Dernière mise à jour le 19 mars 2026

Contrat de traitement de données

Le présent Contrat de traitement de données (le « CTD ») fait partie des Conditions générales hébergées à l’adresse https://servicechannel.com/terms-and-conditions (le « Contrat ») entre ServiceChannel.com, Inc. (ci-après « ServiceChannel ») et le Prestataire (tel que défini dans le Contrat). Le Prestataire et ServiceChannel sont désignés individuellement une « partie » et collectivement les « parties ».

CONSIDÉRANT QUE

(i)   Le Prestataire et ServiceChannel ont conclu le Contrat en vertu duquel ServiceChannel fournira les Services au Prestataire.

(ii)  ServiceChannel traitera le Contenu prestataire (susceptible de comporter des Données à caractère personnel) dans le cadre de la fourniture des Services ;

(iii)  En considération de ce qui précède, les parties souhaitent conclure le présent CTD qui régit le traitement par ServiceChannel desdites Données à caractère personnel figurant dans le Contenu prestataire.

EN CONSÉQUENCE, les parties conviennent de ce qui suit :

1.           Définitions :

Dans le présent Contrat de traitement, les termes définis dans le Contrat ont la même signification lorsqu’ils sont utilisés ici. En outre, les termes suivants auront les significations suivantes :

(a)       « Données administratives » s’entend de ce qui suit : i) les coordonnées et le contenu de la correspondance avec le titulaire du compte principal ou l’administrateur du Prestataire ; ii) les demandes d’assistance soumises par les utilisateurs autorisés du Prestataire en relation avec le Service ;

(b)       « Affiliés » désigne toute entité qui est contrôlée, qui contrôle ou est sous contrôle commun avec ServiceChannel ;

(c)       « CCT brésiliennes » désigne les clauses contractuelles types annexées à la Résolution n° 19/2024 de l’Agence brésilienne de protection des données (« ANPD ») ;

(d)       « Données anonymes » désigne les données créées à partir des Données à caractère personnel du Prestataire qui i) ne peuvent être utilisées pour déduire des informations sur une personne physique ou être liées à elle d’une autre manière ; ii) ne se rapportent pas d’une autre manière à une personne physique identifiée ou identifiable ;

(e)       « CCPA » désigne la Loi californienne de 2018 sur la protection de la vie privée des consommateurs (California Consumer Privacy Act), Code civil californien § 1798.100 et suivants, y compris ses règlements d’application et la Loi californienne sur les droits à la vie privée de 2020 (California Privacy Rights Act of 2020) ;

(f)       « Finalités du Responsable du traitement » signifie entreprendre des travaux de recherche et développement en interne pour développer, tester, améliorer et modifier la fonctionnalité des produits et services de ServiceChannel ; b) créer des ensembles de Données anonymes pour la formation ou l’évaluation des produits et services de ServiceChannel ; c) administrer la relation de ServiceChannel avec le Prestataire en vertu du Contrat ;

(g)       « Prestataire » désigne le Prestataire utilisateur qui a signé le Contrat ;

(h)       « Données à caractère personnel du prestataire » désigne les Données à caractère personnel figurant dans le Contenu prestataire, tel que décrit plus en détail à l’annexe I du présent CTD ;

(i)        « Lois sur la protection des données » renvoie à l’ensemble des lois, règles, règlements et exigences gouvernementales applicables relatifs à la vie privée, la confidentialité ou la sécurité des Données à caractère personnel (qui pourront être modifiées ou autrement mis à jour en tant que de besoin), y compris (sans limitation) le RGPD, le RGPD britannique, la loi brésilienne n° 13,709/2018 (« LGPD ») et les Lois américaines sur la protection des données ;

(j)        « Personne concernée » désigne : i) une personne physique à laquelle se rapportent les Données à caractère personnel ; et ii) une personne physique qui est « personne concernée », un « consommateur » ou tout terme équivalent en vertu des Lois sur la protection des données ;

(k)       « CCT de l’UE » s’entend des clauses contractuelles annexées à la décision d’exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en application du règlement (UE) 2016/679 du Parlement européen et du Conseil, telles que mises à jour ou remplacées de temps à autre ;

(l)        « RGPD » désigne le règlement (UE) 2016/679 (le « RGPD UE ») ou, le cas échéant, le « RGPD britannique » tel que défini dans les sections 3(10) et 205 de la Loi britannique sur la protection des données de 2018 ;

(m)      « Données à caractère personnel » s’entend de toutes informations qui : i) concernent, sont liées ou peuvent raisonnablement être liées à une personne physique identifiée ou identifiable ; ou ii) constituent autrement des « données à caractère personnel », « informations à caractère personnel », « informations à caractère personnel » ou des données ou informations définies de manière similaire en vertu des Lois sur la protection des données ;

(n)       « Traitement » désigne toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de Données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction (« Traiter », « Traite » et « Traité(e) » auront la même signification) ;

(o)       « Vente » ou « Vendre » a le sens qui lui est donné dans la CCPA ;

(p)       « Action » a le sens qui lui est donné dans la CCPA ;

(q)       « Atteinte à la sécurité » s’entend d’une atteinte à la sécurité entraînant la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé aux Données à caractère personnel du prestataire ;

(r)       « Clauses contractuelles types » désigne (le cas échéant) les CCT de l’UE, l’Addendum britannique ou les CCT brésiliennes ;

(s)       « Sous-traitant ultérieur » renvoie à toute entité extérieure engagée par ServiceChannel (agissant en qualité de Sous-traitant) pour traiter les Renseignements personnels pour le compte du Prestataire ou afin de fournir les Services visés au Contrat ;

(t)       « Addendum britannique » s’entend du modèle d’addendum, version B.1.0, publié par le Commissaire à l’information britannique en vertu du S119A (1) de la Loi britannique sur la protection des données de 2018 et présenté au Parlement britannique le 2 février 2022, tel que révisé conformément à la section 18 de l’Addendum britannique ;

(u)       « Lois américaines sur la protection des données » désigne toutes les lois, règles, réglementations et exigences gouvernementales fédérales et étatiques applicables relatives à la protection des données, au Traitement des Données à caractère personnel, à la confidentialité et/ou à la protection des données en vigueur de temps à autre aux États-Unis, y compris (sans s’y limiter) la CCPA et les autres lois américaines applicables sur la protection de la vie privée des consommateurs ;

(v)       « Données d’utilisation » s’entend des informations de diagnostic, d’utilisation et de performance collectées par ServiceChannel en relation avec l’utilisation des Services par le Prestataire et ses utilisateurs autorisés ; et

(w)      Les termes « Responsable du traitement », « Sous-traitant », « Entreprise » et « Fournisseur de services » ont la signification qui leur est donnée dans les Lois sur la protection des données.

2.           Relation des parties et conformité à la loi

2.1         Le Prestataire :

(a)         nomme ServiceChannel pour traiter les Données à caractère personnel du prestataire en tant que Sous-traitant ou Fournisseur de services ;

(b)         reconnaît et convient que ServiceChannel peut :

(i)          utiliser les Données administratives et les Données d’utilisation aux fins du Responsable du traitement et qu’aux fins du RGPD et de la LGPD, il le fait en tant que Responsable du traitement ;

(ii)         utiliser les Données à caractère personnel des Prestataires pour créer des Données anonymes et que, aux fins du RGPD, il le fait en tant que Responsable du traitement.

2.2         Chaque partie se pliera aux obligations qui lui sont applicables en vertu des Lois sur la protection des données et fournira le même niveau de protection de la vie privée que celui imposé par les Lois sur la protection des données.

2.3         Le Prestataire devra s’assurer que ses instructions pour le Traitement des Données à caractère personnel du prestataire sont conformes aux Lois sur la protection des données. Le Prestataire sera seul responsable de l’exactitude, de la qualité et de la légalité des Données à caractère personnel du prestataire et des moyens par lesquels il aura obtenu ces données.

