dans le cadre du Contrat principal, sous une forme et dans un format convenus de manière raisonnable par les parties. Dès confirmation par GumGum de la réception de cette copie, le Sous-traitant procédera à la destruction sécurisée de toutes les Données à caractère personnel restant en sa possession ou sous son contrôle.
7. Sous-traitants
GumGum reconnaît et accepte que le Sous-traitant puisse faire appel à des sociétés affiliées et/ou à des sous-traitants pour traiter les Données à caractère personnel conformément aux dispositions du présent Avenant et à la législation applicable en matière de protection des données. Le Sous-traitant fournira à GumGum une liste à jour de ses sous-traitants dans l’annexe 2 ci-jointe, ainsi qu’à chaque fois que GumGum en fera la demande écrite raisonnable.
Lorsque le Sous-traitant sous-traite l’un de ses droits ou obligations concernant les Données à caractère personnel, y compris à une Société affiliée, le Sous-traitant (i) prendra des mesures commercialement raisonnables pour sélectionner et retenir des sous-traitants capables de mettre en œuvre des mesures de confidentialité et de sécurité appropriées afin de protéger les Données à caractère personnel conformément aux Lois applicables en matière de protection des données et (ii) conclura avec chaque sous-traitant un accord écrit imposant à ce dernier des obligations au moins aussi restrictives que celles imposées au Sous-traitant en vertu du présent Avenant.
8. Indemnisation
Outre les obligations d’indemnisation incombant au Sous-traitant en vertu du Contrat principal, le Sous-traitant sera responsable et devra indemniser GumGum pour toutes réclamations, actions, responsabilités, pertes, dommages et dépenses (y compris les frais juridiques) encourus par GumGum à la suite d’une violation du présent Avenant par le Sous-traitant ou par ses sous-traitants et cessionnaires, y compris, sans s’y limiter, ceux découlant de toute, y compris de la part d’une autorité de protection des données, ou de toute violation substantielle du contrat, négligence, fraude, faute intentionnelle, manquement à une obligation légale ou non-respect de toute loi et réglementation applicable en matière de protection des données par le Sous-traitant. Afin d’éviter toute ambiguïté, les parties reconnaissent et conviennent que les termes de la présente clause d’indemnisation ne remplacent pas, mais s’ajoutent à et ne sont en aucun cas incompatibles avec toute clause d’indemnisation du Contrat principal.
9. Limitation de responsabilité
La responsabilité du Sous-traitant découlant du présent Avenant ou liée à celui-ci est soumise aux dispositions relatives à la limitation de responsabilité énoncées dans le Contrat principal. En outre, GumGum est seul responsable de ses propres obligations en matière de conformité à l’ensemble des lois applicables en matière de protection des données, et le Sous-traitant n’assume aucune responsabilité en cas de manquement de GumGum à ces lois, sauf dans les cas prévus par le présent Avenant.
10. Droit applicable
Sauf disposition contraire prévue par les clauses contractuelles types telles que définies dans le RGPD, ou par d’autres exigences en matière de transfert de données, le présent avenant sera régi par la loi applicable identifiée dans le contrat principal, sans qu’il soit donné effet aux principes de conflit de lois.
11. Définitions
On entend par « date d'entrée en vigueur de l'avenant » le 1er janvier 2020 ou la date d'entrée en vigueur prévue dans le contrat principal, la date la plus tardive étant retenue.
Le terme « sociétés affiliées » désigne toute société, personne physique ou morale détenue ou contrôlée par une partie, ou se trouvant sous une propriété ou un contrôle commun avec celle-ci. On entend par « détention » la détention directe ou indirecte de plus de 50 % des actions d’une société ou d’une entité, et par « contrôle » tout pouvoir de nommer des personnes au conseil d’administration d’une société ou d’une entité.
Le terme « lois applicables en matière de protection des données » désigne l’ensemble des lois et réglementations applicables en matière de protection des données dans toute juridiction concernée, relatives au traitement des données à caractère personnel et à la vie privée, y compris, sans s’y limiter, le projet de loi 375 de l’Assemblée de la Chambre des représentants de Californie, une loi visant à ajouter le titre 1.81.5 (à compter de l’article 1798.100) à la partie 4 de la division 3 du Code civil, relative à la vie privée et approuvée par le gouverneur de Californie le 28 juin 2018 (California Consumer Privacy Act, « CCPA »), le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données, « RGPD »).
« Responsable du traitement » ou « Responsable » désigne (a) la personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel, ou (b) une « entreprise concernée » telle que définie par la CCPA.
Le terme « sous-traitant » désigne la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement.
Le terme « personne concernée » désigne : (a) une personne physique identifiée ou identifiable résidant dans l’Espace économique européen (« EEE ») ou dont les droits sont protégés par le RGPD ; (b) un « consommateur » tel que défini par la CCPA ; ou (c) toute autre catégorie de personnes protégées visée par les lois applicables en matière de protection des données.
Les termes « données à caractère personnel » ou « informations personnelles » désignent (a) toute information relative à une personne physique identifiée ou identifiable et (b) toute information définie comme « information permettant d’identifier une personne », « information personnelle », « données à caractère personnel » ou tout autre terme similaire tel que défini par les lois ou réglementations applicables, étant entendu que cette définition se limite aux informations personnelles que GumGum traite dans le cadre des services fournis à un client.
Les termes « responsable du traitement » ou « traitement » désignent (a) une personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement ou (b) un « prestataire de services » tel que défini par la CCPA, et s’appliquent à l’opération ou à l’ensemble d’opérations effectuées sur des informations à caractère personnel, que ce soit ou non par des moyens automatisés.
Les termes « vendre » ou « vente » ont le sens qui leur est donné dans la CCPA.
Le terme « sous-traitant » désigne : (a) tout sous-traitant engagé par le sous-traitant ou par tout autre sous-traitant de ce dernier, qui accepte de recevoir les données à caractère personnel destinées exclusivement à des activités de traitement à effectuer pour le compte du responsable du traitement, après le transfert des données à caractère personnel, conformément aux instructions du responsable du traitement et dans le cadre du contrat principal de prestation de services au responsable du traitement ; ou (b) un « prestataire de services » tel que défini par la CCPA.
Pour télécharger une copie complète de l'avenant « Global Data Processor Addendum for Vendors » de GumGum, veuillez cliquer ici.