Addendum relatif au Traitement de Données
Addendum relatif au Traitement de Données
Le présent Addendum (« DPA ») relatif au Traitement de Données à Caractère Personnel et ses Annexes DPA s'appliquent au traitement par Kyndryl des Données à Caractère Personnel pour le compte du Client (« Données à caractère personnel du Client ») soumises au Règlement Général sur la Protection des Données 2016/679 (RGPD) ou à toute autre loi sur la protection des données identifiée à l'adresse ▇▇▇▇://▇▇▇.▇▇▇▇▇▇▇.▇▇▇/▇▇▇▇▇/▇▇▇ (dénommées collectivement « Lois sur la protection des données ») dans le cadre de la fourniture de services (« Services ») conformément au Contrat entre le Client et Kyndryl. Les Annexes DPA destinées à chaque Service seront fournies dans le Document de Transaction applicable. Le présent DPA fait partie intégrante du Contrat. Les termes commençant par une majuscule utilisés et non définis dans les présentes ont la signification qui leur est donnée dans les Lois sur la protection des données en vigueur. En cas de conflit, l'Annexe DPA prévaut sur le DPA qui prévaut sur le reste du Contrat.
1. Traitement
1.1 Le Client est (a) un Responsable du Traitement des Données à caractère personnel du Client ou (b) intervient en tant que Sous-traitant pour le compte d'autres Responsables du Traitement et a reçu instruction ou a obtenu l'autorisation par le(s) Responsable(s) du Traitement concerné(s) de faire effectuer le traitement des Données à caractère personnel du Client par Kyndryl en tant que sous-traitant ultérieur du Client, comme indiqué dans le présent DPA. Le Client désigne ▇▇▇▇▇▇▇ comme Sous-traitant pour le traitement des Données à caractère personnel. S'il y a d'autres Responsables du Traitement, le Client les identifiera et en informera Kyndryl avant de fournir leurs Données à caractère personnel, conformément à l'Annexe DPA.
1.2 Une liste des catégories de Personne Concernées, des types de Données à caractère personnel du Client, des Catégories particulières de Données à caractère personnel et des opérations de traitement figure dans l'Annexe DPA applicable à un Service. La durée du Traitement correspond à la durée du Service, sauf mention contraire dans l'Annexe DPA. La finalité et l'objet du Traitement sont la fourniture du Service, tel que décrit dans le Contrat.
1.3 ▇▇▇▇▇▇▇ s'engage à traiter les Données à caractère personnel du Client conformément aux instructions documentées de ce dernier. Le cadre des instructions du Client relatives au Traitement de ses Données à caractère personnel est défini par le Contrat et, le cas échéant, l'utilisation et la configuration des fonctionnalités du Service par le Client et les utilisateurs autorisés. Le Client peut donner d'autres instructions légalement obligatoires en lien avec le Traitement des Données à caractère personnel du Client (« Instructions Supplémentaires »), telles que décrites dans l'article
10.2. Si Kyndryl notifie au Client qu'une Instruction supplémentaire n'est pas réalisable, les parties collaboreront pour trouver une alternative. Si Kyndryl notifie au Client que ni l'Instruction supplémentaire, ni une alternative n'est réalisable, le Client peut mettre fin au Service concerné, conformément aux dispositions applicables du Contrat. Si ▇▇▇▇▇▇▇ estime qu'une instruction constitue une violation des Lois sur la protection des données, ▇▇▇▇▇▇▇ en informera immédiatement le Client et pourra interrompre l'exécution de ladite instruction jusqu'à ce que le Client ait modifié ou confirmé par écrit la légalité de l'instruction.
1.4 Le Client agit en tant que point de contact unique pour Kyndryl. Dans la mesure où d'autres Responsables du Traitement peuvent faire valoir des droits directement à l'encontre de ▇▇▇▇▇▇▇, le Client s'engage à exercer ces droits en leur nom et à obtenir toutes les autorisations nécessaires auprès de ces autres Responsables du Traitement. ▇▇▇▇▇▇▇ est libérée de ses obligations d'information ou de notification envers un autre Responsable du Traitement si ▇▇▇▇▇▇▇ s'est acquittée de ses obligations auprès du Client. De la même façon, ▇▇▇▇▇▇▇ est le point de contact unique du Client pour ses obligations en tant que Sous-traitant au titre du présent DPA.
