Cet ADDENDUM AU CONTRAT DE TRAITEMENT DES DONNÉES DE L'UTILISATEUR FINAL (" Addendum ") est incorporé aux Conditions de Partage de l'Information et joint au Contrat de Licence et au Formulaire de Profil et de Commande (ensemble " EULSA ") entre InterSystems (" InterSystems ") et l'utilisateur final (" utilisateur final "), tel qu'indiqué dans l'EULSA. InterSystems et l'utilisateur final sont parties à cet Addendum (chacun séparément "une partie", ensemble "les parties"). En considération des engagements et promesses mutuels contenus dans le présent document et d'autres considérations valables, dont les parties reconnaissent par les présentes la réception et le caractère suffisant, les parties conviennent de ce qui suit :
Tous les termes en majuscules utilisés dans le présent addendum et non définis ailleurs dans le présent document ou dans l'EULSA ont la même signification que les termes utilisés ou définis en vertu de la loi sur la protection des données, telle qu'elle est définie ci-dessous. Les termes de cet Addendum remplacent tous les termes contradictoires de l'EULSA et tous les autres termes concernant la protection des données ou le traitement de l'information.
Les Parties reconnaissent que les services fournis par InterSystems dans le cadre de l'EULSA ne sont pas destinés à conduire InterSystems à créer, recevoir, conserver, transmettre, utiliser, divulguer ou traiter de toute autre manière des données personnelles relatives à une Personne concernée dans un contexte opérationnel qui constitue des données de l'utilisateur final, telles que définies ci-dessous ; cependant, parce que l'utilisateur final, dans certaines circonstances, peut être tenu de se conformer à la Loi sur la protection des données, telle que définie ci-dessous, l'utilisateur final exige de ses prestataires de services qui peuvent entrer en contact avec les données de l'utilisateur final qu'ils concluent un accord de traitement des données avec l'utilisateur final, et InterSystems est disposé à conclure un tel accord dans le cas improbable où InterSystems traite les données de l'utilisateur final sans concéder qu'InterSystems est généralement un Responsable de traitement pour l'utilisateur final. Les parties conviennent, en ce qui concerne les autres données à caractère personnel traitées par InterSystems qui ne sont pas des données de l'utilisateur final ("données d'InterSystems"), qu'InterSystems est le responsable du traitement des données et que les parties ne sont pas des responsables conjoints du traitement des données d'InterSystems.
Définitions
1.1. Sauf définition contraire dans la loi sur la protection des données applicable (telle que définie ci-dessous), les termes en majuscules énumérés dans la présente section ont la signification suivante :1.2. Contrôleur de données. le terme "contrôleur de données" désigne, lorsqu'il est utilisé en référence dans le présent Addendum, l'utilisateur final, même si l'utilisateur final est un sous-traitant pour un contrôleur en ce qui concerne les données à caractère personnel traitées.
1.3. Propriétaire des données. "Propriétaire des données" désigne, pour chaque élément de données à caractère personnel des données de l'utilisateur final, l'utilisateur final ou, si l'utilisateur final est un sous-traitant pour un responsable du traitement en ce qui concerne les données à caractère personnel, ce responsable du traitement.
1.4. Responsable du traitement des données. "Responsable du traitement des données" désigne une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données personnelles pour le compte d'un contrôleur de données et lorsque (1) InterSystems et l'utilisateur final conviennent mutuellement qu'InterSystems agit en qualité de processeur de l'utilisateur final tel que défini dans des règles d'engagement spécifiques et individuelles et (2) InterSystems n'agit pas autrement en qualité de prestataire de services, de fournisseur tiers de l'utilisateur final ou de contrôleur.
1.5. Législation sur la protection des données. "Législation sur la protection des données" : le RGPD et les législations nationales de mise en œuvre ; la loi fédérale suisse sur la protection des données (telle que modifiée et remplacée de temps à autre) ; la loi britannique sur la protection des données (telle que modifiée et remplacée de temps à autre) ; et les lois sur la protection des données des pays de l'EEE (telles que modifiées et remplacées de temps à autre, chaque fois que cela est applicable).
1.6. Données de l'utilisateur final. "Données de l'utilisateur final" signifie toute donnée personnelle pour laquelle l'utilisateur final ou, si l'utilisateur final est un sous-traitant pour un contrôleur, le contrôleur détermine seul les objectifs et les moyens du traitement de ces données personnelles et est fourni par ou au nom de l'utilisateur final à InterSystems ; à condition que les données de l'utilisateur final n'incluent pas les données personnelles définies comme des données d'InterSystems ci-dessus.
