Addendum Xactware RGPD

Cet addendum Xactware GDPR (“Addendum”) complète le contrat de licence de Xactware Solutions, Inc. (“EULA”), tel que modifié de temps à autre. Sauf définition contraire dans le présent addendum, tous les termes définis dans le CLUF ont la même signification dans l’addendum.

Partie 1: Protection des Données

1. Définitions

1.1. “Personnel du Client” désigne le Client Xactware, ses employés, agents, consultants et sous-traitants.

1.2. “Responsable de Traitement” désigne une personne qui, seule ou conjointement, détermine les finalités et les moyens du Traitement des Données personnelles.

1.3. “Sous-Traitant” désigne une personne qui Traite les Données Personnelles pour le compte du Responsable de Traitement.

1.4. “Incident de Sécurité des Données” signifie la destruction, la perte, l’altération, la divulgation non autorisée, ou l’accès aux, Données Personnelles traitées pour le compte du Client Xactware résultant directement du manquement d’Xactware ou du sous-traitant ultérieur d’Xactware à se conformer à la Section 5.1 de la présente Partie 1 ou à l’Article 32(1) du RGPD qui a un impact négatif sur les opérations commerciales du Client Xactware.

1.5. “Données Personnelles” signifie toute information ou donnée relative à une personne concernée identifiée ou identifiable de l’Union européenne ou du Royaume-Uni qui a été divulguée à Xactware par le Client Xactware, ses sociétés affiliées ou leurs utilisateurs respectifs en prévision de, en relation avec, ou accessoirement à l’exécution de services pour ou au nom de l’un des éléments précités.

1.6. “Traiter”, “Traitée” ou “Traitement” signifie toute opération ou ensemble d’opérations effectuées sur les Données Personnelles, par des moyens automatiques ou non, telles que la création, la collecte, la procuration, l’obtention, l’accès, l’enregistrement, l’organisation, le stockage, l’adaptation, la modification, la récupération, la consultation, l’utilisation, la divulgation ou la destruction des données.

2. Rôles et Pouvoirs prévus pour le Traitement des Données Personnelles

2.1. Conformément au Contrat de Prestation de Services, le Client Xactware disposera du pouvoir exclusif pour déterminer les finalités et les moyens du Traitement des Données Personnelles. Xactware ne Traitera les Données Personnelles que pour le compte du Client Xactware et conformément à ses instructions écrites préalables.

2.2. Les parties prévoient que le Client Xactware agira en tant que Responsable de Traitement et que Xactware agira en tant que Sous-Traitant en ce qui concerne le Traitement des Données Personnelles dans le cadre du Contrat de Prestation de Services.

2.3. Nonobstant ce qui précède, Xactware se réserve le droit d’anonymiser les Données Personnelles qui lui sont transmises au cours de ce contrat à des fins de développement de produits.

3. Divulgation et Accès aux Données Personnelles

3.1. Xactware limitera l’accès aux Données Personnelles à ses employés ayant besoin de connaître les Données Personnelles pour la fourniture par Xactware du ou des Produit(s) sous Licence et soumis à des obligations de confidentialité appropriées en ce qui concerne les Données Personnelles auxquelles ils peuvent avoir accès.

3.2. Le Client Xactware autorise Xactware à engager des sous-traitants pour le traitement des Données Personnelles conformément à la présente Partie 1. Xactware doit s’assurer que tous les sous-traitants sont liés par des accords écrits les obligeant à fournir au moins le même niveau de protection des Données Personnelles que celui exigé par le Client Xactware en vertu de la présente Partie 1. Une liste des sous-traitants de Xactware est disponible sur demande. Le Client Xactware autorise Xactware à transférer les Données Personnelles en dehors de l’EEE, de la Suisse ou du Royaume-Uni pour le Traitement dans le but de fournir le(s) Produit(s) sous Licence en vertu du Contrat de Prestation de Services.