1.5 Kyndryl s'engage à respecter toutes les Lois sur la protection des données qui sont applicables aux Services et à Kyndryl en sa qualité de Sous-traitant. Kyndryl n'est pas responsable de la détermination des dispositions des lois et réglementations applicables aux activités du Client ou du fait qu'un Service réponde à ces lois ou réglementations applicables. Entre les parties, le Client est responsable de la légalité du traitement de ses Données à caractère personnel. Le Client s'interdit d'utiliser les Services combinés à ses Données à caractère personnel d'une manière contraire aux Lois sur la protection des données applicables.
2. Mesures techniques et organisationnelles
2.1 Le Client et Kyndryl conviennent que Kyndryl mettra en place et maintiendra les mesures techniques et organisationnelles décrites dans l'Annexe DPA applicable (les « Mesures techniques et organisationnelles, ou MTO »), qui assurent un niveau de sécurité adapté au risque dans le champ de responsabilité de Kyndryl. Ces Mesures techniques et organisationnelles peuvent évoluer en fonction des progrès techniques. En conséquence, ▇▇▇▇▇▇▇ se réserve le droit de modifier les Mesures techniques et organisationnelles à condition que le fonctionnement et la sécurité des Services ne soient pas dégradés.
3. Droits et Demandes des Personnes Concernées
3.1 ▇▇▇▇▇▇▇ s'engage à informer le Client des demandes émanant des Personne Concernées exerçant leurs droits en lien avec les Données à Caractère Personnel du Client (tels que, sans s'y limiter, leur droit à rectification, suppression et blocage de données à caractère personnel), adressées directement à Kyndryl. Le Client demeure responsable du traitement de ces demandes des Personne Concernées. ▇▇▇▇▇▇▇ s'engage, dans une mesure raisonnable, à assister le Client dans son traitement des demandes d'une Personne Concernée, conformément à l'article 10.2.
3.2 Si une Personne Concernée engage une action directement contre Kyndryl pour violation de ses droits, le Client s'engage à rembourser à Kyndryl tous les coûts, frais, dommages, dépenses ou pertes découlant d'une telle action, dans la mesure où Kyndryl a avisé le Client de l'action et lui a donné la possibilité de coopérer avec ▇▇▇▇▇▇▇ dans le cadre de la défense et du règlement de cette action. Dans les conditions du Contrat, le Client peut demander à Kyndryl des dommages et intérêts pour les préjudices découlant des réclamations d'une Personne Concernée pour violation de ses droits, causée par le non-respect par Kyndryl de ses obligations au titre du présent DPA et de l'Annexe DPA correspondante.
4. Demandes émanant de Tiers et Confidentialité
4.1 ▇▇▇▇▇▇▇ s'engage à ne divulguer les Données à caractère personnel du Client à aucun tiers, sauf si le Client l'y autorise ou si la loi l'exige. Si un gouvernement ou une autorité de contrôle exige l'accès aux Données à caractère personnel du Client, Kyndryl est tenue d'en notifier le Client avant leur divulgation, sauf si cette notification est interdite par la loi.
4.2 Kyndryl exige de son personnel autorisé à traiter les Données à caractère personnel du Client qu'il s'engage à en respecter la confidentialité et qu'il ne les utilise pas pour d'autres finalités que celles définies dans le Contrat, sauf sur instructions du Client ou si la loi applicable l'exige.
