Cet Addendum de Traitement des Données ("DPA") modifie et fait partie de l'Accord (tel que défini ci-dessous) entre le Fournisseur et vous en tant qu'utilisateur des Services du Fournisseur ("Client"). 

Aux fins de ce DPA, les termes suivants auront la signification suivante :

• "Accord" signifie tout accord entre le Fournisseur et le Client pour les Services, indépendamment d'un titre, tel que "Bon de Commande", "Commande de Vente", "Conditions d'Utilisation", "Conditions de Service", "Accord SaaS" ou "Accord de Services".
• "Responsable du traitement" a la signification définie dans le RGPD.
• "Données du Compte Client et d'Utilisation" signifie les informations concernant le Client que le Client fournit au Fournisseur en lien avec la création et l'administration d'un compte, telles que les prénoms et noms de famille, le nom d'utilisateur, l'adresse e-mail, et les informations de facturation et de paiement des individus associés à un compte. Cela inclut également des informations statistiques ou analytiques liées à l'utilisation du Service par le Client et toute donnée dérivée. 
• "Données Client" signifie les données traitées par le Fournisseur en lien avec la fourniture des Services, comme décrit dans l'Accord, à l'exclusion des Données du Compte Client et d'Utilisation.
• "Données Personnelles du Client" signifie les Données Client, qui consistent en des Données Personnelles.
• "Droit(s) de Protection des Données" signifie toute législation ou réglementation applicable relative au traitement des données personnelles, y compris (a) la California Consumer Privacy Act et ses règlements d'application ; (b) le RGPD (tel que défini ci-dessous) et les lois de protection des données et de confidentialité des États membres de l'Espace Économique Européen ; (c) la Data Protection Act 2018 du Royaume-Uni ("UK RGPD") ; et (d) la Loi fédérale suisse sur la protection des données ("DPA suisse"), chacune telle qu'applicable et modifiée, abrogée, consolidée ou remplacée de temps à autre.
• "Zone Européenne" signifie l'Union Européenne, l'Espace Économique Européen, la Suisse et le Royaume-Uni de Grande-Bretagne et d'Irlande du Nord ("R.-U."). 
• "RGPD" signifie le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement Général sur la Protection des Données).
• "Données Personnelles" signifie toute information relative à une personne physique identifiée ou identifiable que le Fournisseur traite pour le compte du Client en vertu de l'Accord. 
• "Violation de Données Personnelles" signifie une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès aux Données Personnelles de manière accidentelle ou illégale. La Violation de Données Personnelles n'inclut pas les tentatives ou activités infructueuses qui ne compromettent pas la confidentialité, la disponibilité ou l'intégrité des Données Client ou des informations confidentielles, y compris les tentatives de connexion infructueuses, les pings, les analyses de ports, les attaques par déni de service et d'autres incidents similaires.
• "Traiter" ou "Traitement" signifie toute opération ou ensemble d'opérations effectuées sur des données personnelles ou sur des ensembles de données personnelles, que ce soit par des moyens automatisés ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre mise à disposition, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.
• "Transfert Restreint" signifie (a) lorsque le RGPD s'applique, un transfert de Données Personnelles du Client ou de Données du Compte Client et d'Utilisation de l'EEE vers un pays en dehors de l'EEE qui n'est pas soumis à une décision d'adéquation de la Commission Européenne ; (b) lorsque la DPA suisse s'applique, un transfert de Données Personnelles du Client ou de Données du Compte Client et d'Utilisation de la Suisse vers un pays qui n'est pas soumis à une décision d'adéquation du Commissaire fédéral à la protection des données et à l'information suisse ; et (c) lorsque le UK RGPD s'applique, un transfert de Données Personnelles du Client ou de Données du Compte Client et d'Utilisation du R.-U. vers un pays qui n'est pas soumis à des réglementations d'adéquation en vertu de la section 17A de la Loi de protection des données du Royaume-Uni de 2018.
• "Clauses Contractuelles Types" signifie (a) lorsque le RGPD s'applique, les clauses contractuelles types annexées à la Décision d'Exécution 2021/914 de la Commission Européenne du 4 juin 2021 sur les clauses contractuelles types pour le transfert de données personnelles vers des pays tiers conformément au Règlement (UE) 2016/679 du Parlement Européen et du Conseil ("CCT UE") ; (b) lorsque le UK RGPD s'applique, l'Addendum sur le Transfert International de Données aux Clauses Contractuelles Types de la Commission UE émis par le Commissaire à l'information du Royaume-Uni, Version B1.0, en vigueur depuis le 21 mars 2022 ("CCT UK") ; et (c) lorsque la DPA suisse s'applique, les clauses de protection des données types applicables émises, approuvées ou reconnues par le Commissaire fédéral à la protection des données et à l'information suisse (les "CCT suisses"), chacune pouvant être mise à jour de temps à autre.
• "Pays Tiers" signifie les pays qui, comme cela peut être requis par les lois de protection des données applicables, n'ont pas reçu de décision d'adéquation d'une autorité compétente relative aux transferts de données personnelles transfrontaliers, y compris des régulateurs tels que la Commission Européenne, le UK ICO ou le FDPIC suisse.