3.3. Xactware doit, dans la mesure où cela est légalement autorisé, notifier rapidement le Client Xactware de toute demande concernant les Données Personnelles qui ont été transmises par le Client Xactware, les consommateurs, le Personnel du Client, les personnes concernées ou autres. Xactware ne répondra pas à ces demandes sans le consentement du Client Xactware, sauf pour confirmer que la demande concerne les Données Personnelles pour lesquelles le Client Xactware est le Responsable de Traitement.

3.4. Xactware mettra à la disposition du Client Xactware les Données Personnelles des personnes concernées d’une manière cohérente avec le(s) Produit(s) sous Licence fourni(s) et conformément aux termes du Contrat de services. Dans la mesure où le Client Xactware, dans son utilisation et son administration du ou des Produits sous Licence, n’a pas la capacité de corriger, modifier ou supprimer toute Donnée Personnelle dans le ou les Produits sous Licence, Xactware se conformera aux demandes commercialement raisonnables du Client Xactware, pour aider à de telles actions et à la réponse du Client Xactware à de telles demandes des personnes concernées. Le Client Xactware sera responsable de tous les coûts raisonnables d’un point de vue commercial, découlant de la fourniture d’une telle assistance par Xactware.

3.5. Xactware notifiera rapidement le Client Xactware de toute assignation à comparaître ou autre ordre judiciaire ou administratif par une autorité ou de toute une procédure gouvernementale conduisant à l’accès ou à la divulgation des Données Personnelles. Le Client Xactware aura le droit d’assurer la défense dans le cadre d’une telle action au nom et à la place d’Xactware. Le Client Xactware peut, s’il le souhaite, demander des mesures conservatoires. Xactware devra coopérer de manière commercialement raisonnable avec le Client Xactware dans le cadre d’une telle défense. Le Client Xactware sera responsable de tous les coûts commercialement raisonnables encourus par Xactware en relation avec la fourniture d’une telle coopération.

4. Respect des exigences en matière de Protection de la Vie Privée et de Sécurité des Données

4.1. Xactware doit se conformer à toutes les lois, règles, réglementations, directives et exigences gouvernementales applicables actuellement en vigueur concernant la protection de la vie privée, la confidentialité ou la sécurité des Données Personnelles (collectivement, “Lois sur la Protection de la Vie Privée”).

4.2. Le Client Xactware déclare et garantit qu’il s’est conformé aux Lois sur la Protection de la Vie Privée applicables, pour tout aspect significatif en lien avec les Données Personnelles Traitées par Xactware au nom du Client Xactware conformément à la présente partie 1.

4.3. Xactware assistera le Client Xactware dans le contrôle du respect des obligations en vertu des articles 35 et 36 du RGPD compte tenu de la nature du Traitement et des données dont dispose Xactware. Le Client Xactware sera responsable de tous les coûts commercialement raisonnables découlant de la fourniture d’une telle assistance par Xactware.

5. Données Personnelles et Mesures de Sécurité des Données

5.1. Xactware mettra en æuvre les mesures techniques et organisationnelles appropriées pour aider à maintenir un niveau de sécurité des Données Personnelles approprié au niveau de risque associé au Traitement.

5.2. Xactware notifiera le Client Xactware sans délai excessif après avoir pris connaissance d’un Incident de Sécurité des Données confirmé. Xactware fournira les efforts commercialement raisonnables afin d’assister le Client Xactware pour l’accomplissement de son obligation de notification de l’autorité de surveillance compétente et des personnes concernées par une violation des Données Personnelles en vertu des articles 33 et 34 du RGPD.

5.3. à l’expiration ou à la résiliation anticipée du Contrat de Prestation de Services, Xactware supprimera ou renverra les Données Personnelles conformément aux conditions pour chaque Produit(s) sous Licence mentionnées dans le Contrat de Prestation de Services, à moins que l’Union, l’état membre ou toute autre loi applicable n’exige le stockage des Données Personnelles.