2.4         ServiceChannel devra informer dans les meilleurs délais le Prestataire si elle parvient à la conclusion qu’elle ne peut plus remplir ses obligations en vertu des Lois sur la protection des données.

2.5         Le Prestataire pourra prendre des mesures raisonnables et appropriées pour :

(a)         s’assurer que ServiceChannel utilise les Données à caractère personnel du prestataire d’une manière conforme aux obligations du Prestataire en vertu des Lois sur la protection des données ; et

(b)         sur préavis raisonnable, mettre fin à toute utilisation non autorisée des Données à caractère personnel du prestataire et y remédier.

3.           Traitement des Données à caractère personnel du prestataire

3.1         ServiceChannel ne traitera les Données à caractère personnel du prestataire que pour le compte et conformément au Contrat, le présent CTD et (à l’exception de tout traitement pour les finalités du Responsable du traitement) aux instructions documentées du Prestataire. Le Prestataire demande à ServiceChannel de traiter les Données à caractère personnel du prestataire aux fins suivantes : i) un Traitement conformément au Contrat et à toute ordonnance applicable ; et ii) un Traitement pour se plier aux autres instructions raisonnables communiquées par le Prestataire lorsque ces instructions sont conformes aux conditions du Contrat. ServiceChannel devra informer sans délai le Prestataire si elle n’est pas en mesure de suivre ces instructions ou si, à son avis, une instruction du Prestataire enfreint les Lois sur la protection des données.

3.2         ServiceChannel doit s’abstenir de :

(a)         vendre ou partager les Données à caractère personnel du prestataire ;

(b)         conserver, utiliser ou divulguer les Données à caractère personnel du prestataire à des fins autres que la finalité commerciale spécifique de prestations des Services visés au Contrat ou dans les limites autorisées par les Lois sur la protection des données ;

(c)         conserver, utiliser ou divulguer les Données à caractère personnel du prestataire en dehors de la relation commerciale directe entre les parties ; et

(d)         combiner les Données à caractère personnel du prestataire à des Données à caractère personnel qu’il reçoit de, ou au nom d’une ou plusieurs autres personnes, ou qu’il recueille dans le cadre de ses propres échanges avec la Personne concernée, à moins que cela ne soit expressément autorisé par les Lois sur la protection des données et effectué conformément à celles-ci.

3.3         Le Prestataire garantit et s’engage à ce que les Données à caractère personnel du prestataire ne comportent aucun des éléments suivants :

(a)         les Données à caractère personnel révélant l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou convictions philosophiques, l’appartenance syndicale, les condamnations pénales et toute autre catégorie particulière de Données à caractère personnel identifiées à l’article 9 du RGPD ou de Données à caractère personnel qui sont autrement sensibles en vertu des Lois applicables sur la protection des données ;

(b)         les identifiants ou modèles biométriques ;

(c)         les renseignements financiers (y compris, notamment, les informations de facturation et les données d’authentification sensibles ou de titulaires de carte, telles que ces termes sont définis en vertu de la Norme de sécurité des données du secteur des cartes de paiement) ;

(d)         les informations financières personnellement identifiables, telles que définies par et soumises à la loi Gramm-Leach-Bliley Financial Modernization Act de 1999 ;

(e)         les numéros d’identification nationaux (y compris, notamment, les numéros de sécurité sociale, les numéros d’assurance sociale, les numéros de permis de conduire ou de passeport ou autres numéros d’identification émis par l’administration) ;

(f)          les informations relatives aux personnes âgées de moins de 13 ans ;

(g)         les dossiers scolaires, tels que définis par la loi sur les droits et la protection de la famille en matière d’éducation de 1974 (Family Educational Rights and Privacy Act) ;

(h)         les informations protégées sur la santé, telles que définies par la loi sur la portabilité et la responsabilité en matière d’assurance maladie (Health Insurance Portability and Accountability Act) et soumises à cette loi.

4.           Confidentialité du traitement/personnel de ServiceChannel

4.1         ServiceChannel devra veiller à ce que toute personne qu’elle autorise à traiter les Données à caractère personnel du prestataire (une « Personne autorisée ») protège les Données à caractère personnel du prestataire conformément aux obligations de confidentialité de ServiceChannel en vertu du présent Contrat.

4.2         ServiceChannel devra veiller à ce que son personnel engagé dans le Traitement des Données à caractère personnel du prestataire soit informé de la nature confidentielle des Données à caractère personnel du prestataire et soit soumis à des obligations de confidentialité.

4.3         ServiceChannel devra s’assurer que l’accès aux Données à caractère personnel du prestataire est limité au personnel qui a besoin d’un tel accès pour prester les Services.

5.           Gestion et notification en matière de gestion des atteintes à la sécurité

5.1         ServiceChannel devra mettre en œuvre des mesures techniques et organisationnelles appropriées pour la protection de la confidentialité, de l’intégrité et de la disponibilité des Données à caractère personnel du prestataire, comme indiqué à l’annexe II.

5.2         Si ServiceChannel prend connaissance d’une Atteinte à la sécurité, ServiceChannel devra : i) informer dans les meilleurs délais le Prestataire de l’Atteinte à la sécurité ; ii) enquêter sur l’Atteinte à la sécurité et communiquer au Prestataire des informations sur l’Atteinte à la sécurité ; et iii) prendre des mesures raisonnables pour atténuer les effets tout dommage découlant de l’Atteinte à la sécurité.

5.3         ServiceChannel devra, à la demande du Prestataire, fournir à ce dernier une assistance raisonnable pour l’exécution par le Prestataire de ses obligations en vertu des Lois sur la protection des données en relation avec une Atteinte à la sécurité notifiée au Prestataire par ServiceChannel.

5.4         ServiceChannel n’est nullement tenue d’informer le Prestataire des tentatives infructueuses d’obtenir un accès non autorisé aux Données à caractère personnel du prestataire ou à des équipements ou installations de ServiceChannel conservant les Données à caractère personnel du prestataire, y compris, notamment, les pings et autres attaques de diffusion sur les pare-feu ou les serveurs périphériques, les balayages de port, les tentatives de connexion infructueuses, les attaques par déni de service, ou tout incident semblable.

5.5         La ou les notification(s) d’Atteintes à la sécurité, le cas échéant, seront envoyées à un ou plusieurs contacts commerciaux, techniques ou administratifs du Prestataire par tout moyen choisi par ServiceChannel, y compris par e-mail. Il est de l’entière responsabilité du Prestataire de s’assurer qu’il conserve des coordonnées exactes sur les systèmes d’assistance de ServiceChannel à tout moment.

5.6         La notification ou la réponse de ServiceChannel à toute Atteinte à la sécurité en vertu du présent article 5 ne doit pas être interprétée comme une reconnaissance par ServiceChannel d’une faute ou d’une responsabilité en ce qui concerne l’atteinte à la sécurité.

6.           Sous-traitant ultérieur

6.1         Le Prestataire reconnaît et accepte que i) ServiceChannel pourra nommer des Sociétés affiliées en tant que Sous-traitants ultérieurs ; et ii) qu’elle pourra engager des Sous-traitants ultérieurs tiers dans le cadre de la fourniture des Services. Ces Sous-traitants ultérieurs seront autorisés à obtenir des Données à caractère personnel du prestataire uniquement pour prester les services sur demande de ServiceChannel, et il leur est interdit d’utiliser les Données à caractère personnel du prestataire à toute autre finalité. ServiceChannel devra conclure un accord écrit imposant au Sous-traitant ultérieur des obligations en matière de protection des données qui sont substantiellement similaires à celles imposées à ServiceChannel par le présent Contrat. ServiceChannel demeure entièrement responsable envers le Prestataire de l’exécution des obligations du Sous-traitant ultérieur en vertu de son contrat passé avec ServiceChannel.

