Mailgun

Accord sur le Traitement des Données Personnelles

Dernière mise à jour le 14/01/2022. Pour consulter les conditions précédentes, veuillez cliquer ici.

Le présent Accord sur le Traitement des Données Personnelles (« Data Processing Agreement » ou « DPA ») fait partie intégrante des Conditions Générales de Service de Mailgun (le « Contrat principal ») conclues par et entre Mailgun Technologies, Inc. pour son propre compte et pour le compte de ses Sociétés affiliées (collectivement le « Groupe Mailgun ») et le « Client », et est soumis au Contrat principal.

1. Définitions.

Aux fins du présent Accord, les termes commençant par une majuscule auront la signification suivante. Les termes commençant par une majuscule qui ne sont pas définis dans les présentes auront la signification qui leur est conférée dans le Contrat principal.

(a) « Clauses contractuelles types » désigne la dernière version des clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers en vertu du GDPR (la version en vigueur à la date du présent Accord figure en annexe de la décision 2021/914/UE de la Commission européenne en date du 4 juin 2021).

(b) « Données à caractère personnel du Client » désigne toutes les données à caractère personnel traitées par Mailgun pour le compte du Client afin de fournir les Services en vertu du Contrat principal.

(c) « EEE » désigne l’Espace économique européen.

(d) « Lois de l’UE relatives à la protection des données » désigne le RGPD, tel qu’il a été transposé dans le droit national de chaque État membre (et du Royaume-Uni) et tel qu’il a été modifié, annulé ou remplacé à tout moment, et les lois le mettant en œuvre, le remplaçant ou le complétant.

(e) « Infrastructure de Mailgun » désigne (i) les installations physiques de Mailgun ; (ii) les infrastructures hébergées dans le cloud ; (iii) le réseau d’entreprise de Mailgun et son réseau interne non public, les logiciels et le matériel nécessaires à la fourniture des Services et qui sont sous le contrôle de Mailgun ; dans chaque cas, dans la mesure où ils sont utilisés pour fournir les Services.

(f) « RGPD » désigne le Règlement Général sur la Protection des Données 2016/679 de l’Union européenne.

(g) « Services » désigne les services fournis au Client par Mailgun en vertu du Contrat principal.

(h) « Sociétés affiliées » désigne les entités suivantes qui sont détenues ou contrôlées par Mailgun Technologies, Inc. : Mailjet SAS et ses sociétés affiliées.

(i) « Transfert restreint » désigne un transfert de Données à caractère personnel de Mailgun à un Sous-traitant ultérieur, si ce transfert était interdit par les Lois de l’UE relatives à la protection des données (ou par les modalités des accords de transfert de données mis en place pour répondre à des restrictions de transfert de données imposées par les Lois de l’UE relatives à la protection des données) en l’absence de garanties appropriées imposées au regard de transferts de ce type en vertu des Lois de l’UE relatives à la protection des données.

(j) Les termes « consentement », « responsable du traitement », « personne concernée », « État membre », « données à caractère personnel », « violation de données à caractère personnel », « sous-traitant », « sous-traitant ultérieur », « traitement », « autorité de contrôle » et « tiers » auront la signification qui leur est attribuée dans l’article 4 du RGPD.

2. Respect des Lois de l’UE relatives à la protection des données

(a) Mailgun et le Client se conformeront chacun aux dispositions et obligations imposées par les Lois de l’UE relatives à la protection des données et s’assureront que leurs employés, mandataires et sous-traitants respectent les dispositions des Lois de l’UE relatives à la protection des données.

3. Détails et finalités du Traitement

(a) Le Traitement des Données à caractère personnel du Client dans le cadre du Contrat sera réalisé conformément aux stipulations suivantes et tel que l’impose l’article 28, paragraphe 3, du RGPD. Les parties peuvent modifier ces informations à tout moment dans la mesure où elles considèrent que cela est raisonnablement nécessaire pour satisfaire à ces exigences.

(i) Objet et durée du Traitement des Données à caractère personnel : l’objet et la durée du traitement des Données à caractère personnel sont définis dans le Contrat principal.

(ii) Nature et finalité du Traitement des Données à caractère personnel : en vertu du Contrat principal, Mailgun fournit certains services d’emails et de SMS au Client, ce qui implique le traitement de données à caractère personnel. Ces activités de traitement incluent (a) la fourniture des Services ; (b) la détection, la prévention et la résolution de problèmes de sécurité et techniques ; et (c) la réponse aux demandes d’assistance du Client.