6. Droit de surveillance

6.1. Pour la fourniture du ou des Produits sous Licence prévus au Contrat de Prestation de Services, Xactware mettra annuellement à la disposition du Client Xactware, pour inspection dans les locaux d’Xactware uniquement, les informations nécessaires pour démontrer la conformité aux obligations énoncées à l’article 28 du RGPD ainsi que permettre et contribuer aux audits menés par le Client Xactware ou tout autre auditeur mandaté par le Client Xactware et approuvé par Xactware. Le Client Xactware doit fournir à Xactware un préavis écrit d’au moins trente (30) jours de son intention d’effectuer un tel audit, et cet avis doit inclure un plan de travail détaillé de toutes les questions qui feront l’objet de cet audit par le Client Xactware. Toute tiers mandaté par le Client Xactware pour effectuer un audit d’Xactware conformément à cet article sera tenu de conclure un accord de confidentialité approprié avec Xactware avant de commencer l’audit. Tout audit doit être effectué pendant les heures de travail habituelles d’Xactware. Une fois l’audit terminé, Xactware déterminera toute action corrective appropriée. Le Client Xactware et Xactware conviendront alors mutuellement d’une date d’achèvement de ces actions correctives. Le Client Xactware supportera seul tous les coûts et dépenses encourus par Xactware pour fournir une assistance dans le cadre de ces audits, y compris la nomination et le recours à tout tiers.

6.2. Xactware traitera rapidement et de manière appropriée toutes les demandes du Client Xactware relatives au traitement des Données Personnelles soumises à la présente partie 1.

7. Limitation de Responsabilité

7.1. Les limitations de responsabilité précisées à l’Article 12.8 (Limitations des Recours du Licencié) du CLUF régiront toute réclamation à l’encontre de Xactware découlant de ou liées au présent Addendum, y compris, mais sans s’y limiter, toute réclamation consécutive à ou liée à un Incident de Sécurité des Données.

7.2. Xactware ne sera en aucun cas responsable (i) de toute(s) réclamation(s) faite(s) par des personnes concernées afin d’obtenir compensation en relation avec la violation par le Client Xactware des exigences des Lois sur la Protection de la Vie Privée applicables, ou (ii) avec toute amende ou pénalité imposée sur ordre d’un tribunal ou d’une autorité de surveillance contre le Client Xactware en relation avec la violation par le Client Xactware des exigences des Lois sur la Protection de la Vie Privée applicables.

8. Transferts de données

8.1. Les transferts de données en dehors du Royaume-Uni ou de l’Espace économique européen, soit directement, soit par transfert ultérieur, seront régis par la Partie 2 : Clauses Contractuelles Types (Sous-Traitants). Les Clauses Contractuelles Types ne s’appliqueront pas aux données qui ne sont pas transférées, directement ou par transfert ultérieur, en dehors du Royaume-Uni ou de l’Espace économique européen.

Partie 2: Clauses Contractuelles Types (Sous-Traitants)

Aux fins de l’article 46, paragraphe 1, du Règlement 2016/679 du Parlement européen et du Conseil pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers qui n’assurent pas un niveau adéquat de protection des données,

L’entité identifiée comme le Client Xactware dans cet addendum
(l’exportateur de données)

Xactware Solutions, Inc.
1100 West Traverse Parkway
Lehi, Utah 84043
états-Unis d’Amérique
+1 (801) 764-5900
legaladministrator2@verisk.com
(l’importateur de données)

chacun étant une “partie” ; ensemble “les parties”,

SONT CONVENUES des Clauses Contractuelles suivantes (les Clauses) afin d’offrir des garanties adéquates en matière de protection de la vie privée et des droits et libertés fondamentaux des personnes pour le transfert par l’exportateur de données à l’importateur de données des données à caractère personnel spécifiées à l’annexe 1.