6.2         ServiceChannel pourra continuer à utiliser les Sous-traitants ultérieurs déjà engagés par ServiceChannel ou toute Société affiliée à ServiceChannel à la date du présent Contrat, tel qu’énuméré à l’adresse https://bit.ly/SC_Subprocessors.

6.3         ServiceChannel devra informer le Prestataire par écrit au préalable de la nomination de tout nouveau Sous-traitant ultérieur, y compris de tous les détails relatifs au Traitement à entreprendre par le Sous-traitant ultérieur. Si, dans les 10 jours suivant la réception d’un tel avis, le Prestataire notifie ServiceChannel par écrit de toute objection (pour des motifs raisonnables) à la nomination proposée, ServiceChannel ne devra pas nommer le Sous-traitant ultérieur proposé tant que des mesures raisonnables n’auront pas été prises pour répondre aux objections soulevées par le Prestataire et que ce dernier n’aura pas reçu une explication raisonnable par écrit des mesures prises.

7.           Transferts restreints

7.1         Les Clauses contractuelles types, telles qu’énoncées plus en détail au le présent article 7, seront intégrées au présent CTD par renvoi et s’appliqueront à tout transfert de Données à caractère personnel du prestataire du Prestataire (en tant qu’exportateur de données) à ServiceChannel (en tant qu’importateur de données) dans la mesure où :

(a)         le RGPD s’applique au Traitement par le Prestataire desdites Données à caractère personnel du prestataire lors du transfert ;

(b)         Les Lois sur la protection des données qui s’appliquent au Traitement des Données à caractère personnel du prestataire par le Prestataire lors du transfert (les « Lois sur la protection des données de l’Exportateur ») interdisent le transfert des Données à caractère personnel du prestataire à ServiceChannel en vertu du présent CTD en l’absence d’un mécanisme de transfert mettant en place des garanties suffisantes en ce qui concerne le Traitement de ces Données à caractère personnel du prestataire, et l’une ou plusieurs des conditions suivantes s’appliquent :

(i)          l’autorité compétente par rapport au transfert par le Prestataire des Données à caractère personnel du prestataire en vertu du présent CTD n’a pas formellement adopté de clauses types de protection des données ou un autre mécanisme de transfert en vertu des Lois sur la protection des données des exportateurs et la pratique de marché établie en ce qui concerne les transferts soumis aux Lois sur la protection des données des exportateurs est de conclure des clauses contractuelles types approuvées par la Commission européenne pour satisfaire à toute exigence en vertu des Lois sur la protection des données des exportateurs de mettre en place des garanties suffisante en ce qui concerne un tel transfert ; ou

(ii)         la conclusion de clauses contractuelles types approuvées par la Commission européenne satisferait raisonnablement à toute exigence en vertu des Lois sur la protection des données des exportateurs de mettre en place des garanties suffisantes en ce qui concerne un tel transfert ; ou

(c)         en ce qui concerne les Données à caractère personnel du Prestataire qui sont protégées par la LGPD brésilienne, les CCT brésiliennes s’appliqueront, comme détaillé dans l’annexe I, comme mécanisme international de transfert de données applicable à tous les cas où le pays de destination ne dispose pas d’un niveau de protection adéquat ou similaire à celui prévu dans la LGPD.

(d)         le transfert est un « transfert ultérieur » (tel que défini dans le module applicable des Clauses contractuelles types).

7.2         En ce qui concerne tout transfert visé au paragraphe 7.1, les Clauses contractuelles types seront réputées complétées comme suit :

(a)         le module 2 s’appliquera ;

(b)         à la clause 7, la clause d’adhésion facultative s’appliquera ;

(c)         à la clause 9, l’option 2 s’appliquera, et le délai de notification préalable des changements de sous-traitant ultérieur sera celui énoncé au paragraphe 0 du présent Contrat ;

(d)         à la clause 11, le libellé facultatif ne s’appliquera pas ;

(e)         à la clause 17, l’option 1 s’appliquera, et les CCT de l’UE seront régies par le droit irlandais ;

(f)          à la clause 18(b), les litiges seront résolus devant les tribunaux irlandais ;

(g)         l’annexe I des CCT de l’UE sera réputée complétée avec les informations énoncées à l’annexe I du présent Contrat ;

(h)         l’annexe II des CCT de l’UE sera réputée complétée avec les informations énoncées à l’annexe II du présent Contrat.

7.3         Dans la mesure où le RGPD du Royaume-Uni s’applique au Prestataire lorsqu’il effectue un transfert visé au paragraphe 7.1, l’Addendum britannique fera partie du présent CTD et s’appliquera auxdits transferts et sera réputé complété comme suit :

(a)         les « CCT UE de l’Addendum » désignent les Clauses contractuelles types telles qu’elles sont intégrées au présent CTD conformément aux paragraphe 7.1 et 7.2 ;

(b)         les « Informations de l’annexe » désignent les informations énoncées dans l’annexe I et l’annexe II du présent CTD ; et

(c)         les tableaux 1 à 3 de l’addendum britannique sont réputés complétés comme indiqué au paragraphe 7.2 ci-dessus, et l’option « aucune des parties » est réputée cochée dans le tableau 4. 

7.4         En cas de conflit entre le présent CTD et les Clauses contractuelles types, les Clauses contractuelles types prévaudront.

7.5         Les parties conviennent que la signature du présent CTD aura le même effet que la signature des Clauses contractuelles types et de l’Addendum britannique.

8.           Coopération et droits des Personnes concernées

8.1         ServiceChannel devra, dans la mesure autorisée et requise par la loi, informer dans les meilleurs délais le Prestataire s’il reçoit une demande d’une Personne concernée d’exercer ses droits en vertu des Lois sur la protection des données. ServiceChannel ne répondra à aucune demande de la Personne concernée sans avoir obtenu au préalable l’autorisation écrite du Prestataire, hormis pour confirmer que la demande concerne le Prestataire.

8.2         Dans la mesure où le Prestataire, dans son utilisation ou sa réception des Services, n’a pas la capacité d’accéder, rectifier, restreindre, bloquer ou supprimer les Données à caractère personnel du prestataire, comme l’imposent les Lois sur la protection des données, ServiceChannel devra déployer des efforts raisonnables sur le plan commercial pour se plier aux demandes raisonnables du Prestataire afin de faciliter l’accomplissement de telles formalités dans la mesure prévue par le droit autorisant ServiceChannel à le faire.

8.3         ServiceChannel devra collaborer raisonnablement avec le Prestataire (aux frais de celui-ci) dans le cadre de toute analyse d’impact relative à la protection des données qui peut être imposée en vertu des Lois sur la protection des données.

9.           Données dépersonnalisées

9.1         En ce qui concerne les Données anonymisées créées par ServiceChannel, ServiceChannel devra :

(a)         prendre des mesures raisonnables pour s’assurer que les informations ne peuvent être associées à une Personne concernée ;

(b)         s’engager publiquement à traiter ces Données anonymisées uniquement sous une forme dépersonnalisée et à ne pas tenter de réidentifier l’information ; et

(c)         obliger contractuellement tout destinataire des Données anonymisées à se conformer aux exigences susmentionnées en vertu des Lois sur la protection des données.

10.         Résiliation, effacement ou restitution de Données

10.1       Le présent Contrat sera résilié de plein droit à l’effacement ou à l’anonymisation par ServiceChannel de toutes les Données à caractère personnel du prestataire.