(iii) Types de Données à caractère personnel traitées : les données à caractère personnel transmises, dont l’étendue est déterminée et contrôlée par le Responsable du traitement à son entière discrétion, incluent des noms, adresses email, numéros de téléphone, adresses IP et autres données à caractère personnel figurant dans la liste de contacts et le contenu des messages.

(iv) Catégories de personnes concernées auxquelles les données à caractère personnel se rapportent : expéditeurs et destinataires des messages email et SMS.

(b) Mailgun ne traitera les Données à caractère personnel du Client (i) qu’aux fins de l’exécution de ses obligations en vertu du Contrat principal et (i) conformément aux instructions documentées décrites dans le présent Accord ou conformément aux instructions transmises, de quelque manière que ce soit, par le Client à tout moment. Toutes instructions de ce type du Client devront être documentées dans la commande, la description des services ou le ticket d’assistance applicable ou dans toute autre communication écrite ou de la manière indiquée par le Client utilisant les Services (notamment via une API ou un panneau de contrôle).

(c) Si Mailgun estime raisonnablement qu’une instruction du Client est contraire aux dispositions du Contrat principal ou du présent Accord, ou qu’elle contrevient au RGPD ou à d’autres dispositions applicables en matière de protection des données, elle en informera le Client sans délai. Dans les deux cas, Mailgun sera autorisé à reporter l’exécution de l’instruction en question jusqu’à ce qu’elle soit modifiée par le Client ou convenue d’un commun accord par le Client et Mailgun.

(d) Le Client est seul responsable de la manière dont il utilise et gère les Données à caractère personnel soumises ou transmises par les Services, notamment : (i) vérifier les adresses des destinataires et le fait qu’elles ont été bien saisies dans les Services (ii) notifier raisonnablement à tout destinataire le manque de sécurité des emails comme mode de transmission de Données à caractère personnel (selon le cas), (iii) limiter raisonnablement le volume ou le type de données divulguées par le biais des Services, (iv) chiffrer toutes les Données à caractère personnel transmises par le biais des Services, le cas échéant ou comme l’impose la loi applicable (notamment grâce à des pièces jointes chiffrées, des outils PGP ou S/MIME). Si le Client décide de ne pas configurer le chiffrement obligatoire, celui-ci reconnaît que les Services peuvent inclure la transmission d’emails non chiffrés en clair sur l’Internet public et des réseaux ouverts. Les informations téléchargées sur les Services, y compris le contenu des messages, sont stockées sous une forme chiffrée lorsqu’elles sont traitées par l’infrastructure de Mailgun.

4. Responsable du traitement et Sous-traitant

(a) Aux fins des présentes, le Client est le responsable du traitement de ses propres Données à caractère personnel et Mailgun en est le sous-traitant, sauf lorsque le Client agit en qualité de sous-traitant de ses propres Données à caractère personnel, auquel cas Mailgun en est le sous-traitant ultérieur.

(b) Mailgun maintiendra à tout moment à disposition un Délégué à la protection des données chargé d’assister le Client (i) pour répondre à des demandes de renseignements concernant le Traitement des Données émanant de Personnes concernées ; et (ii) pour satisfaire à toutes les obligations légales en matière d’information et de divulgation en vigueur et associées au Traitement de Données. Ce Délégué à la protection des données peut être contacté directement à l’adresse privacy@mailgun.com.

(c) Le Client garantit que :

(i) le traitement de ses Données à caractère personnel s’appuie sur des fondements juridiques, comme l’imposent les Lois de l’UE relatives à la protection des données et celui-ci a obtenu et conservera pendant toute la durée du Contrat principal l’ensemble des droits, autorisations, enregistrements et consentements imposés par celles-ci au regard du traitement par Mailgun des Données à caractère personnel du Client en vertu du présent Accord et du Contrat principal ;

(ii) il est autorisé à et dispose de l’ensemble des droits, autorisations et consentements nécessaires pour transférer ses Données à caractère personnel à Mailgun et pour autoriser, de quelque manière que ce soit, Mailgun à les traiter en son nom, afin que Mailgun puisse utiliser, traiter et transférer légalement les Données à caractère personnel du Client dans le cadre de l’exécution des Services et de satisfaire à l’ensemble des autres droits et obligations de Mailgun en vertu du présent Accord et du Contrat principal ;

(iii) il informera les Personnes concernées de son recours à des Sous-traitants aux fins du Traitement de leurs Données à caractère personnel, dans la mesure prescrite par les Lois de l’UE relatives à la protection des données.