Les termes en majuscules utilisés mais non définis ci-dessus auront les significations décrites dans l'Accord. Sauf disposition contraire dans ce DPA, les termes "Entreprise", "objectif commercial", "objectif commercial", "Contractant", "Responsable du traitement", "Traiter", "Sous-traitant", "Sous-traitant", "Sujets de données", "déidentifier", "Vendre", "Fournisseur de services", "Partager" et "Tiers" ont la même signification que dans les lois de protection des données applicables, et leurs termes connexes seront interprétés en conséquence. Tous les autres termes en majuscules ont la même signification que dans l'Accord.

2.1. Données personnelles du client. Les parties conviennent que le Fournisseur est un Sous-traitant en ce qui concerne le Traitement des Données personnelles du Client. 

2.2. Données de compte et d'utilisation. Les Parties conviennent que le Client et le Fournisseur sont des Contrôleurs indépendants en ce qui concerne le Traitement des Données de compte et d'utilisation du Client, et chaque Partie s'engage à respecter ses obligations en tant que Contrôleur et accepte de fournir une assistance raisonnable à l'autre Partie lorsque cela est requis par les 2.3. Lois sur la protection des données. En ce qui concerne les Données de compte et d'utilisation du Client, ce DPA ne s'applique pas sauf pour la Section 7.

L'objectif du Traitement en vertu de ce DPA est de fournir les Services en vertu des Accord(s) applicable(s). L'Annexe A (Description du Traitement et Détails du Transfert) décrit l'objet et les détails du Traitement des Données personnelles.

3.1. Le Client accepte que (a) il doit se conformer à ses obligations en tant que Responsable de traitement en vertu du RGPD et d'autres lois sur la protection des données où ce concept est reconnu en ce qui concerne son traitement des données personnelles et toute instruction de traitement qu'il émet au Fournisseur comme mentionné à la Section 4.1 ; (b) il a fourni un avis et obtenu tous les consentements et droits requis par les lois sur la protection des données pour que le Fournisseur traite les Données Personnelles du Client conformément à l'Accord et à ce DPA ; et (c) le traitement des Données Personnelles du Client par le Fournisseur conformément aux instructions documentées du Client en vertu de la Section 4.1 aura une base légale de traitement conformément à l'Article 6 du RGPD et d'autres lois sur la protection des données qui exigent une base légale de traitement. 

3.2. Si le Client est un Sous-traitant, le Client déclare et garantit au Fournisseur que les instructions et actions du Client concernant les Données Personnelles du Client, y compris sa nomination du Fournisseur en tant qu'autre sous-traitant, ont été dûment autorisées par le Responsable de traitement concerné. Le Client doit indemniser, défendre et tenir le Fournisseur à l'abri de toute réclamation, action, procédure, dépense, dommage et responsabilité (y compris, sans limitation, toute enquête gouvernementale, plainte et action) et des honoraires d'avocats raisonnables découlant de la violation par le Client de cette Section. Nonobstant toute disposition contraire dans l'Accord, les obligations d'indemnisation du Client en vertu de cette Section ne seront pas soumises à des limitations de responsabilité dans l'Accord.