10.2       À la résiliation ou à l’expiration du Contrat, ServiceChannel devra

(a)         si le Prestataire le demande dans les trente (30) jours suivant l’expiration du Contrat (le « Délai de conservation »), à la discrétion de ServiceChannel, fournir une copie de toutes les Données à caractère personnel du Prestataire sous le format couramment utilisé demandé par le Prestataire, ou fournir une fonctionnalité d’accès en libre-service permettant au Prestataire de télécharger lesdites Données à caractère personnel du Prestataire ;

(b)         à l’expiration du Délai de conservation, supprimer toutes les copies des Données à caractère personnel du prestataire traitées par ServiceChannel ou l’un de ses Sous-traitants ultérieurs, autres que :

(i)          des Données d’administration ou Données d’utilisation traitées aux fins du Responsable du traitement ou des Données à caractère personnel du prestataire que ServiceChannel est tenue de conserver en vertu du droit applicable ; ou

(ii)         les Données à caractère personnel du prestataire archivées sur des systèmes de sauvegarde, que ServiceChannel doit isoler et protéger en toute sécurité de tout Traitement ultérieur, hormis dans la mesure imposée par ladite loi jusqu’à ce que l’effacement soit possible.

11.         Audit

11.1       Le Prestataire peut, dans la mesure où ServiceChannel agit en tant que Sous-traitant, vérifier la conformité de ServiceChannel au présent CTD. Les parties conviennent que tous ces audits seront menés :

(a)         pas plus d’une fois par an, sauf si des audits plus fréquents sont imposés dans un souci de conformité aux Lois sur la protection des données ou si une autorité de contrôle compétente sur le Traitement des Données à caractère personnel du prestataire l’impose ;

(b)         moyennant un préavis écrit de deux semaines adressé à ServiceChannel ;

(c)         uniquement pendant les heures ouvrables habituelles de ServiceChannel ; et

(d)         d’une manière qui ne perturbe pas substantiellement les affaires ou activités de ServiceChannel.

11.2       En ce qui concerne les audits effectués en vertu de l’article 10.1 :

(a)         le Prestataire pourra engager un auditeur tiers pour mener l’audit en son nom, sauf que ServiceChannel pourra raisonnablement s’opposer à l’engagement de l’auditeur tiers si ledit auditeur tiers est un concurrent de ServiceChannel ;

(b)         ServiceChannel ne sera pas tenue de faciliter ou d’aider à un audit, sauf si et jusqu’à ce que les parties aient convenu par écrit de la portée et du calendrier de cet audit et des taux de remboursement en vertu de l’article 0.

11.3       Le Prestataire devra rembourser ServiceChannel au titre de tout temps passé pour un tel audit selon les proportions convenues par les parties. Avant le début d’un tel audit, le Prestataire et ServiceChannel devront convenir mutuellement du périmètre, du calendrier et de la durée de l’audit en plus de la part de remboursement que le Prestataire devra supporter. Toutes les proportions de remboursement doivent être raisonnables, en tenant compte des ressources dépensées par ServiceChannel. Le Prestataire devra informer dans les meilleurs délais ServiceChannel des informations concernant tout défaut de conformité constaté à l’occasion d’un audit.

11.4       Le Prestataire reconnaît que ServiceChannel est régulièrement soumise à audit par des auditeurs tiers indépendants par rapport à la norme SSAE 18 SOC 1. ServiceChannel devra fournir au Prestataire sur demande, ou pourra fournir au Prestataire en réponse à toute demande d’audit, une copie résumée de son ou ses rapports d’audit au Prestataire, qui seront soumis aux dispositions de confidentialité du Contrat. Si un audit demandé par le Prestataire est traité dans le rapport d’audit remis par ServiceChannel, le Prestataire accepte ledit rapport au lieu de mener un audit physique des contrôles couverts par le rapport concerné.

12.         Limitation de responsabilité

Le présent CTD est soumis aux limitations et exclusions de responsabilité du Contrat.

13.         Parties au présent Contrat

Sauf indication contraire stipulée dans les Clauses contractuelles types, rien dans le présent CTD ne confère d’avantages ou de droits à toute personne ou entité autre que les parties au présent CTD.

14.         Effet juridique

Le présent CTD complète et fait partie du Contrat.

15.         Généralités

15.1       À l’exception des Clauses contractuelles types intégrées au présent CTD, le présent CTD sera régi et interprété à tous égards conformément au droit applicable et aux dispositions du pays indiqué dans le Contrat, à condition qu’en cas de conflit entre le Contrat et le CTD en ce qui concerne le traitement des Données à caractère personnel, le présent CTD prévale.

15.2       Le présent Contrat peut être signé en plusieurs exemplaires, chacun d’entre eux étant un original et tous attestant du même accord entre les parties.

15.3       Sauf disposition contraire du présent CTD, le Contrat demeurera pleinement applicable et produira tous ses effets.

 ANNEXE I

A.  LISTE DES PARTIES

	Nom	Adresse	Nom, fonction et coordonnées de la personne de contact	Activités en rapport avec les données transférées	Rôle
Exportateur de données	Prestataire (tel que fourni lors de l’inscription aux Services)	Comme prévu lors de l’inscription aux Services	Comme prévu lors de l’inscription aux Services	Réception des Services	Responsable du traitement
Importateur de données	ServiceChannel.com, Inc.	30 Patewood Dr Building 2, Suite 350, Greenville, SC 29615, États-Unis	Brian Chase, Directeur juridique, [email protected]	Fourniture des Services	Sous-traitant (de données)

B.  DESCRIPTION DU TRANSFERT

Personnes concernées	Catégories de données à caractère personnel	Données à caractère personnel sensibles	Fréquence de transfert	Nature et finalité du traitement
Utilisateurs finaux du prestataire	Nom, adresse e-mail, rôle chez le Prestataire, accréditations.	Aucune	Continu	Accorder l’accès aux Services aux Utilisateurs finaux.
Utilisateurs finaux du Prestataire	Nom, numéro de téléphone, services de gestion des installations à fournir.	Aucune	Continu	Faciliter le contact entre les Utilisateurs finaux et les Clients pour l’exécution des Contrats d’achat.
Utilisateurs finaux du Prestataire	Nom, géolocalisation précise, heure d’arrivée, heure de départ.	Aucune	Continu	Fournir des informations au Client concernant la fourniture de services de gestion des installations en vertu d’un Contrat d’achat.
Utilisateurs finaux du Prestataire	Nom, services de gestion des installations fournis par l’Utilisateur final, date et lieu des services fournis.	Aucune	Continu	Faciliter le calcul des montants exigibles en vertu du Contrat d’achat.
Utilisateurs finaux du Prestataire Utilisateurs autorisés des Clients demandant des services de gestion des installations	Nom, services de gestion des installations fournis par l’Utilisateur final, date et lieu des services fournis.	Aucune	Continu	Soumission des factures en vertu des Contrats d’achat au client.
Utilisateurs finaux du Prestataire Utilisateurs autorisés des Clients demandant des services de gestion des installations	Nom, services de gestion des installations fournis par l’Utilisateur final, date et lieu des services fournis.	Aucune	Continu	Tenir à jour les registres de transactions des services fournis par le Prestataire en vertu des Contrats d’achat.
Utilisateurs finaux du Prestataire	Nom, services de gestion des installations fournis par l’Utilisateur final, date et lieu des services fournis, géolocalisation précise.	Aucune	Continu	Faciliter la gestion des Utilisateurs finaux du Prestataire, y compris la planification et la dotation en personnel.
Points de contact clés chez le Prestataire	Nom, adresse e-mail, numéro de téléphone.	Aucune	Continu	Promouvoir les services du Prestataire via le Catalogue.
Utilisateurs finaux du Prestataire	Demandes d’assistance soumises par l’Utilisateur final.	Aucune	Continu	Fournir une assistance technique.
Utilisateurs finaux du Prestataire	Données de connexion relatives à l’utilisation des Services par l’Utilisateur final.	Aucune	Continu	Fournir un accès aux Services.

Conservation

La durée du traitement sera la même que la durée de la prestation de services en vertu du CCS.