Clause 1

Définitions

Dans le cadre des Clauses :

“données à caractère personnel”, “catégories particulières de données”, “traitement”, “responsable du traitement”, “sous-traitant”, “personne concernée” et “autorité de contrôle” ont la même signification que dans l’article 4 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
“l’exportateur de données” : le responsable du traitement qui transfère les données à caractère personnel ;
“l’importateur de données” : le sous-traitant qui accepte de recevoir de l’exportateur de données des données à caractère personnel destinées à être traitées pour son compte après le transfert conformément à ses instructions et aux termes des Clauses et qui n’est pas soumis au système d’un pays tiers assurant un niveau de protection adéquat au sens de l’article 45, paragraphe 1, du règlement 2016/679 ;
“le sous-traitant ultérieur” : tout sous-traitant engagé par l’importateur de données ou par tout autre sous-traitant ultérieur de l’importateur de données qui accepte de recevoir de l’importateur de données ou de tout autre sous-traitant ultérieur de l’importateur de données des données à caractère personnel exclusivement destinées à des activités de traitement à effectuer pour le compte de l’exportateur de données après le transfert, conformément à ses instructions, aux clauses et aux conditions du contrat de sous-traitance écrit ;
“la législation applicable en matière de protection des données” : la législation protégeant les droits et libertés fondamentaux des personnes et, en particulier, leur droit à la vie privée en ce qui concerne le traitement des données à caractère personnel, applicable à un responsable du traitement des données dans l’état membre dans lequel l’exportateur de données est établi ;
“mesures de sécurité techniques et organisationnelles” : les mesures visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la divulgation ou l’accès non autorisés, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme illicite de traitement.

Clause 2

Détails du transfert

Les détails du transfert et notamment les catégories particulières de données à caractère personnel, le cas échéant, sont précisés dans à l’Annexe 1 qui fait partie intégrante des Clauses.

Clause 3

Clause de tiers bénéficiaire

La personne concernée peut faire valoir contre l’exportateur de données la présente Clause, la Clause 4, points b) à i), la Clause 5, points a) à e) et g) à j), la Clause 6 paragraphe 1 et 2, la Clause 7, la Clause 8 paragraphe 2, et les Clauses 9 à 12 en tant que tiers bénéficiaire.
La personne concernée peut se prévaloir, à l’encontre de l’importateur de données, de la présente Clause, la Clause 5, points a) à e) et g), la Clause 6, la Clause 7, la Clause 8, paragraphe 2, et les Clauses 9 à 12, dans les cas où l’exportateur de données a matériellement disparu ou a cessé d’exister en droit, à moins qu’une entité qui lui succède n’ait assumé l’ensemble des obligations légales de l’exportateur de données par contrat ou de plein droit, de sorte qu’elle assume les droits et obligations de l’exportateur de données, auquel cas la personne concernée peut s’en prévaloir à l’encontre de cette entité.
La personne concernée peut faire valoir contre le sous-traitant ultérieur la présente Clause, la Clause 5, points a) à e) et g), la Clause 6, la Clause 7, la Clause 8, paragraphe 2, et les Clauses 9 à 12, dans les cas où l’exportateur de données et l’importateur de données ont tous deux matériellement disparu ou cessé d’exister en droit ou sont devenus insolvables, à moins qu’une entité leur succédant n’ait assumé l’ensemble des obligations légales de l’exportateur de données par contrat ou de plein droit, de sorte qu’elle est responsable des droits et obligations de l’exportateur de données, auquel cas la personne concernée peut s’en prévaloir à l’encontre de cette entité. Cette responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des Clauses.
Les parties ne s’opposent pas à ce qu’une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si le droit national l’autorise.