(iv) il répondra, dans un délai raisonnable et dans la mesure de ce qui s’avérera raisonnablement possible, aux demandes de renseignements soumises par les Personnes concernées concernant le Traitement de leurs Données à caractère personnel, et donnera des instructions appropriées au Sous-traitant en temps opportun.

5. Confidentialité

(a) Mailgun s’assurera que chaque membre de son personnel et de celui des sous-traitants ultérieurs autorisés à traiter les Données à caractère personnel du Client est soumis à des accords de confidentialité ou à des obligations professionnelles ou légales de confidentialité et qu’il est formé aux exigences de sécurité et de Protection des données pertinentes.

6. Mesures techniques et organisationnelles

(a) Mailgun devra, en ce qui concerne les Données à caractère personnel du Client, (a) prendre et documenter, le cas échéant, les mesures raisonnables et appropriées requises en vertu de l’article 32 du RGPD en ce qui concerne la sécurité de son Infrastructure et des plateformes utilisées pour fournir les Services telles que décrites dans le Contrat principal, et (b) si une demande raisonnable lui est faite, aider le Client, aux frais de celui-ci, à s’assurer du respect des obligations imposées par celui-ci en vertu de l’article 32 du RGPD.

(b) Les procédures opérationnelles internes de Mailgun devront respecter les exigences spécifiques d’une gestion efficace de la Protection des données.

7. Demandes de Personnes concernées

(a) Mailgun fournit des outils spécifiques pour aider les clients à répondre aux demandes émanant de personnes concernées. Il s’agit notamment de nos API et interfaces de recherche d’événements, de suppression et de récupération du contenu des messages. Lorsque Mailgun reçoit une réclamation, une question ou une demande (y compris les demandes émanant de personnes concernées afin d’exercer leurs droits en vertu des Lois de l’UE relatives à la protection des données) concernant les Données à caractère personnel du Client, directement de la part d’une personne concernée, Mailgun en informera le Client dans les 14 jours qui suivent la réception de la réclamation, de la question ou de la demande. Compte tenu de la nature du traitement, Mailgun assistera le Client, aux frais de ce dernier, par des mesures techniques et organisationnelles appropriées, dans la mesure de ce qui s’avérera raisonnablement possible, aux fins de l’exécution de l’obligation qui incombe au Client de répondre aux demandes de personnes concernées souhaitant exercer leurs droits.

8. Violations des Données à caractère personnel

(a) Mailgun doit informer le Client dans les meilleurs délais dès qu’elle a connaissance d’une violation des données à caractère personnel affectant les Données à caractère personnel du Client. Mailgun devra, compte tenu de la nature du traitement et des informations mises à sa disposition, prendre toutes les mesures professionnelles raisonnables pour fournir au Client suffisamment d’informations pour lui permettre, aux frais de celui-ci, de se conformer à toute obligation de notification ou d’information des autorités de réglementation, des personnes concernées et d’autres entités de cette violation de données à caractère personnel dans la mesure requise par les Lois de l’UE relatives à la protection des données.

9. Analyses d’impact relatives à la protection des données

(a) Mailgun devra, compte tenu de la nature du traitement et des informations mises à sa disposition, fournir une assistance raisonnable au Client, aux frais de celui-ci, dans le cadre de toute analyse d’impact relative à la protection des données et de la consultation préalable des autorités de contrôle ou autres autorités de réglementation dans la mesure nécessaire pour permettre au Client de se conformer à toute obligation en vertu des Lois de l’UE relatives à la protection des données.

10. Audits

(a) Mailgun mettra à la disposition du Client, sur demande écrite raisonnable, les informations raisonnablement nécessaires pour démontrer le respect du présent Accord.

(b) Le Client, ou un auditeur tiers mandaté par ce dernier, pourra, sur demande écrite, procéder à une inspection des activités de Traitement de ses Données à caractère personnel menées par Mailgun dans la mesure de ce qui s’avérera nécessaire en vertu des Lois de l’UE relatives à la protection des données, sans interrompre les activités commerciales de Mailgun et en préservant la confidentialité. Le Client prendra en charge l’ensemble des coûts et dépenses engagés par le Sous-traitant en raison de l’exercice de ces droits d’audit.

11. Restitution ou destruction des Données à caractère personnel du Client

(a) Le Client peut, moyennant l’envoi d’une notification écrite à Mailgun, demander la restitution et/ou l’attestation de destruction de toutes les copies de ses Données à caractère personnel sous le contrôle ou en possession de Mailgun et des sous-traitants ultérieurs. Mailgun devra fournir une copie des Données du Responsable du traitement sous une forme qui peut être lue et traitée par la suite.