1.7. Loi sur la protection des données. "Loi sur la protection des données" désigne toutes les lois ou réglementations applicables à la vie privée et au traitement, à la collecte, à l'utilisation et à la protection des données personnelles dans toute juridiction applicable à votre accord ou aux données du client, ce qui peut inclure, sans s'y limiter, la loi sur la protection des données de 2018 (Royaume-Uni), le RGPD, la loi Gramm-Leach-Bliley (États-Unis), la loi sur la protection de la vie privée (Australie), la loi sur la protection de la vie privée de 1993 (Nouvelle-Zélande).
Propriété des données
2.1. Les données de l'utilisateur final que le responsable du traitement des données traite pour le compte du responsable du traitement des données resteront à tout moment la propriété du propriétaire des données.2.2. Si l'une des parties, pour quelque raison que ce soit, met fin à l'EULSA, l'utilisateur final décidera si chaque élément des données de l'utilisateur final, dans la mesure où le responsable du traitement des données conserve ces éléments, sera renvoyé à l'utilisateur final ou supprimé. Tous les traitements effectués par le responsable du traitement des données prendront fin, à l'exception de tout traitement requis par la loi ou nécessaire pour mettre fin à l'EULSA.
2.3. Le contrôleur des données peut à tout moment exiger du responsable du traitement des données qu'il cesse de traiter les données de l'utilisateur final et qu'il les supprime ou les renvoie au contrôleur des données.
2.4. Si le responsable du traitement des données détermine qu'il est impossible de renvoyer ou de détruire les données de l'utilisateur final comme l'exige la présente section, le responsable du traitement des données étendra les protections du présent avenant à ces données de l'utilisateur final et limitera le traitement ultérieur de ces données de l'utilisateur final aux fins qui rendent le renvoi ou la destruction impossible, tant que le responsable du traitement des données conservera ces données de l'utilisateur final.
Obligations et activités du responsable du traitement des données
3.1. Le responsable du traitement s'engage à traiter les données de l'utilisateur final sous réserve de mesures de sécurité techniques et organisationnelles d'un type qui, si le responsable du traitement était le contrôleur en ce qui concerne ces données, satisferait à la loi sur la protection des données telle que l'article 32 du RGPD, Sécurité du traitement, c'est-à-dire, "Compte tenu de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque, dont la probabilité et la gravité varient, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque" et prendre des mesures raisonnables pour assurer le respect de ces mesures.3.2. Le responsable du traitement des données accepte de traiter ces données de l'utilisateur final uniquement conformément aux instructions de l'utilisateur final que ce dernier fournira par écrit de temps à autre.
3.3. Le responsable du traitement des données accepte de se conformer à toutes les obligations imposées par la loi sur la protection des données comme si le responsable du traitement des données était le contrôleur en ce qui concerne ces données de l'utilisateur final.
3.4. Le responsable du traitement des données s'engage à veiller à ce que tous les membres du personnel, agents, sous-traitants et autres personnes ayant accès aux données de l'utilisateur final soient informés que ces données sont confidentielles et ne doivent pas être divulguées à quiconque n'est pas soumis à une obligation de confidentialité exécutoire à cet égard. Seuls les membres du personnel, etc. qui ont un besoin opérationnel d'accéder aux données de l'utilisateur final doivent être autorisés et (en termes de mesures de sécurité logiques, physiques ou autres) en mesure de le faire.
3.5. Si le responsable du traitement des données souhaite sous-traiter le traitement des données de l'utilisateur final, il doit imposer à tout sous-traitant les mêmes obligations contractuelles en matière de protection des données et de sécurité que celles établies en vertu du présent Addendum.
3.6. Le Responsable du traitement des données accepte d'informer le Contrôleur des données dans les plus brefs délais, c'est-à-dire pas plus longtemps que ne le permet la législation applicable, mais au plus tard dans les soixante-douze (72) heures à compter du moment où InterSystems en a connaissance, de toute violation de la sécurité concernant les données de l'utilisateur final au sein de sa propre organisation ou de l'organisation d'un sous-traitant.
3.7. Le responsable du traitement des données s'engage à veiller à ce que l'ensemble du personnel impliqué dans le traitement des données de l'utilisateur final reçoive une formation appropriée sur les procédures de protection des données, à identifier et à conserver les documents relatifs à la formation reçue par ce personnel et au contenu de tous les cours. Le responsable du traitement des données veille à ce qu'aucun autre agent ou employé du responsable du traitement des données n'ait accès aux données de l'utilisateur final.