Clause 4

Obligations de l’exportateur de données

L’exportateur de données accepte et garantit :

que le traitement, y compris le transfert, des données à caractère personnel a été et continuera d’être effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l’état membre où l’exportateur de données est établi) et ne viole pas les dispositions pertinentes de cet état ;
qu’il a donné des instructions et que, pendant toute la durée des services de traitement des données à caractère personnel, il donnera des instructions à l’importateur de données pour qu’il traite les données à caractère personnel transférées uniquement pour le compte de l’exportateur de données et conformément à la législation applicable en matière de protection des données et aux Clauses ;
que l’importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles précisées à l’Annexe 2 de ce contrat ;
qu’après évaluation des conditions imposées par le droit applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme illicite de traitement, et que ces mesures assurent un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger, compte tenu de l’état de l’art et du coût de leur mise en æuvre ;
qu’il veillera au respect des mesures de sécurité ;
que, si le transfert concerne des catégories particulières de données, la personne concernée a été ou sera informée avant le transfert, ou le plus tôt possible après, que ses données pourraient être transmises à un pays tiers n’assurant pas une protection adéquate au sens du règlement 2016/679 ;
transmettre toute notification reçue de l’importateur de données ou de tout sous-traitant ultérieur conformément à la Clause 5, point b), et à la Clause 8, paragraphe 3, à l’autorité de contrôle de la protection des données si l’exportateur de données décide de poursuivre le transfert ou de lever la suspension ;
mettre à la disposition des personnes concernées, sur demande, une copie des Clauses, à l’exception de l’Annexe 2, et une description sommaire des mesures de sécurité, ainsi qu’une copie de tout contrat de services de sous-traitance ultérieure devant être conclu conformément aux Clauses, sauf si les Clauses ou le contrat contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales ;
qu’en cas de sous-traitance ultérieure, l’activité de traitement est effectuée conformément aux stipulations de la Clause 11 par un sous-traitant ultérieur offrant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l’importateur de données en vertu des Clauses ;
qu’il veillera au respect de la clause 4, points a) à i).

Clause 5

Obligations de l’importateur de données

L’importateur de données accepte et garantit :

de ne traiter les données à caractère personnel que pour le compte de l’exportateur de données et conformément à ses instructions et aux Clauses ; s’il ne peut assurer cette conformité pour quelque raison que ce soit, il accepte d’en informer rapidement l’exportateur de données, auquel cas ce dernier est en droit de suspendre le transfert de données et/ou de résilier le contrat ;
qu’il n’a aucune raison de croire que la législation qui lui est applicable l’empêche de respecter les instructions reçues de l’exportateur de données et ses obligations en vertu du contrat et qu’en cas de modification de cette législation susceptible d’avoir un effet négatif substantiel sur les garanties et obligations prévues par les Clauses, il notifiera promptement la modification à l’exportateur de données dès qu’il en aura connaissance, auquel cas l’exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;
qu’il a mis en æuvre les mesures de sécurité techniques et organisationnelles spécifiées à l’Annexe 2 avant de traiter les données personnelles transférées ;
qu’il informera rapidement l’exportateur de données de :

toute demande juridiquement contraignante de divulgation des données à caractère personnel par une autorité chargée de l’application de la loi, sauf interdiction contraire, telle qu’une interdiction en vertu du droit pénal visant à préserver la confidentialité d’une enquête policière ;
de tout accès accidentel ou non autorisé ;
toute demande reçue directement des personnes concernées sans répondre à cette demande, sauf s’il a été autrement autorisé à le faire ;