(b) Dans les quatre-vingt-dix (90) jours suivant la fermeture du compte, le Sous-traitant détruira et/ou restituera toutes les Données à caractère personnel traitées conformément au présent Accord. La présente disposition n’aura aucune incidence sur les éventuelles obligations légales des Parties de conserver des archives pendant les durées de conservation fixées par la loi ou par contrat. Mailgun pourra conserver des copies électroniques de fichiers contenant les Données à caractère personnel du Client créées conformément à des procédures d’archivage ou de sauvegarde automatiques qui ne peuvent raisonnablement pas être supprimées. Dans ces cas, Mailgun s’assurera que les Données à caractère personnel du Client ne sont pas traitées activement par la suite.

(c) Tous les frais supplémentaires liés à la restitution ou à la suppression de Données à caractère personnel après la résiliation ou l’expiration du Contrat seront à la charge du Client.

12. Transferts de données

(a) À la suite de la signature du présent Accord, Mailgun devra, si le Client le demande et, si les Lois de l’UE relatives à la protection des données l’imposent, conclure des Clauses contractuelles types en tant qu’importateur de données avec le Client agissant en qualité d’exportateur de données. Si l’accord conclu entre Mailgun et un sous-traitant ultérieur implique un Transfert restreint, Mailgun devra s’assurer que les dispositions des Clauses contractuelles types relatives aux transferts ultérieurs sont intégrées au Contrat principal, ou conclues, de quelque manière que ce soit, entre Mailgun et le sous-traitant ultérieur concerné. Le Client s’engage à exercer son droit d’audit tel que prévu par les Clauses contractuelles types en demandant à Mailgun de réaliser l’audit conformément au paragraphe 10.

(b) Le Responsable du traitement reconnaît et convient que, dans le cadre de l’exécution des Services en application du Contrat, le Sous-traitant pourra transférer des Données à caractère personnel à des sociétés de son groupe. Ces transferts sont nécessaires pour fournir les Services dans le monde entier et sont justifiés à des fins d’administration interne.

(c) S’agissant des transferts de Données à caractère personnel réalisés en vertu du présent Accord depuis l’Union européenne, l’Espace économique européen et/ou leurs États membres, la Suisse et le Royaume-Uni vers des pays qui ne garantissent pas un niveau adéquat de Protection des données au sens des Lois relatives à la protection des données en vigueur dans ces juridictions, dans la mesure où ces transferts sont soumis aux Lois relatives à la protection des données et aux réglementations applicables en la matière, et pour mettre en œuvre des garanties appropriées, les mesures de protection suivantes sont prévues : (i) des clauses contractuelles types conformément à la décision 2010/87/UE de la Commission européenne et (2) des garanties supplémentaires en ce qui concerne les mesures de sécurité, y compris le chiffrement des données et le principe de minimisation des données.

13. Sous-traitance ultérieure

(a) Par les présentes, le Client autorise Mailgun à faire appel à des sous-traitants ultérieurs conformément au présent paragraphe 13 et à l’Annexe 2, sous réserve de toute restriction figurant dans le Contrat principal. Mailgun devra s’assurer que ces sous-traitants ultérieurs sont liés par des accords écrits qui les obligent à fournir au minimum le niveau de protection des données requis par Mailgun par le présent Accord. Mailgun pourra continuer à faire appel aux sous-traitants ultérieurs auxquels il fait déjà appel à la date du présent Accord.

(b) Mailgun avisera préalablement par écrit le Client du recours à tout nouveau sous-traitant ultérieur. Si, dans les dix (10) jours ouvrables suivant la réception de cet avis, le Client informe Mailgun par écrit de toute objection, pour des motifs raisonnables, à la désignation proposée, Mailgun ne nommera pas ce sous-traitant ultérieur proposé tant que des mesures raisonnables n’auront pas été prises afin de répondre à l’objection formulée par le Client et tant que le Client n’aura pas reçu une explication écrite raisonnable concernant les mesures prises. Si Mailgun et le Client ne sont pas en mesure de trouver un accord concernant le recours à un sous-traitant ultérieur dans un délai raisonnable, chacune des parties aura le droit de résilier le Contrat principal pour motif valable.

(c) En outre, en cas de sous-traitance autorisée en dehors de l’Union européenne, le Client donne mandat à Mailgun afin de conclure des Clauses contractuelles types de l’UE en son nom et pour son compte aux seules fins de la fourniture des services prévus par le Contrat principal.