Sous-traitants ultérieurs

Tel que décrit sur https://bit.ly/SC_Subprocessors

C.  AUTORITÉ DE CONTRÔLE COMPÉTENTE

Commissaire irlandais à la protection des données

ANNEXE II

Mesures de sécurité

ServiceChannel demeurera à tout moment responsable des mesures suivantes de sécurité de transfert raisonnables sur le plan commercial :

MESURES DE SÉCURITÉ DES TRANSFERTS	MESURES MISES EN ŒUVRE
Mesures de pseudonymisation et de chiffrement des Données à caractère personnel	Pseudonymisation ·    masquage des caractères ·    permutation ·    k-anonymat Chiffrement ·    Chiffrement HTTPS pour les données en transit (à l’aide de TLS 1.2 ou supérieur) sur chaque interface de connexion, à l’aide d’algorithmes et de certificats standard du secteur. ·    Chiffrement des données au repos à l’aide de l’algorithme AES-256 standard du secteur
Mesures visant à garantir la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement	Confidentialité ·    Réseau privé virtuel (VPN) ·    Authentification multifacteur (AMF) ·    Système de droits différenciés basé sur des groupes de sécurité et des listes de contrôle d’accès. ·    Transmission sécurisée des informations d’identification à l’aide de TLS 1.2 (ou supérieur) ·    Les mots de passe nécessitent une complexité minimale définie. Les mots de passe initiaux doivent être modifiés après la première connexion. ·    Verrouillage automatique du compte ·    Directives pour le traitement des mots de passe ·    Contrôles d’accès à l’infrastructure hébergée par le fournisseur de services cloud ·    Gestion des droits d’accès y compris concept d’autorisation, mise en œuvre des restrictions d’accès, mise en œuvre du principe du « besoin de savoir », gestion des droits d’accès individuels. ·    Accords de formation et de confidentialité pour le personnel interne et le personnel externe ·    Séparation du réseau ·    Séparation des responsabilités et des devoirs ·    Restreindre l’accès aux Données à caractère personnel aux parties impliquées dans le Traitement conformément au principe du « besoin de savoir » et à la fonction qui sous-tend la création de profils d’accès différenciés. Intégrité ·    Interconnexions réseau sécurisées assurées par des pares-feux, etc. ·    Consignation des transmissions de données à partir du système informatique qui stocke ou traite des Données à caractère personnel ·    Authentification de journalisation et accès au système logique surveillé ·    Enregistrement de l’accès aux Données à caractère personnel, y compris, sans s’y limiter, l’accès, la modification, la saisie et la suppression des Données à caractère personnel ·    Documentation des droits d’entrée de Données à caractère personnel et des entrées liées à la sécurité de journalisation ·    Pare-feu d’application Web (WAF) Disponibilité et résilience ·    Les Données à caractère personnel du prestataire sont sauvegardées dans plusieurs magasins de données durables et répliquées dans plusieurs zones de disponibilité. ·    Protection des supports de sauvegarde stockés
Mesures visant à garantir la capacité à restaurer la disponibilité et l’accès aux Données à caractère personnel en temps opportun en cas d’incident physique ou technique	·    Planification de la continuité et plan de reprise après sinistre ·    Processus de reprise après sinistre pour restaurer les données et les processus ·    Objectif de temps de reprise (RTO) ·    Objectif du point de reprise (RPO) ·    Temps d’arrêt maximum tolérable (MTD) ·    Mesures de gestion des capacités pour surveiller la consommation des ressources des systèmes ainsi que la planification des besoins futurs en ressources. ·    Procédures de gestion et de signalement des incidents (gestion des incidents), y compris la détection et la réaction aux incidents de sécurité potentiels. ·    Les données de production sont sauvegardées toutes les heures sous forme incrémentielle et quotidiennement sous forme de sauvegarde complète. Toutes les sauvegardes sont conservées de manière redondante et sous forme chiffrée (AES-256).
Processus pour tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin d’assurer la sécurité du Traitement	·    Test des équipements d’urgence ·    Documentation des interfaces et des champs de Données à caractère personnel ·    Audits internes et externes ·    Contrôles de sécurité (par ex. tests de pénétration) effectués par des parties externes ·    Audits SOC 1 et 2 ·    Analyse comparative et tests réguliers conformes aux normes du secteur, par ex. contrôles SANS Top 20 pour la sécurité Internet, directives NIST, etc.
Mesures d’identification et d’autorisation des utilisateurs	·    Interconnexions réseau sécurisées assurées par VPN, MFA, pare-feu, etc. ·    Consignation des transmissions de données à partir du système informatique qui stocke ou traite des données à caractère personnel ·    Authentification de journalisation et accès au système surveillé ·    L’accès aux données nécessaires à l’exécution de la tâche particulière est assuré au sein des systèmes et applications par un rôle correspondant et un concept d’autorisation conformément au principe du « besoin de savoir ». ·    Pare-feu d’application Web (WAF)
Mesures de protection des Données à caractère personnel pendant la transmission	·    Accès à distance au réseau via tunnel VPN et chiffrement de bout en bout ·    Chiffrement HTTPS pour les données en transit (à l’aide de TLS 1.2 ou supérieur)
Mesures de protection des Données à caractère personnel pendant le stockage	·    Entrées système enregistrées via les fichiers journaux ·    Listes de contrôle d’accès (ACL) ·    Authentification multifacteur (AMF)
Mesures visant à assurer la sécurité physique des lieux où les Données à caractère personnel sont traitées	·    Subdivision de l’installation en zones individuelles avec différentes autorisations d’accès ; ·    Protection physique de l’accès (par ex. portes en acier, salles sans fenêtre ou fenêtres sécurisées) ; ·    Système de contrôle d’accès électronique pour protéger les zones de sécurité ; ·    Surveillance de l’installation par des services de sécurité et journalisation des accès à l’installation ; ·    Surveillance vidéo de toutes les zones de sécurité pertinentes pour la sécurité, telles que les entrées, les sorties de secours et les salles de serveurs ; ·    Cession centrale et révocation des autorisations d’accès ; ·    Identification de tous les visiteurs par vérification de leur carte d’identité et enregistrement (un journal des visiteurs est tenu) ; ·    Identification obligatoire dans les zones de sécurité pour tous les employés et visiteurs ; ·    Les visiteurs doivent être accompagnés par les employés à tout moment.
Mesures pour assurer l’enregistrement des événements	·    Enregistrement à distance ·    Chaîne de hachage ·    Réplication ·    Système central de gestion des événements et des informations de sécurité (SIEM)
Mesures pour assurer la configuration du système, y compris la configuration par défaut	·    Politique et procédures de contrôle d’accès ·    Identification de la configuration de référence ·    Planification et gestion de la configuration ·    Gestion des changements de configuration ·    Comptabilité de l’état de configuration ·    Vérification de la configuration et audits ·    Gestion des appareils mobiles
Mesures pour la gouvernance et la gestion internes de l’informatique et de la sécurité informatique	·    Personne dédiée et identifiée pour superviser le programme de sécurité et de conformité des informations de la société ·    Audit SOC 1 et 2
Mesures de certification/assurance des processus et des produits	·    Certifications de sécurité de l’information ou de gestion de la qualité telles que SSAE 18 Type 2 SOC 1 et SSAE18 Type 2 SOC2
Mesures pour garantir la minimisation des Données à caractère personnel	·    Obstacles technologiques à la liaison non autorisée de sources de Données à caractère personnel indépendantes. ·    Limitation du niveau de détail utilisé dans le traitement des Données à caractère personnel : par exemple, par le biais de techniques telles que le k-anonymat et l’obscurcissement. ·    Suppression des métadonnées générées au cours de certains processus qui ne sont pas nécessaires pour l’objectif poursuivi.
Mesures pour assurer la qualité des Données à caractère personnel	·    Processus d’exercice des droits à la protection des données (droit de modifier et de mettre à jour les informations) ·    Documentation claire des exigences pour toutes les conditions et tous les scénarios de Données à caractère personnel ·    Restreindre l’accès aux Données à caractère personnel aux parties impliquées dans le Traitement conformément au principe du « besoin de savoir » et à la fonction qui sous-tend la création de profils d’accès différenciés. Profilage et contrôle rigoureux des Données à caractère personnel entrantes ·    Conception du pipeline de données pour éviter les doublons de données ·    Équipe assurance qualité ·    Application de l’intégrité des données
Mesures pour assurer une conservation limitée des Données à caractère personnel	·    L’existence de calendriers et de politiques de conservation clairs ·    Test d’efficacité
Mesures pour assurer la responsabilité	·    Attribuer la responsabilité de garantir la confidentialité de l’utilisateur final tout au long du cycle de vie du produit et par le biais des processus commerciaux applicables. ·    Les analyses d’impact relatives à la protection des données font partie intégrante de toute nouvelle initiative de traitement. ·    Documenter toutes les décisions qui sont adoptées au sein de l’organisation dans une perspective de « réflexion sur la conception de la vie privée ».
Mesures pour permettre la portabilité des Données à caractère personnel et assurer l’effacement	·    Processus documentés en lien avec l’exercice par les utilisateurs de leurs droits à la vie privée (par ex. droit à l’effacement ou droit à la portabilité des données) ·    Utilisation de formats ouverts tels que CSV, XML ou JSON.
Restrictions ou garanties appliquées pour les données sensibles (le cas échéant)	·    Le chiffrement ou le hachage de données de catégorie particulière, bien que n’étant pas une exigence légale explicite, doit être la norme