à traiter promptement et correctement toutes les demandes formulées par l’exportateur de données concernant son traitement des données à caractère personnel faisant l’objet du transfert et à se conformer à l’avis de l’autorité de contrôle en ce qui concerne le traitement des données transférées ;
à la demande de l’exportateur de données, soumettre ses installations de traitement des données à un audit des activités de traitement couvertes par les Clauses, qui sera effectué par l’exportateur de données ou par un organisme de contrôle composé de membres indépendants et possédant les qualifications professionnelles requises, liés par un devoir de confidentialité, choisis par l’exportateur de données, le cas échéant, en accord avec l’autorité de contrôle ;
mettre à la disposition de la personne concernée qui en fait la demande une copie des Clauses ou de tout contrat de sous-traitance ultérieure applicable, à moins que les Clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales, à l’exception de l’Annexe 2 qui est remplacée par une description sommaire des mesures de sécurité dans les cas où la personne concernée n’est pas en mesure d’obtenir une copie auprès de l’exportateur de données ;
qu’en cas de sous-traitance, il a préalablement informé l’exportateur de données et obtenu son consentement écrit préalable ;
que les services de traitement par le sous-traitant ultérieur seront effectués conformément à la Clause 11 ;
d’envoyer promptement à l’exportateur de données une copie de tout contrat de sous-traitance ultérieure qu’il conclut en vertu des Clauses.

Clause 6

Responsabilité

Les parties conviennent que toute personne concernée, qui a subi un dommage à la suite d’une violation des obligations visées à la Clause 3 ou à la Clause 11 par une partie ou un sous-traitant ultérieur, a le droit d’être indemnisée par l’exportateur de données pour le dommage subi.
Si une personne concernée n’est pas en mesure d’introduire une demande d’indemnisation conformément au paragraphe 1 à l’encontre de l’exportateur de données, en raison d’une violation par l’importateur de données ou son sous-traitant ultérieur de l’une de leurs obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données a disparu dans les faits ou a cessé d’exister en droit ou est devenu insolvable, l’importateur de données convient que la personne concernée peut formuler une réclamation à l’encontre de l’importateur de données comme s’il s’agissait de l’exportateur de données, à moins qu’une entité qui lui succède n’ait assumé l’ensemble des obligations légales de l’exportateur de données par contrat ou par application de la loi, auquel cas la personne concernée peut faire valoir ses droits auprès de cette entité. L’importateur de données ne peut pas se prévaloir d’un manquement d’un sous-traitant ultérieur à ses obligations afin d’échapper à ses propres responsabilités.
Si une personne concernée n’est pas en mesure d’intenter une action contre l’exportateur de données ou l’importateur de données visé aux paragraphes 1 et 2, en raison d’une violation par le sous-traitant ultérieur de l’une de ses obligations telles stipulées à la Clause 3 ou à la Clause 11, parce que l’exportateur de données et l’importateur de données ont tous deux disparu dans les faits ou cessé d’exister en droit ou sont devenus insolvables, le sous-traitant ultérieur convient que la personne concernée peut formuler une réclamation à l’encontre du sous-traitant ultérieur en ce qui concerne ses propres opérations de traitement en vertu des Clauses, comme s’il était l’exportateur de données ou l’importateur de données, à moins qu’une entité lui succédant n’ait assumé l’ensemble des obligations légales de l’exportateur de données ou de l’importateur de données par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits auprès de cette entité. La responsabilité du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des Clauses.

Clause 7

Médiation et compétence

L’importateur de données convient que si la personne concernée invoque à l’encontre de ses droits de tiers bénéficiaire et/ou réclame des dommages et intérêts en vertu des Clauses, l’importateur de données acceptera la décision de la personne concernée :

de soumettre le litige à la médiation, par une personne indépendante ou, le cas échéant, par l’autorité de contrôle ;
de porter le litige devant les tribunaux de l’état membre dans lequel l’exportateur de données est établi.

Les parties conviennent que le choix effectué par la personne concernée ne portera pas atteinte à ses droits substantiels ou procéduraux d’exercer des recours conformément à d’autres dispositions du droit national ou international.