4.1. Le Client demande au Fournisseur de traiter les Données Personnelles du Client pour fournir les Services tels que documentés dans l'Accord, sauf si la loi applicable exige autrement. Pour éviter tout doute, ce DPA constituera les instructions documentées du Client au Fournisseur pour traiter les Données Personnelles du Client en lien avec la fourniture du Service par le Fournisseur au Client. Le Fournisseur doit informer rapidement le Client si, à son avis seul, une instruction enfreint la loi applicable.

4.2. Lorsque le Fournisseur traite les Données Personnelles du Client en tant que Sous-traitant, le Fournisseur n'utilisera, ne conservera, ne divulguera, ni ne traitera autrement les Données Personnelles que dans la mesure nécessaire pour agir au nom du Client et pour le but commercial spécifique de fournir les Services. Le Fournisseur ne "vendra" pas les Données Personnelles du Client conformément aux instructions du Client, y compris comme décrit dans l'Accord. Le Fournisseur ne vendra ni ne partagera les Données Personnelles, ni n'utilisera, ne conservera, ne divulguera, ni ne traitera autrement les Données Personnelles en dehors de sa relation commerciale avec le Client ou pour tout autre but (y compris le but commercial du Fournisseur) sauf si la loi l'exige ou le permet. Le Fournisseur informera le Client si le Fournisseur détermine qu'il n'est plus en mesure de respecter ses obligations en vertu des Lois sur la Protection des Données. Le Fournisseur ou lorsque, selon l'avis raisonnable du Fournisseur, l'une des instructions du Client enfreint des Lois sur la Protection des Données. Le Client se réserve le droit de prendre des mesures raisonnables et appropriées pour (i) s'assurer que le traitement des Données Personnelles par le Fournisseur est conforme aux obligations du Client en vertu de la Loi sur la Protection des Données et (ii) cesser et remédier à l'utilisation non autorisée des Données Personnelles. Le Fournisseur certifie qu'il comprend les restrictions de cette Section 4.2.

4.3. Le Fournisseur a le droit d'utiliser les Données Personnelles uniquement (i) dans la mesure nécessaire pour (a) exécuter ses obligations en vertu de l'Accord et de ce DPA ; (b) pour exploiter, gérer, tester, maintenir et améliorer les Services, y compris dans le cadre de ses opérations commerciales ; (c) pour divulguer des statistiques agrégées sur les Services d'une manière qui empêche l'identification ou la ré-identification individuelle du Client, des Données du Client, des Données Personnelles, y compris sans limitation tout appareil individuel ou toute personne individuelle ; et/ou (d) protéger les Services contre une menace pour les Services ou les Données Personnelles ; ou (ii) si requis par une ordonnance d'un tribunal ou d'une agence gouvernementale autorisée, à condition qu'un préavis soit d'abord donné au Client ; (iii) comme autrement expressément autorisé par l'Accord, ce DPA, ou le Client.

4.4. Le Fournisseur ne combinera pas les Données Personnelles que le Fournisseur traite au nom du Client, avec les Données Personnelles qu'il reçoit d'une autre personne ou personnes, ou qu'il collecte de son propre interaction avec des individus, à condition que le Fournisseur puisse combiner les Données Personnelles pour réaliser tout but commercial autorisé ou requis en vertu de l'Accord pour fournir les Services.

4.5. Le Fournisseur mettra en œuvre des efforts commercialement raisonnables pour s'assurer que les personnes autorisées par le Fournisseur à traiter les Données Personnelles du Client sont soumises à des obligations de confidentialité appropriées. 

4.6. Le Fournisseur s'engage, en tenant compte de la nature du traitement, à utiliser des efforts commercialement raisonnables pour assister le Client, aux frais du Client, par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour s'acquitter de l'obligation du Client de répondre aux demandes d'exercice des droits des personnes concernées concernant leurs Données Personnelles en vertu des Lois sur la Protection des Données.

4.7. Le Fournisseur fournira au Client des preuves concernant la conformité du Fournisseur à ses obligations en vertu de ce DPA et des Lois sur la Protection des Données applicables, telles que des rapports résumés liés aux audits de sécurité SOC II Type 2 ou ISO27001, ou équivalents, à la demande du Client et pas plus d'une fois par an, sauf si la demande est liée à une Violation de Données Personnelles ou à une enquête réglementaire liée à l'utilisation des Services par le Client.