EXHIBIT I – STANDARD CONTRACTUAL CLAUSES

(Le libellé des clauses contractuelles types (CCT) figurant dans le présent document est celui établi par l’ANPD (Résolution n° 19/2024) et ne peut donc faire l’objet d’aucune modification ni négociation entre les parties. ServiceChannel fournit les CCT uniquement dans leurs versions officielles publiées par l’ANPD, à savoir le texte original en portugais et sa traduction anglaise. Conformément aux usages du secteur, nous proposons un lien vers la version portugaise officielle et nous nous basons exclusivement sur la traduction anglaise de l’ANPD. Afin de préserver leur sens juridique et l’esprit de l’intention du législateur tels qu’adoptés par l’ANPD, nous ne traduisons pas les CCT dans d’autres langues.)

SECTION I – GENERAL INFORMATION

CLAUSE 1. PARTIES’ IDENTIFICATION

1.1. Under this contractual deed, the Parties identified in the Data Processing Agreement, acting either as Exporter or Importer, agree to adopt the standard contractual clauses (hereinafter, Clauses) approved by the Brazilian National Data Protection Authority (ANPD), to govern International Data Transfers, as described in CLAUSE 2, according to the Brazilian Legislation.

CLAUSE 2. SUBJECT

2.1. These Clauses shall apply to all International Data Transfers by the Exporter to the Importer. The main purposes of the transfer, the categories of the personal data transferred, the retention period, and other information concerning the transfer are described in the Data Processing Agreement.

CLAUSE 3. SUBSEQUENT TRANSFERS

3.1. The Importer may carry out Onward Transfers of the Personal Data subject to the International Data Transfer governed by these Clauses under the conditions described below and provided that the provisions of CLAUSE 18 are observed.

CLAUSE 4. PARTIES’ RESPONSIBILITIES

4.1. Without prejudice to the duty to provide mutual assistance or to the Parties’ general obligations, it will be incumbent upon the Designated Party as established below, in its capacity as Controller, to carry out the following obligations as set out in these Clauses:

a)   Party responsible for publishing the document referenced in CLAUSE 14;

(X) Exporter ( ) Importer

b)   Party responsible for responding to requests by the data subjects as referenced in CLAUSE 15:

(X) Exporter ( ) Importer

c)   Party responsible for communicating a security incident as described in CLAUSE 16:

(X) Exporter ( ) Importer

4.2. For the purposes of these Clauses, if it is subsequently determined that the Designated Party, as established in item 4.1., works as a Processor, the Controller will remain responsible:

a)   for the execution of the obligations established in Sections 14, 15, and 16, and in any other provisions of the Brazilian Legislation, especially if the Designated Party neglects or fails to perform its obligations;

b)   for the compliance with all ANPD requirements; and

c)   for the assurance of the Data Subjects’ rights and the compensation of any damages caused, subject to the terms of CLAUSE 17.

4.3. If the Exporter is deemed to be the Controller, as referenced in item 4.2, it will be incumbent upon the Exporter to carry out the obligations established in CLAUSES 14, 15, and 16.

4.4. Except as provided in items 4.2. and 4.3, the provisions of CLAUSES 14, 15, and 16 shall not apply to the Parties in their capacities as Processors.

4.5. Under any circumstance, the Parties shall furnish all the information available to them, which are seemingly necessary to allow the Third-Party Controller to adhere to ANPD requirements and to properly perform the obligations established under the Brazilian Legislation concerning transparency, the assurance of the rights of data subjects, and the communication of security incidents to the ANPD.

4.6. The Parties shall mutually assist each other in responding to any requests by the Data Subjects.

4.7. If a request is received from a Data Subject, the applicable Party shall:

a)   respond to the request, when it possesses the information needed to do so;

b)   inform the Data Subject of the service channel provided by the Third-Party Controller; or

c)   forward the request to the Third-Party Controller as soon as possible, to enable a response within the timeframe established under the Brazilian Legislation.

4.8. The Parties shall keep a record of security incidents involving personal data, according to the terms of the Brazilian Legislation.

SECTION II – MANDATORY CLAUSES

CLAUSE 5. Purpose

5.1. These Clauses are presented as a mechanism to enable the secure international flow of personal data, establish minimum guarantees and valid conditions for carrying out the International Data Transfer and aim to guarantee the adoption of adequate safeguards for compliance with the principles, the rights of the Data Subject and the data protection regime provided for in National Legislation.

CLAUSE 6. Definitions

6.1. For the purposes of these Clauses, the definitions in art. 5 of LGPD, and art. 3 of the Regulation on the International Transfer of Personal Data shall be considered, without prejudice to other normative acts issued by ANPD. The Parties also agree to consider the terms and their respective meanings as set out below:

a)   Processing agents: the controller and the processor;

b)   ANPD: National Data Protection Authority;

c)   Clauses: the standard contractual clauses approved by ANPD, which are part of SECTIONS I, II and III;

d)   Related Contract: contractual instrument signed between the Parties or, at least, between one of them and a third-party, including a Third-Party Controller, which has a common purpose, link or dependency relationship with the contract that governs the International Data Transfer;

e)   Controller: Party or third-party (“Third Controller”) responsible for decisions regarding the processing of Personal Data;

f)    Personal Data: information related to an identified or identifiable natural person;

g)   Sensitive Personal Data: personal data on racial or ethnic origin, religious belief, political opinion, affiliation to trade unions or to a religious, philosophical or political organization, data regarding health or sexual life, genetic or biometric data, whenever related to a natural person;

h)   Erasure: exclusion of data or dataset from a database, regardless of the procedure used;

i)    Exporter: processing agent, located in the national territory or in a foreign country, who transfers personal data to the Importer;

j)    Importer: processing agent, located in a foreign country, who receives personal data from the Exporter;

k)   National Legislation: set of Brazilian constitutional, legal and regulatory provisions regarding the protection of Personal Data, including the LGPD, the International Data Transfer Regulation and other normative acts issued by ANPD;

l)    Arbitration Law: Law No. 9,307, of September 23, 1996;

m)  Security Measures: technical and administrative measures able to protect Personal Data from unauthorized access and from accidental or unlawful events of destruction, loss, alteration, communication or dissemination;