3.8. Le responsable du traitement des données accepte que les données du contrôleur ne soient pas transférées vers un pays ou un territoire en dehors de la juridiction de la loi sur la protection des données applicable à votre accord sans l'accord écrit de l'utilisateur final, à moins que (1) ce pays ou territoire assure un niveau adéquat de protection des droits et libertés des personnes concernées en ce qui concerne le traitement des données personnelles, tel que déterminé par l'autorité de protection des données appropriée ; (2) sans violation implicite de cette disposition, lorsque le responsable du traitement des données a conclu des clauses contractuelles standard, telles qu'approuvées par la Commission européenne, en ce qui concerne un tel transfert ; ou (3) le responsable du traitement des données s'est engagé à respecter des règles d'entreprise contraignantes telles qu'approuvées ou acceptées par une autorité de protection des données pertinente ; à condition que l'utilisateur final puisse restreindre de tels transferts en vertu de règles d'engagement spécifiques et individuelles, tant que l'utilisateur final accepte qu'InterSystems ne soit pas en violation de ses obligations en vertu de l'EULSA, si InterSystems détermine qu'il n'y a pas de violation de ses obligations en vertu de l'EULSA.
Obligations de l'utilisateur final
4.1. L'utilisateur final ne fournira les données de l'utilisateur final à InterSystems que lorsque cela est strictement nécessaire aux fins de l'EULSA et en pleine conformité avec la Législation sur la protection des données et accepte de ne fournir que le minimum nécessaire de données personnelles pertinentes pour le service ou le support fourni.4.2. L'utilisateur final ne demandera pas ou n'exigera pas du Responsable du traitement de traiter les données de l'utilisateur final d'une manière que l'utilisateur final ne pourrait pas faire en tant que Responsable du traitement ou Responsable du traitement pour un Responsable du traitement ; à condition qu'InterSystems notifie rapidement l'utilisateur final par écrit en fournissant suffisamment d'informations pour décrire l'objection, si InterSystems considère que l'une des instructions de l'utilisateur final enfreint la Législation sur la protection des données. Si l'utilisateur final accepte la décision d'InterSystems selon laquelle les instructions de l'utilisateur final enfreignent la législation sur la protection des données, l'utilisateur final doit en informer InterSystems et InterSystems n'est pas tenu de se conformer à cette instruction et ne peut être tenu pour responsable d'une violation de l'EULSA en cas de non-respect de cette instruction. Si l'utilisateur final conteste la décision d'InterSystems selon laquelle les instructions de l'utilisateur final enfreignent la législation sur la protection des données, l'utilisateur final doit fournir une explication écrite des raisons pour lesquelles ces instructions sont conformes à la législation sur la protection des données et InterSystems peut se fonder sur cette explication pour exécuter les instructions de l'utilisateur final.
4.3. L'utilisateur final déclare et garantit qu'il (ou dans le cas où l'utilisateur final est un Responsable du traitement des données, le Propriétaire des données concerné) peut traiter les données de l'utilisateur final de la manière dont le Responsable du traitement des données est autorisé à traiter les données personnelles en vertu du présent Addendum.
4.4. L'utilisateur final est responsable de l'utilisation de mesures de protection administratives, physiques et techniques à tout moment pour maintenir et assurer la confidentialité, le respect de la vie privée et la sécurité des données de l'utilisateur final transmises au Responsable du traitement des données conformément aux normes et exigences de la législation sur la protection des données, jusqu'à ce que ces données de l'utilisateur final soient reçues par le Responsable du traitement des données.
4.5. L'utilisateur final doit obtenir tout consentement ou autorisation qui pourrait être requis par la loi applicable afin que le responsable du traitement des données puisse fournir ses services dans le cadre de l'EULSA.
Divers
5.1. Références. Toute référence dans le présent addendum à une disposition du RGPD signifie que cette disposition est en vigueur ou modifiée, et qu'elle est applicable à compter de la date de mise en conformité.5.2. Modifications du présent Addendum. L'utilisateur final accepte qu'InterSystems, en toute bonne foi, puisse modifier le présent Addendum ou l'EULSA si nécessaire pour se conformer à toute modification de la Législation sur la Protection des données.
5.3. Clause de survie. Les droits et obligations respectifs du responsable du traitement des données et du contrôleur des données resteront en vigueur après la résiliation tant que le responsable du traitement des données ou le contrôleur des données traitera les données de l'utilisateur final en vertu du présent Addendum ou de l'EULSA.
5.4. Interprétation. Toute ambiguïté dans le présent Addendum sera résolue pour permettre aux parties de se conformer à la législation sur la protection des données.
- Les droits et obligations découlant du présent avenant s'ajoutent, sans s'y substituer, aux droits et obligations nés entre les parties en vertu de tout autre contrat ou du droit commun (common law).
- En cas de violation ou de violation présumée par une personne d'une obligation de confidentialité qu'elle doit à l'une des parties aux présentes en ce qui concerne les données de l'utilisateur final auxquelles cette personne a ou a eu accès en vertu du présent addendum, la partie à laquelle l'obligation est due s'engage à faire tout son possible pour faire respecter l'obligation en question.