4.8. Au choix du Client, le Fournisseur, sur demande, supprimera ou retournera au Client toutes les Données Personnelles du Client dans les trente (30) jours suivant la fin de la fourniture des Services au Client et supprimera les copies existantes, sauf si la loi applicable exige la conservation des Données Personnelles.

4.9. Le Fournisseur informera rapidement le Client si le Fournisseur prend effectivement connaissance d'une Violation de Données Personnelles, à condition que la fourniture d'un tel avis ou toute réponse du Fournisseur ne soit pas interprétée comme une reconnaissance de faute ou de responsabilité concernant une telle Violation de Données Personnelles.

4.10. Le Fournisseur utilisera des mesures techniques et organisationnelles appropriées pour protéger les Données Personnelles du Client qui répondront ou dépasseront les exigences contenues (a) en vertu de la Loi sur la Protection des Données, et (b) de l'Annexe B de ce DPA. Le Client reconnaît que les mesures de sécurité décrites dans l'Annexe B sont soumises aux progrès et au développement techniques et que le Fournisseur peut mettre à jour ou modifier les mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications ne dégradent ni ne diminuent la sécurité globale des Services.

5.1. Sans limiter la portée de la Section 4, lors du traitement des Données Personnelles relatives aux personnes concernées situées dans l'Espace Économique Européen ("Données Personnelles de l'UE"), les termes supplémentaires suivants s'appliqueront :

a) Le Fournisseur doit, en tenant compte de la nature du traitement et des informations disponibles pour le Fournisseur, déployer des efforts commercialement raisonnables pour aider le Client, aux frais du Client, à garantir le respect des obligations du Client décrites dans les Articles 32 à 36 du RGPD ; et

b) Le Fournisseur doit mettre à disposition, sur demande raisonnable du Client, des informations raisonnablement nécessaires pour démontrer une conformité matérielle aux obligations de ce DPA et permettre et contribuer à des audits (chacun, un "Audit"), aux frais du Client, y compris des inspections des installations de traitement sous le contrôle du Fournisseur, menées par le Client ou un autre auditeur choisi par le Client (un "Auditeur"), pendant les heures normales de bureau et après un préavis raisonnable, à condition qu'aucun Auditeur ne soit un concurrent du Fournisseur, et à condition de plus qu'en aucun cas le Client n'aura accès aux informations d'un autre client du Fournisseur et que les divulgations faites en vertu de cette Section 5.1(b) ("Informations d'Audit") seront tenues confidentielles en tant qu'informations confidentielles du Fournisseur et soumises à toute obligation de confidentialité dans l'Accord, et à condition de plus qu'aucun Audit ne sera entrepris à moins ou jusqu'à ce que le Client ait demandé, et que le Fournisseur ait fourni, la documentation conformément à cette Section et que le Client détermine raisonnablement qu'un Audit reste nécessaire pour démontrer une conformité matérielle aux obligations de ce DPA. Sans limiter la généralité de toute disposition de l'Accord, le Client doit employer le même degré de soin pour protéger les Informations d'Audit qu'il utilise pour protéger ses propres informations confidentielles et propriétaires et en tout état de cause, pas moins qu'un degré de soin raisonnable dans les circonstances, et le Client sera responsable de toute divulgation ou utilisation inappropriée des Informations d'Audit par le Client ou ses agents.

6.1. Les sous-traitants assistent le Fournisseur dans le traitement des Données Personnelles comme indiqué dans ce DPA. Le Fournisseur conclura des arrangements contractuels avec les sous-traitants exigeant le même niveau de conformité en matière de protection des données et de sécurité de l'information que celui prévu dans ce DPA. En entrant dans l'Accord et ce DPA, le Client consent au traitement des Données Personnelles par la divulgation et le transfert des Données Personnelles aux sous-traitants listés à https://www.pdffiller.com/en/subprocessors.htm ("Liste des Sous-traitants"). Le Fournisseur informera le Client de tout changement prévu pour ajouter ou remplacer des sous-traitants dans sa Liste des Sous-traitants en publiant une liste mise à jour des sous-traitants au moins dix (10) jours calendaires avant que le nouveau sous-traitant ne traite des Données Personnelles de l'UE. 