5. Audit
5.1 Kyndryl permet la réalisation d'audits, y compris des inspections, par le Client ou par un autre auditeur qu'il a mandaté, et contribue à ces audits, conformément aux procédures suivantes :
a. A la demande écrite du Client, ▇▇▇▇▇▇▇ s'engage à lui fournir, ou à son auditeur mandaté, les certifications et/ou synthèses de rapports d'audit les plus récentes que ▇▇▇▇▇▇▇ a fait réaliser régulièrement pour tester et évaluer l'efficacité des Mesures techniques et organisationnelles, dans les limites prévues par l'Annexe DPA.
b. Kyndryl coopérera de manière raisonnable avec le Client en lui fournissant les informations supplémentaires disponibles concernant les Mesures techniques et organisationnelles, afin d'aider ce dernier à mieux les comprendre.
c. Si des informations supplémentaires sont requises par le Client pour le respect de ses propres obligations d'audit ou de celles d'autres Responsables du Traitement, ou pour répondre à la demande d'une autorité de contrôle compétente, le Client s'engage à informer Kyndryl par écrit afin de lui permettre de fournir de telles informations ou d'y donner accès.
d. Pour autant qu'il ne soit pas possible de satisfaire autrement à un droit d'audit imposé par la loi applicable ou expressément convenu par les Parties, seules les autorités de contrôle compétentes (telle qu’une autorité en charge de surveiller les opérations du Client), le Client ou son auditeur mandaté peuvent effectuer une visite sur site des installations Kyndryl utilisées pour la fourniture du Service, aux heures de travail ouvrées et, sous réserve de perturber le moins possible les activités de Kyndryl, après avoir convenu de la date de la visite, et conformément aux procédures d'audit décrites dans l'Annexe DPA, afin de réduire tout risque pour les autres Clients de Kyndryl.
Tout autre auditeur mandaté par le Client ne doit pas être un compétiteur direct de ▇▇▇▇▇▇▇ en ce qui concerne les Services et doit être tenu à une obligation de confidentialité.
5.2 Chaque partie s'engage à supporter ses propres frais au titre des paragraphes a. et b. de l'article 5.1, à défaut l'article
10.2 est applicable.
6. Restitution ou suppression des Données à Caractère Personnel du Client
6.1 A l'échéance ou résiliation du Contrat, ▇▇▇▇▇▇▇ s'engage à supprimer ou à restituer les Données à caractère personnel du Client en sa possession, comme convenu dans l'Annexe DPA correspondante, sauf disposition contraire de la loi applicable.
7. Sous-traitants ultérieurs
7.1 Le Client autorise l'engagement d'autres Sous-traitants pour traiter les Données à Caractère Personnel du Client (« Sous-traitants ultérieurs »). La liste des Sous-traitants ultérieurs actuels figure dans l'Annexe DPA correspondante. ▇▇▇▇▇▇▇ informera le Client par avance des ajouts ou remplacements de Sous-traitants ultérieurs, conformément à l'Annexe DPA correspondante. Le Client dispose d'un délai de 30 jours à compter de la notification émise par ▇▇▇▇▇▇▇ pour émettre une objection à l'encontre de ces changements qui le placeraient en situation de violation de ses obligations légales applicables. L'objection du Client doit être formulée par écrit et doit inclure ses motifs spécifiques et les alternatives proposées, le cas échéant. Si le Client n'émet pas d'objections dans ledit délai, le Sous-traitant ultérieur concerné peut être chargé de traiter les Données à caractère personnel du Client. Kyndryl impose des obligations de protection de données substantiellement similaires à mais au moins aussi restrictives que celles définies dans le présent DPA, à tout Sous-traitant ultérieur, avant que celui-ci ne démarre le Traitement des Données à caractère personnel du Client.
7.2 Si le Client émet une objection légitime quant à l'ajout d'un Sous-traitant ultérieur et que ▇▇▇▇▇▇▇ ne peut raisonnablement pas accepter cette objection du Client, Kyndryl le notifiera au Client. Le Client est autorisé à mettre
fin aux Services concernés comme indiqué dans le Contrat, sinon les parties coopéreront pour trouver une solution satisfaisante conformément au processus de résolution de litiges.