Clause 8

Coopération avec les autorités de contrôle

L’exportateur de données accepte de déposer une copie du présent contrat auprès de l’autorité de contrôle si celle-ci en fait la demande ou si ce dépôt est requis en vertu de la loi applicable en matière de protection des données.
Les parties conviennent que l’autorité de contrôle a le droit d’effectuer un audit de l’importateur de données, et de tout sous-traitant ultérieur, qui a la même portée et est soumis aux mêmes conditions que celles qui s’appliqueraient à un audit de l’exportateur de données en vertu de la loi applicable sur la protection des données.
L’importateur de données informe rapidement l’exportateur de données de l’existence d’une législation qui est applicable à tout sous-traitant ultérieur ou à lui-même empêchant la réalisation d’un audit de l’importateur de données, ou de tout sous-traitant ultérieur, conformément au paragraphe 2. Dans ce cas, l’exportateur de données a le droit de prendre les mesures prévues à la clause 5, point b).

Clause 9

Loi applicable

Les clauses sont régies par le droit de l’état membre dans lequel l’exportateur de données est établi.

Clause 10

Modification du contrat

Les parties s’engagent à ne pas modifier les Clauses. Cela n’empêche pas les parties d’ajouter, si nécessaire, des clauses sur des questions liées aux affaires, pour autant qu’elles ne contredisent pas la Clause.

Clause 11

Sous-traitance

L’importateur de données ne sous-traitera aucune de ses opérations de traitement effectuées pour le compte de l’exportateur de données en vertu des Clauses sans le consentement écrit préalable de l’exportateur de données. Lorsque l’importateur de données sous-traite ses obligations en vertu des Clauses, avec le consentement de l’exportateur de données, il ne doit le faire que par le biais d’un accord écrit avec le sous-traitant ultérieur qui impose les mêmes obligations au sous-traitant ultérieur que celles imposées à l’importateur de données en vertu des Clauses . Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données en vertu d’un tel accord écrit, l’importateur de données reste entièrement responsable envers l’exportateur de données de l’exécution des obligations du sous-traitant ultérieur en vertu dudit accord.
Le contrat écrit préalable entre l’importateur de données et le sous-traitant ultérieur prévoit également une clause de tiers bénéficiaire telle que prévue à la Clause 3 pour les cas où la personne concernée n’est pas en mesure d’introduire la demande d’indemnisation visée au paragraphe 1 de la Clause 6 à l’encontre de l’exportateur de données ou de l’importateur de données parce qu’ils ont disparu de fait ou ont cessé d’exister en droit ou sont devenus insolvables et qu’aucune entité leur succédant n’a assumé l’ensemble des obligations légales de l’exportateur de données ou de l’importateur de données par contrat ou de plein droit. Cette responsabilité du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des Clauses.
Les dispositions relatives aux aspects de la protection des données pour le traitement ultérieur du contrat visé au paragraphe 1 sont régies par le droit de l’état membre dans lequel l’exportateur de données est établi.
L’exportateur de données tient une liste des accords de sous-traitance ultérieure conclus en vertu des Clauses et notifiés par l’importateur de données conformément à la Clause 5, point (j), qui est mise à jour au moins une fois par an. Cette liste est mise à la disposition de l’autorité de contrôle de la protection des données de l’exportateur de données.

Clause 12

Obligation après la cessation des services de traitement des données à caractère personnel

Les parties conviennent qu’à la fin de la fourniture de services de traitement des données, l’importateur de données et le sous-traitant ultérieur doivent, au choix de l’exportateur de données, renvoyer à ce dernier toutes les données à caractère personnel transférées et les copies de celles-ci ou détruire toutes les données à caractère personnel et certifier à l’exportateur de données qu’ils l’ont fait, à moins que la législation imposée à l’importateur de données ne l’empêche de renvoyer ou de détruire tout ou partie des données à caractère personnel transférées. Dans ce cas, l’importateur de données garantit qu’il assurera la confidentialité des données personnelles transférées et qu’il ne traitera plus activement les données personnelles transférées.
L’importateur de données et le sous-traitant ultérieur garantissent que, à la demande de l’exportateur de données et/ou de l’autorité de contrôle, ils soumettront leurs installations de traitement des données à un audit des mesures visées au paragraphe 1.