6.2. Le Client peut s'opposer à de tels changements par écrit dans les cinq (5) jours calendaires suivant cet avis, à condition que cette objection soit fondée sur des motifs raisonnables liés à la protection des données (une "Objection") en soumettant Formulaire d'Action des Sous-traitants pdfFiller. En cas d'Objection, les parties discuteront de ces préoccupations de bonne foi dans l'intention d'atteindre une résolution. Si les parties ne parviennent pas à atteindre une résolution comme décrit dans la phrase précédente, le Client, en tant que seul et exclusif recours, peut résilier l'Accord pour convenance, à condition que le Client fournisse un avis écrit au Fournisseur dans les cinq (5) jours calendaires suivant l'information concernant l'engagement du sous-traitant. Le Client n'aura droit à aucun remboursement des frais payés avant la date de toute résiliation conformément à cette Section.

7.1. Le Client consent au transfert et au traitement des Données Personnelles de l'UE aux États-Unis d'Amérique.

7.2. Transferts depuis l'EEE. Lorsqu'un Transfert Restreint est effectué depuis l'EEE, les SCC de l'UE sont incorporés dans ce DPA et s'appliquent au transfert comme suit :

         a) En ce qui concerne les Transferts Restreints du Client au Fournisseur, le Module Un s'applique lorsque le Client et le Fournisseur sont des Responsables de traitement, le Module Deux s'applique lorsque le Client est un Responsable de traitement et le Fournisseur est un Sous-traitant, et le Module Trois s'applique lorsque le Client et le Fournisseur sont des Sous-traitants.

         b) Dans la Clause 7, la clause d'option de docking ne s'applique pas ;

         c) Dans la Clause 9 des Modules Deux et Trois, l'Option 2 s'applique, et la période de préavis des changements de sous-traitant est spécifiée dans la Section 6 de ce DPA.

         d) Dans la Clause 11, la langue optionnelle ne s'applique pas

         e) Dans la Clause 17, l'Option 1 s'applique avec la loi applicable qui est désignée dans la section Choix de la Loi ; Juridiction du Contrat. Si le Contrat n'est pas régi par la loi d'un État membre de l'UE, les Clauses Contractuelles Types seront régies soit par (i) les lois de l'Irlande, soit (ii) lorsque le Contrat est régi par les lois du Royaume-Uni, par les lois de l'Angleterre et du Pays de Galles.

         f) dans la Clause 18(b), les litiges seront résolus devant les tribunaux du lieu applicable du Contrat. Si le Contrat ne désigne pas un tribunal d'un État membre de l'UE comme ayant une compétence exclusive pour résoudre tout litige ou action en justice découlant de ou en rapport avec ce Contrat, les parties conviennent que les tribunaux de (i) l'Irlande ; ou (ii) lorsque le Contrat désigne le Royaume-Uni comme ayant une compétence exclusive, les tribunaux de l'Angleterre et du Pays de Galles auront une compétence exclusive pour résoudre tout litige découlant des Clauses Contractuelles Types. Pour les Sujets de Données résidant habituellement en Suisse, les tribunaux de Suisse sont un lieu de juridiction alternatif en ce qui concerne les litiges.

         g) L'Annexe I des SCC est complétée avec les informations de l'Annexe A de ce DPA ; et

         h) L'Annexe II des SCC est complétée avec les informations de l'Annexe B de ce DPA, et l'Annexe III des SCC est complétée avec les informations de la Liste des Sous-traitants.

7.3. Transferts depuis la Suisse. En cas de transferts de Données depuis la Suisse, (a) les références générales et spécifiques dans les SCC de l'UE au RGPD ou à la loi de l'UE ou des États membres ont la même signification que la référence équivalente dans le DPA suisse, le cas échéant ; et (b) toute autre obligation dans les SCC de l'UE déterminée par l'État membre dans lequel l'exportateur de données ou le Sujet de Données est établi se réfère à une obligation en vertu du DPA suisse, le cas échéant.