n)   Research Body: body or entity of the government bodies or associated entities or a non-profit private legal entity legally established under Brazilian laws, having their headquarter and jurisdiction in the Brazilian territory, which includes basic or applied research of historical, scientific, technological or statistical nature in its institutional mission or in its corporate or statutory purposes;

o)   Processor: Party or third-party, including a Sub-processor, which processes Personal Data on behalf of the Controller;

p)   Designated Party: Party or a Third-Party Controller, under the terms of CLAUSE 4, designated to fulfill specific obligations regarding transparency, Data Subjects’ rights and notifying security incidents;

q)   Parties: Exporter and Importer;

r)    Access Request: request for mandatory compliance, by force of law, regulation or determination of public authority, to grant access to the Personal Data subject to the International Data Transfer governed by these Clauses;

s)   Sub-processor: processing agent hired by the Importer, with no link with the Exporter, to process Personal Data after an International Data Transfer;

t)    Third-Party Controller: Personal Data Controller who authorizes and provides written instructions for the carrying out of the International Data Transfer between Processors governed by these Clauses, on his behalf, pursuant to CLAUSE 4 (“Option B”);

u)   Data Subject: natural person to whom the Personal Data which are subject to the International Data Transfer governed by these Clauses relate;

v)   Transfer: processing modality through which a processing agent transmits, shares or provides access to Personal Data to another processing agent;

w)  International Data Transfer: transfer of Personal Data to a foreign country or to an international organization which Brazil is a member of; and

x)   Onward Transfer: transfer of Personal Data, within the same country or to another country, by an Importer to a third-party, including a Sub-processor, provided that it does not constitute an Access Request.

CLAUSE 7. Applicable legislation and ANPD supervision

7.1. The International Data Transfer subject to these Clauses shall subject to the National Legislation and to the supervision of ANPD, including the power to apply preventive measures and administrative sanctions to both Parties, as appropriate, as well as the power to limit, suspend or prohibit the international transfers arising from this agreement or a Related Contract.

CLAUSE 8. Interpretation

8.1. Any application of these Clauses shall occur in accordance with the following terms:

a)   these Clauses shall always be interpreted more favorably to the Data Subject and in accordance with the provisions of the National Legislation;

b)   in case of doubt about the meaning of any term in these Clauses, the meaning which is most in line with the National Legislation shall apply;

c)   no item in these Clauses, including a Related Agreement and the provisions set forth in SECTION IV, shall be interpreted as limiting or excluding the liability of any of the Parties in relation to obligations set forth in the National Legislation; and

d)   provisions of SECTIONS I and II shall prevail in case of conflict of interpretation with additional clauses and other provisions set forth in SECTIONS III and IV of this agreement or in Related Agreements.

CLAUSE 9. Docking Clause

9.1. By mutual agreement between the Parties, it shall be possible for a processing agent to adhere to these Clauses, either as a Data Exporter or as a Data Importer, by completing and signing a written document, which shall form part of this contract.

9.2. The acceding party shall have the same rights and obligations as the originating parties, according to the position assumed of Exporter or Importer and according to the corresponding category of treatment agent.

CLAUSE 10. General obligations of the Parties

10.1. The Parties undertake to adopt and, when necessary, demonstrate the implementation of effective measures capable of demonstrating observance of and compliance with the provisions of these Clauses and the National Legislation, as well as with the effectiveness of such measures and, in particular:

a)   use the Personal Data only for the specific purposes described in CLAUSE 2, with no possibility of subsequent processing incompatible with such purposes, subject to the limitations, guarantees and safeguards provided for in these Clauses;

b)   guarantee the compatibility of the processing with the purposes informed to the Data Subject, according to the processing activity context;

c)   limit the processing activity to the minimum required for the accomplishment of its purposes, encompassing pertinent, proportional and non- excessive data in relation to the Personal Data processing purposes;

d)   guarantee to the Data Subjects, subject to the provisions of CLAUSE 4:

(d.1.) clear, accurate and easily accessible information on the processing activities and the respective processing agents, with due regard for trade and industrial secrecy;

(d.2.) facilitated and free of charge consultation on the form and duration of the processing, as well as on the integrity of their Personal Data; and

(d.3.) accuracy, clarity, relevance and updating of the Personal Data, according to the necessity and for compliance with the purpose of their processing;

e)   adopt the appropriate security measures compatible with the risks involved in the International Data Transfer governed by these Clauses;

f)    not to process Personal Data for abusive or unlawful discriminatory purposes;

g)   ensure that any person acting under their authority, including sub-processors or any agent who collaborates with them, whether for reward or free of charge, only processes data in compliance with their instructions and with the provisions of these Clauses;

h)   keep a record of the Personal Data processing operations of the International Data Transfer governed by these Clauses, and submit the relevant documentation to ANPD, when requested.

CLAUSE 11. Sensitive personal data

11.1. If the International Data Transfer involves Sensitive Personal Data, the Parties shall apply additional safeguards, including specific Security Measures which are proportional to the risks of the processing activity, to the specific nature of the data and to the interests, rights and guarantees to be protected, as described in SECTION III.

CLAUSE 12. Personal data of children and adolescents

12.1. In case the International Data Transfer governed by these Clauses involves Personal Data concerning children and adolescents, the Parties shall implement measures to ensure that the processing is carried out in their best interest, under the terms of the National Legislation and relevant instruments of international law.

CLAUSE 13. Legal use of data

13.1. The Exporter guarantees that Personal Data has been collected, processed and transferred to the Importer in accordance with the National Legislation.

CLAUSE 14. Transparency

14.1. The Designated Party shall publish, on its website, a document containing easily accessible information written in simple, clear and accurate language on the conduction of the International Data Transfer, including at least information on:

a)   the form, duration and specific purpose of the international transfer;

b)   the destination country of the transferred data;

c)   the Designated Party’s identification and contact details;

d)   the shared use of data by the Parties and its purpose;

e)   the responsibilities of the agents who shall conduct the processing;

f)    the Data Subject’s rights and the means for exercising them, including an easily accessible channel made available to respond to their requests, and the right to file a petition against the Exporter and the Importer before ANPD; and

g)   Onward Transfers, including those relating to recipients and to the purpose of such transfer.

14.2. The document referred to in item 14.1. shall be made available on a specific website page or integrated, in a prominent and easily accessible format, to the Privacy Policy or equivalent document.

14.3. Upon request, the Parties shall make a copy of these Clauses available to the Data Subject free of charge, complying with trade and industrial secrecy.

14.4. All information made available to Data Subjects, under the terms of these Clauses, shall be written in Portuguese.

CLAUSE 15. Rights of the data subject

15.1. The Data subject shall have the right to obtain from the Designated Party, as regards the Personal Data subject to the International Data Transfer governed by these Clauses, at any time, and upon request, under the terms of the National Legislation:

a)   confirmation of the existence of processing;

b)   access to data;

c)   correction of incomplete, inaccurate or outdated data;

d)   anonymization, blocking or erasure of unnecessary or excessive data or data processed in noncompliance with these Clauses and the provisions of National Legislation;

e)   portability of data to another service or product provider, upon express request, in accordance with ANPD regulations, complying with trade and industrial secrecy;

f)    erasure of Personal Data processed under the Data Subject’s consent, except for the events provided in CLAUSE 20;

g)   information on public and private entities with which the Parties have shared data;

h)   information on the possibility of denying consent and on the consequences of the denial;

i)    withdrawal of consent through a free of charge and facilitated procedure, remaining ratified the processing activities carried out before the request for elimination;

j)    review of decisions taken solely on the basis of automated processing of personal data affecting their interests, including decisions aimed at defining their personal, professional, consumer and credit profile or aspects of their personality; and

k)   information on the criteria and procedures adopted for the automated decision.

15.2. Data subject may oppose to the processing based on one of the events of waiver of consent, in case of noncompliance with the provisions of these Clauses or National Legislation.