Notes de Bas de Page

Les parties peuvent reproduire les définitions et les significations contenues dans le règlement 2016/679 dans la présente clause si elles estiment qu’il est préférable que le contrat soit autonome.
Les exigences impératives de la législation nationale applicable à l’importateur de données qui ne vont pas au-delà de ce qui est nécessaire dans une société démocratique sur la base de l’un des intérêts énumérés à l’article 23, paragraphe 1, du règlement 2016/679, c’est-à-dire si elles constituent une mesure nécessaire pour sauvegarder la sécurité nationale, la défense, la sécurité publique, la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de manquements à la déontologie des professions réglementées, un intérêt économique ou financier important de l’état ou la protection de la personne concernée ou des droits et libertés d’autrui, ne sont pas en contradiction avec les clauses contractuelles types. Parmi les exemples de telles exigences obligatoires qui ne vont pas au-delà de ce qui est nécessaire dans une société démocratique, on peut citer, entre autres, les sanctions reconnues au niveau international, les exigences en matière de déclaration fiscale ou de déclaration de lutte contre le blanchiment d’argent.
Cette exigence peut être satisfaite par la signature conjointe du sous-traitant ultérieur du contrat conclu entre l’exportateur de données et l’importateur de données en vertu de la présente Décision.

Annexe 1 aux Clauses Contractuelles Types

Cette annexe fait partie des Clauses et doit être complétée et signée par les parties.

Les états membres peuvent compléter ou préciser, selon leurs procédures nationales, toute information supplémentaire nécessaire devant figurer dans cette annexe.

Exportateur de données

L’exportateur de données est l’entité identifiée comme le Client Xactware dans l’Addendum.

Importateur de données

L’importateur de données est Xactware Solutions, Inc.

Personnes concernées

Les données personnelles transférées concernent les catégories de personnes concernées suivantes (veuillez préciser) :

Les clients de l’exportateur de données qui ont fait une demande d’indemnisation pour un sinistre assuré. Les personnes désignées par le client de l’exportateur de données pour agir en leur nom dans le cadre d’un sinistre concernant le client de l’exportateur de données.

Catégories de données

Les données personnelles transférées concernent les catégories de données suivantes (à préciser) :

Nom, adresse personnelle ou professionnelle, numéro de téléphone, adresse électronique, adresse IP, numéro de réclamation, numéro de police, code géographique de l’emplacement de la propriété, et images et vidéos en direct et enregistrées (qui peuvent inclure des données à caractère personnel).

Catégories spéciales de données (le cas échéant)

Les données personnelles transférées concernent les catégories spéciales de données suivantes (veuillez préciser) :

Aucune donnée de catégorie spéciale ou de condamnation pénale ne sera traitée.

Opérations de traitement

Les données à caractère personnel transférées feront l’objet des opérations de traitement de base suivantes (veuillez préciser) :

Le traitement concerne les logiciels informatiques utilisés aux fins d’initier et de régler les demandes d’assurance de biens commerciaux et résidentiels.

Annexe 2 aux Clauses Contractuelles Types

La présente Annexe fait partie des Clauses et doit être complétée et signée par les parties.

Description des mesures de sécurité techniques et organisationnelles mises en æuvre par l’importateur de données conformément aux Clauses 4 point (d) et 5 point (c) (ou au document/législation joint) :

Les mesures de sécurité techniques et organisationnelles mises en æuvre par l’importateur de données sont décrites dans le document Verisk’s Approach to Cybersecurity, disponible à l’adresse suivante : https://www.verisk.com/siteassets/media/corporate-social-responsibility/downloads/verisks-approach-to-cybersecurity.pdf, et dans le docuement Xactware Information Security Frequently Asked Questions, disponible à l’adresse : https://www.verisk.com/csr/governance/managing-and-protecting-data/. Ces documents, tels que modifiés ponctuellement, sont incorporés dans les présentes par référence.