7.4. Transferts depuis le Royaume-Uni. Lorsqu'un Transfert Restreint est effectué depuis le Royaume-Uni, l'Addendum de Transfert du Royaume-Uni est incorporé dans ce DPA et s'applique au transfert. L'Addendum de Transfert du Royaume-Uni est complété avec les informations de la Section 7.2, la Liste des Sous-traitants, et les Annexes A et B de ce DPA ; et à la fois "Importateur" et "Exportateur" sont sélectionnés dans le Tableau 4.

7.5. Si le Fournisseur adopte un mécanisme alternatif d'exportation de données (y compris toute nouvelle version ou successeur des Clauses Contractuelles Types ou du Bouclier de Confidentialité adopté conformément à la Loi sur la Protection des Données) pour le transfert de données personnelles non décrites dans ce DPA ("Mécanisme de Transfert Alternatif"), le Mécanisme de Transfert Alternatif s'appliquera à la place de tout mécanisme de transfert applicable décrit dans ce DPA (mais uniquement dans la mesure où ce Mécanisme de Transfert Alternatif est conforme à la Loi sur la Protection des Données et s'étend aux territoires vers lesquels les Données Personnelles sont transférées).

8.1. Les termes de ce DPA prévaudront dans la mesure où il existe un conflit entre les termes de ce DPA et les termes de l'Accord. S'il y a un conflit entre ce DPA et les Clauses Contractuelles Types, les Clauses Contractuelles Types prévaudront en ce qui concerne les Données Personnelles de l'UE, de la Suisse ou du Royaume-Uni. Sauf modification spécifique apportée par ce DPA, les termes et dispositions de l'Accord demeurent inchangés et en vigueur. Sauf indication contraire dans la Section 3 de ce DPA, les obligations contenues dans ce DPA sont (a) soumises à toutes limitations de responsabilité décrites dans l'Accord, et (b) en plus des autres obligations contenues dans l'Accord. Ce DPA peut être exécuté électroniquement, y compris en utilisant les Services de signature électronique du Fournisseur.

Cette section du document contiendra les coordonnées des Parties pour les avis en vertu de ce DPA.

• Catégories de personnes concernées dont les données personnelles sont transférées

Représentants du Client ; représentants des partenaires ; utilisateurs et visiteurs des Services, y compris sans limitation les destinataires des fichiers téléchargés dans les Services ; et individus référencés dans les fichiers téléchargés dans les Services.

• Catégories de données personnelles transférées

Données personnelles de l'UE relatives à la catégorie de personnes concernées décrite ci-dessus. Les données personnelles de l'UE dépendent des Services particuliers mais peuvent inclure : nom, adresse e-mail, données démographiques, adresse IP, employeur, adresse, géolocalisation, numéro de téléphone, profession et poste, ainsi que toute donnée personnelle de l'UE fournie par le Client et les utilisateurs et visiteurs des Services (y compris sans limitation les destinataires des fichiers téléchargés dans les Services) en lien avec les Services, y compris les données personnelles du Client contenues dans les fichiers téléchargés dans les Services.

• Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui prennent pleinement en compte la nature des données et les risques impliqués, tels que par exemple une limitation stricte des finalités, des restrictions d'accès (y compris un accès uniquement pour le personnel ayant suivi une formation spécialisée), la tenue d'un registre des accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.

Le contenu des données personnelles est varié et sous le contrôle de l'exportateur de données, mais peut, de temps à autre, selon les Services particuliers, inclure des données sensibles en vertu des lois sur la protection des données pertinentes. 

• Fréquence des transferts

Les transferts seront continus pendant la durée nécessaire à l'exécution des Services, pour toute autre finalité stipulée dans l'Accord, et en conformité avec les lois et règlements applicables.

• Nature du traitement

Les données personnelles de l'UE seront soumises à un traitement de base, y compris mais sans s'y limiter à la collecte, l'enregistrement, l'organisation, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou la mise à disposition d'une autre manière, l'alignement ou la combinaison, le blocage, l'effacement ou la destruction dans le but de fournir des Services par le Fournisseur au Client conformément aux termes de l'Accord.

• Objectif(s) du transfert

Les données personnelles de l'UE seront soumises aux opérations de traitement décrites dans l'Accord. 