15.3. The deadline for responding to the requests provided for in this Clause and in item 14.3 is 15 (fifteen) days from the date of the data subject’s request, except in the event of a different deadline established in specific ANPD regulations.

15.4. In case the Data Subject’s request is directed to the Party not designated as responsible for the obligations set forth in this Clause or in item 14.3., the referred Party shall: a) inform the Data Subject of the service channel made available by the Designated Party; or b) forward the request to the Designated Party as early as possible, to enable the response within the period provided in item 15.2.

15.5. The Parties shall immediately inform the Data Processing Agents with whom they have shared data with the correction, deletion, anonymization or blocking of the data, for them to follow the same procedure, except in cases where this communication is demonstrably impossible or involves a disproportionate effort.

15.6. The Parties shall promote mutual assistance to respond to the Data Subjects’ requests.

CLAUSE 16. Security Incident Reporting

16.1. The Designated Party shall notify ANPD and the Data Subject, within 3 (three) working days of the occurrence of a security incident that may entail a relevant risk or damage to the Data Subjects, according to the provisions of National Legislation.

16.2. The Importer must keep a record of security incidents in accordance with National Legislation.

CLAUSE 17. Liability and compensation for damages

17.1. The Party which, when performing Personal Data processing activities, causes patrimonial, moral, individual or collective damage, for violating the provisions of these Clauses and of the National Legislation, shall compensate for it.

17.2. Data Subject may claim compensation for damage caused by any of the Parties as a result of a breach of these Clauses.

17.3. The defense of Data Subjects’ interests and rights may be claimed in court, individually or collectively, in accordance with the provisions in relevant legislation regarding the instruments of individual and collective protection.

17.4. The Party acting as Processor shall be jointly and severally liable for damages caused by the processing activities when it fails to comply with these Clauses or when it has not followed the lawful instructions of the Controller, except for the provisions of item 17.6.

17.5. The Controllers directly involved in the processing activities which resulted in damage to the Data Subject shall be jointly and severally liable for these damages, except for the provisions of item 17.6.

17.6. Parties shall not be held liable if they have proven that: a) they have not carried out the processing of Personal Data attributed to them; b) although they did carry out the processing of Personal Data attributed to them, there was no violation of these Clauses or National Legislation; or c) the damage results from the sole fault of the Data Subject or of a third party which is not a recipient of the Onward Transfer or not subcontracted by the Parties.

17.7. Under the terms of the National Legislation, the judge may reverse the burden of proof in favor of the Data Subject whenever, in his judgement, the allegation is credible, there is a lack of sufficient evidence or when the Data Subject would be excessively burdened by the production of evidence.

17.8. Judicial proceedings for compensation for collective damages which intend to establish liability under the terms of this Clause may be collectively conducted in court, with due regard for the provisions in relevant legislation.

17.9. The Party which compensates the damage to the Data Subject shall have a right of recourse against the other responsible parties, to the extent of their participation in the damaging event.

CLAUSE 18. Safeguards for Onward Transfers

18.1. The Importer shall only carry out Onward Transfers of Personal Data subject to the International Data Transfer governed by these Clauses if expressly authorized, in accordance with the terms and conditions described in CLAUSE 3.

18.2. In any case, the Importer:

a)   shall ensure that the purpose of the Onward Transfer is compatible with the specific purposes described in CLAUSE 2;

b)   shall guarantee, by means of a written contractual instrument, that the safeguards provided in these Clauses shall be ensured by the third-party recipient of the Onward Transfer; and

c)   for the purposes of these Clauses, and regarding the Personal Data transferred, shall be considered responsible for any eventual irregularities committed by the third-party recipient of the Onward Transfer.

18.3. The Onward Transfer shall also be carried out based on another valid modality of International Data Transfer provided in National Legislation, regardless of the authorization referred to in CLAUSE 3.

CLAUSE 19. Access Request Notification

19.1. The Importer shall notify the Exporter and the Data Subject of any Access Request related to the Personal Data subject to the International Data Transfer governed by these Clauses, except in the event that notification is prohibited by the law of the country in which the data is processed.

19.2. The Importer shall implement the appropriate legal measures, including legal actions, to protect the rights of the Data Subjects whenever there is adequate legal basis to question the legality of the Access Request and, if applicable, the prohibition of issuing the notification referred to in item 19.1.

19.3. To comply with both the ANPD’s and the Exporter’s requests, the Importer shall keep a record of Access Requests, including date, requester, purpose of the request, type of data requested, number of requests received, and legal measures implemented.

CLAUSE 20. Termination of processing and erasure of data

20.1. Parties shall erase the personal data subject to the International Data Transfer governed by these Clauses after the ending of their processing, being their storage authorized only for the following purposes:

a)   compliance with a legal or regulatory obligation by the Controller;

b)   study by a Research Body, guaranteeing, whenever possible, the anonymization of personal data;

c)   transfer to a third-party, upon compliance with requirements set forth in these Clauses and in the National Legislation; and

d)   exclusive use of the Controller, being the access by a third-party prohibited, and provided data have been anonymized.

20.2. For the purposes of this Clause, processing of personal data shall cease when:

a)   the purpose set forth in these Clauses has been achieved;

b)   Personal Data are no longer necessary or pertinent to attain the intended specific purpose set forth in these Clauses;

c)   at the termination of the treatment period;

d)   Data Subject’s request is met; and

e)   at the order of ANPD, upon violation of the provisions of these Clauses or National Legislation.

CLAUSE 21. Data processing security

21.1. Parties shall implement Security Measures which guarantee sufficient protection of the Personal Data subject to the International Data Transfer governed by these Clauses, even after its termination.

21.2. Parties shall inform, in SECTION III, the Security Measures implemented, considering the nature of the processed information, the specific characteristics and the purpose of the processing, the technology current state and the probability and severity of the risks to the Data Subjects’ rights, especially in the case of sensitive personal data and that of children and adolescents. 

21.3. The Parties shall make the necessary efforts to implement periodic evaluation and review measures to maintain the appropriate level of data security.

CLAUSE 22. Legislation of country of destination

22.1. The Importer declares that it has not identified any laws or administrative practices of the country receiving the Personal Data that prevent it from fulfilling the obligations assumed in these Clauses.

22.2. In the event of a regulatory change which alters this situation, the Importer shall immediately notify the Exporter to assess the continuity of the contract.

CLAUSE 23. Non-compliance with the Clauses by the Importer

23.1. In the event of a breach in the safeguards and guarantees provided in these Clauses or being the Importer unable to comply with any of them, the Exporter shall be immediately notified, subject to the provisions in item 19.1.

23.2. Upon receiving the communication referred to in item 23.1 or upon verification of non-compliance with these Clauses by the Importer, the Exporter shall implement the relevant measures to ensure the protection of the Data Subjects’ rights and the compliance of the International Data Transfer with the National Legislation and these Clauses, and may, as appropriate:

a)   suspend the International Data Transfer;

b)   request the return of the Personal Data, its transfer to a third-party, or its erasure; and

c)   terminate the contract.

CLAUSE 24. Choice of forum and jurisdiction

24.1. Brazilian legislation applies to these Clauses and any controversy between the Parties arising from these Clauses shall be resolved before the competent courts in Brazil, observing, if applicable, the forum chosen by the Parties in Section IV.

24.2. Data Subjects may file lawsuits against the Exporter or the Importer, as they choose, before the competent courts in Brazil, including those in their place of residence.

24.3. By mutual agreement, Parties may use arbitration to resolve conflicts arising from these Clauses, provided that the procedure is carried out in Brazil and in accordance with the provisions of the Arbitration Law.

SECTION III – Security Measures

The governance and internal process oversight measures, as well as the technical and administrative security measures to ensure the safety of operations such as data collection, transmission, and storage, are already described in the Data Processing Agreement.

English   Deutsch   Español   Français (France)   中文(简体)   Slovenščina   Italiano   Magyar