8. Traitement transfrontalier de Données
8.1 Si les Données à caractère personnel du Client sont transférées dans un pays qui ne fournit pas un niveau de protection adéquat en vertu des Lois sur la protection des données (« Pays non adéquat »), les parties coopéreront pour assurer le respect des Lois sur la protection des données applicables, comme énoncé dans les clauses ci- dessous. Si le Client estime que les mesures indiquées ci-dessous ne sont pas suffisantes pour satisfaire les obligations légales, le Client en informera Kyndryl et les parties collaboreront pour trouver une alternative.
8.2 En concluant ce Contrat :
a. Si Kyndryl est située dans un pays considéré comme adéquat, Kyndryl conclura les Clauses contractuelles types de la Commission européenne (CCT UE), MODULE 3: Transferts de sous-traitant à sous-traitant, avec chaque sous-traitant situé dans un Pays non-adéquat répertorié dans l'Annexe DPA.
b. Si le Client, Kyndryl, ou les deux sont situés dans un Pays non-adéquat, le Client et Kyndryl adhèrent aux CCT UE tels que précisé dans l'Annexe DPA applicable.
c. Si les CCT UE ne sont pas requises car les deux Parties sont situées dans un pays considéré comme adéquat par les Lois sur la protection des Données mais, pendant la prestation de Service, le pays où sont situés Kyndryl ou le Client devient un Pays non adéquat, les CCT UE s'appliqueront.
Les Parties conviennent que le module applicable des Clauses Contractuelles Types de la Commission européenne (CCT UE) sera défini d'après leur rôle en tant que Responsable du Traitement et/ou Sous-traitant en fonction des circonstances, et qu'il leur incombe de définir correctement leur rôle afin de satisfaire aux obligations découlant du module applicable.
8.3 Le Client accepte que les CCT UE mentionnées aux points b) ou c) ci-dessus, y inclus les réclamations susceptibles d'en découler, soient soumises aux dispositions du Contrat, y compris les limitations de responsabilité. En cas de conflit, les CCT UE mentionnées dans b) ou c) prévalent.
8.4 Les parties conviennent que tout importateur de données signant les CCT UE, MODULE 2 : Transferts du Responsable du traitement au Sous-traitant ou MODULE 3 : Transferts du sous-traitant au sous-traitant, en vertu du présent article 8, qui engage avec des sous-traitants ultérieurs, devra adhérer à la Clause 9 (b) des CCT UE.
9. Violation de Données à Caractère Personnel
9.1 ▇▇▇▇▇▇▇ s'engage à notifier au Client toute violation de Données à Caractère Personnel dans le cadre des Services dans les meilleurs délais après en avoir pris connaissance. ▇▇▇▇▇▇▇ s'engage à procéder rapidement à une enquête en cas de violation de Données à Caractère Personnel du Client avérée sur l'infrastructure de Kyndryl ou dans une zone dont ▇▇▇▇▇▇▇ est responsable, et à assister le Client comme indiqué en section 10
10. Assistance
10.1 ▇▇▇▇▇▇▇ s'engage à aider le Client au moyen de mesures techniques et organisationnelles, pour que le Client se conforme à ses obligations vis-à-vis des droits des Personnes Concernées et pour qu'il s'assure de sa conformité à la sécurité du Traitement, à son obligation de notifier et communiquer une violation de Données à Caractère Personnel et à son obligation de procéder à une analyse d'impact relative à la protection des données, notamment la consultation préalable de l'Autorité de Contrôle responsable, le cas échéant, compte tenu de la nature du traitement et des informations à la disposition de Kyndryl.
10.2 Le Client soumettra une demande écrite pour toute aide mentionnée dans le présent DPA. Kyndryl se réserve le droit de facturer au Client un prix raisonnable pour ladite aide ou pour une Instruction Supplémentaire, ce prix devant soit donner lieu à un devis approuvé par les parties, soit être traité dans le cadre de la procédure de gestion des changements définie dans le Contrat. Si le Client n'accepte pas le devis, les parties acceptent de coopérer raisonnablement pour trouver une solution satisfaisante conformément au processus de résolution de litiges.