• Période de conservation ou ses critères

Lors de la fourniture de tels Services au Client, le Fournisseur traitera les données personnelles de l'UE selon les instructions du Client pendant la durée de l'Accord.

• Transferts aux sous-traitants

Tous les sous-traitants autorisés doivent mettre en œuvre et maintenir les mêmes mesures techniques et organisationnelles ou des mesures substantiellement similaires, responsabilités et obligations que celles requises du Fournisseur en vertu de ce DPA.

• Objectif(s) commercial(aux) pour le traitement des informations personnelles des consommateurs californiens

Pour le traitement impliquant des consommateurs californiens, seuls les objectifs commerciaux suivants et vérifiés pour le traitement des données personnelles s'appliquent :

     Aider à garantir la sécurité et l'intégrité dans la mesure où l'utilisation des informations personnelles du consommateur est raisonnablement nécessaire et proportionnée à ces fins 

     Débogage pour identifier et réparer les erreurs qui nuisent à la fonctionnalité prévue existante. 

     Fournir des services au nom de l'entreprise, y compris la maintenance ou le service des comptes, la fourniture de services à la clientèle, le traitement ou l'exécution des commandes et transactions, la vérification des informations client, le traitement des paiements, la fourniture de financements, la fourniture de services analytiques, la fourniture de stockage, ou la fourniture de services similaires au nom de l'entreprise. 

     Entreprendre des recherches internes pour le développement et la démonstration technologique. 

     Entreprendre des activités pour vérifier ou maintenir la qualité ou la sécurité d'un service ou d'un dispositif qui appartient, est fabriqué, fabriqué pour, ou contrôlé par l'entreprise, et pour améliorer, mettre à niveau ou renforcer le service ou le dispositif qui appartient, est fabriqué, fabriqué pour, ou contrôlé par l'entreprise. 

     Retenir et employer un autre fournisseur de services ou un entrepreneur en tant que sous-traitant lorsque le sous-traitant répond aux exigences d'un fournisseur de services ou d'un entrepreneur en vertu du CCPA. 

     Construire ou améliorer la qualité des services qu'il fournit à l'entreprise, même si cet objectif commercial n'est pas spécifié dans le contrat écrit requis par le CCPA, à condition que le Fournisseur de Services n'utilise pas les données personnelles pour fournir des services au nom d'une autre personne. 

Pour prévenir, détecter ou enquêter sur des incidents de sécurité des données ou protéger contre des activités malveillantes, trompeuses, frauduleuses ou illégales, même si cet objectif commercial n'est pas spécifié dans le contrat écrit.

〇 Audit lié au comptage des impressions publicitaires pour des visiteurs uniques, vérification du positionnement et de la qualité des impressions publicitaires, et audit de la conformité avec cette spécification et d'autres normes.

〇 Fournir des services de publicité et de marketing, sauf pour la publicité comportementale inter-contextes, au consommateur à condition que, pour le but de la publicité et du marketing, un fournisseur de services ou un entrepreneur ne combinera pas les informations personnelles des consommateurs ayant choisi de ne pas participer que le fournisseur de services ou l'entrepreneur reçoit de, ou au nom de, l'entreprise avec des informations personnelles que le fournisseur de services ou l'entrepreneur reçoit de, ou au nom de, une autre personne ou des personnes ou collecte de sa propre interaction avec les consommateurs. 

〇 Utilisation à court terme et transitoire, y compris, mais sans s'y limiter, la publicité non personnalisée affichée dans le cadre de l'interaction actuelle d'un consommateur avec l'entreprise, à condition que les informations personnelles du consommateur ne soient pas divulguées à un autre tiers et ne soient pas utilisées pour établir un profil sur le consommateur ou modifier autrement l'expérience du consommateur en dehors de l'interaction actuelle avec l'entreprise.

• Lorsque l'exportateur de données est établi dans un État membre de l'UE, l'autorité de contrôle responsable de veiller à la conformité de l'exportateur de données avec le Règlement (UE) 2016/679 concernant le transfert de données agira en tant qu'autorité de contrôle compétente.
• Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE mais relève du champ d'application territorial du Règlement (UE) 2016/679 conformément à son Article 3(2) et a désigné un représentant conformément à l'Article 27(1) du Règlement (UE) 2016/679 : L'autorité de contrôle de l'État membre dans lequel le représentant au sens de l'Article 27(1) du Règlement (UE) 2016/679 est établi agira en tant qu'autorité de contrôle compétente.
• Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE mais relève du champ d'application territorial du Règlement (UE) 2016/679 conformément à son Article 3(2) sans toutefois avoir à désigner un représentant conformément à l'Article 27(2) du Règlement (UE) 2016/679 : La Commission de protection des données (DPC) – 21 Fitzwilliam Square, South Dublin 2, D02 RD28 Irlande agira en tant qu'autorité de contrôle compétente.
• Lorsque l'exportateur de données est établi au Royaume-Uni ou relève du champ d'application des lois et règlements britanniques sur la protection des données, le Bureau du Commissaire à l'information agira en tant qu'autorité de contrôle compétente.
• Lorsque l'exportateur de données est établi en Suisse ou relève du champ d'application des lois et règlements suisses sur la protection des données, le Commissaire fédéral à la protection des données et à l'information agira en tant qu'autorité de contrôle compétente dans la mesure où le transfert de données pertinent est régi par les lois et règlements suisses sur la protection des données.

• Programme. Le fournisseur mettra en œuvre et maintiendra un programme de sécurité de l'information écrit ("Programme de sécurité de l'information"), qui contient des mesures de protection administratives, techniques et organisationnelles raisonnablement appropriées qui respectent ce calendrier. 
• Contrôles d'accès. Le fournisseur mettra en œuvre des mesures pour : (a) respecter le "principe du moindre privilège", selon lequel l'accès aux données personnelles par le personnel du fournisseur sera limité sur une base de besoin de savoir ; et (b) mettre fin rapidement à l'accès de son personnel aux données personnelles lorsque cet accès n'est plus requis pour l'exécution de l'accord.
• Gestion des comptes. Le fournisseur gérera la création, l'utilisation et la suppression de toutes les informations d'identification des comptes utilisées pour accéder à l'infrastructure clé du fournisseur, y compris l'exigence d'authentification multi-facteurs dans tous les systèmes critiques. 
• Gestion des vulnérabilités. Le fournisseur (a) utilisera périodiquement des outils de scan de vulnérabilités automatisés pour scanner le système de production du fournisseur à la recherche de vulnérabilités, y compris, mais sans s'y limiter, des tests de pénétration, et (b) mettra en œuvre des outils de gestion des correctifs et de mise à jour des logiciels tels que notifiés par les fournisseurs de ces outils. 
• Séparation de la sécurité. Le fournisseur surveillera, détectera et restreindra le flux d'informations sur une base multilayer à l'aide d'outils tels que des pare-feu, des proxies et des systèmes de détection d'intrusion basés sur le réseau. 
• Prévention des pertes de données. Le fournisseur utilisera des mesures de prévention des pertes pour identifier, surveiller et protéger les données personnelles en cours d'utilisation, en transit et au repos. Ces processus et outils de prévention des pertes de données comprendront : (a) des outils automatisés conçus pour identifier les tentatives d'exfiltration de données ; et (b) l'utilisation de la sécurité basée sur des certificats de chiffrement.
• Chiffrement. Le fournisseur chiffrera, en utilisant des outils de chiffrement conformes aux normes de l'industrie, toutes les données personnelles que le fournisseur transmet à travers des réseaux publics. 
• Pseudonymisation. Le fournisseur utilisera des techniques de pseudonymisation conformes aux normes de l'industrie pour protéger les données personnelles lorsque cela est possible et compatible avec les services. 
• Mesures de sécurité physiques. Le fournisseur maintiendra des contrôles d'accès physiques pour sécuriser les locaux physiques appartenant au fournisseur où se trouve l'environnement informatique pertinent utilisé pour traiter des données personnelles, y compris un système de contrôle d'accès qui permet au fournisseur de contrôler l'accès physique à chaque installation du fournisseur. 
• Mesures administratives. Avant de fournir l'accès aux données personnelles du client à l'un de son personnel, le fournisseur utilisera des mesures commercialement raisonnables : (a) vérifier la fiabilité de ce personnel ; et (b) fournir une formation à la sécurité appropriée à ce personnel.