(d) Ce paragraphe ne s’applique pas aux services annexes suivants : les services de télécommunications, services postaux ou de transport, services de maintenance et outils d’assistance utilisateur. Mailgun sera toutefois tenu de conclure des accords contractuels appropriés et contraignants et de prendre des mesures d’inspection appropriées afin de garantir la protection et la sécurité des Données du Client, même dans le cadre de l’externalisation de services annexes.

(e) Mailgun sera responsable des actes et omissions de tout sous-traitant ultérieur vis-à-vis du Client comme s’il s’agissait de ses propres actes et omissions au titre des questions visées dans le présent Accord.

14. Droit applicable et compétence

(a) Les parties au présent Accord se soumettent par les présentes à la compétence des tribunaux indiqués dans le Contrat principal au titre de tous les litiges ou de toutes les demandes résultant de quelque manière que ce soit du présent Accord, y compris les litiges concernant son existence, sa validité,sa résiliation ou les conséquences de sa nullité.

(b) Le présent Accord ainsi que toutes les obligations non contractuelles ou autres découlant de ou en rapport avec celui-ci sont régis par les lois du pays ou du territoire prévues à cet effet dans le Contrat principal.

15. Hiérarchie

(a) En ce qui concerne l’objet du présent Accord, en cas de divergences entre les dispositions des présentes et celles de tout autre accord entre les parties, y compris le Contrat principal et (sauf si cela a été expressément convenu de quelque manière que ce soit par écrit et signé au nom des parties) les contrats conclus ou envisagés après la date du présent Accord, les dispositions des présentes prévaudront.

16. Modifications des Lois relatives à la protection des données, etc.

(a) Mailgun peut modifier ou compléter le présent Accord, moyennant un préavis raisonnable adressé au Client :

(i) si une autorité de contrôle ou toute autre agence gouvernementale ou autorité de réglementation l’exige ;

(ii) si cela se révèle nécessaire pour se conformer à la loi applicable ;

(iii) pour mettre en œuvre de nouvelles clauses contractuelles types ou une version mise à jour de celles-ci telles qu’approuvées par la Commission européenne ; ou

(iv) pour respecter un code de conduite ou un mécanisme de certification approuvé ou certifié conformément aux articles 40, 42 et 43 du RGPD.

17. Autonomie des stipulations

(a) Si une stipulation des présentes est invalide ou inapplicable, les autres stipulations du présent Accord resteront en vigueur et de plein effet. Toute stipulation invalide ou inapplicable sera soit (i) modifiée dans la mesure nécessaire pour assurer sa validité et sa force exécutoire, tout en préservant le plus possible les intentions des parties ou, si cela n’est pas possible, (ii) interprétée comme si ladite partie invalide ou inapplicable n’y avait jamais figuré.

18. Résiliation

(a) Le présent Accord et les Clauses contractuelles types prendront fin simultanément et de plein droit avec la résiliation du Contrat principal.

(b) Mailgun peut résilier le présent Accord et les Clauses contractuelles types si Mailgun propose au Client d’autres mécanismes qui respectent les obligations imposées par les lois de l’Union européenne en matière de respect de la vie privée dans le cadre du transfert de Données à caractère personnel en dehors de l’EEE.


EN FOI DE QUOI, le présent Accord est conclu et fait partie intégrante du Contrat principal à la date indiquée ci-dessus.

Dernière mise à jour le 14/01/2022. Pour consulter les conditions précédentes, veuillez cliquer ici.

CLAUSES CONTRACTUELLES TYPES

Responsable du traitement au sous-traitant

Aux fins de ces clauses contractuelles types (CCT), le Client est le responsable du traitement de ses Données à caractère personnel, et Mailgun est le sous-traitant de ces données, sauf quand le Client agit en tant que sous-traitant de ses Données à caractère personnel, auquel cas Mailgun est un sous-traitant ultérieur, et les CCT – de sous-traitant à sous-traitant (Module 3) s’appliquent.

SECTION I

Clause 1

Finalités et champ d’application

(a) Les présentes clauses contractuelles types visent à garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) en cas de transfert de données à caractère personnel vers un pays tiers.

(b) Les parties : (i) Mailgun Technologies, Inc. 112 E Pecan St #1135 San Antonio, Texas 78205, États-Unis legal@mailgun.com l’« importateur de données » (la ou les entités d’un pays tiers qui reçoivent les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses)

(ii) l’entité du client signataire du contrat de traitement des données à laquelle sont jointes les présentes clauses contractuelles types (ci-après « l’exportateur de données »). sont convenues des présentes clauses contractuelles types (ci-après les « clauses »).

(c) Les présentes clauses s’appliquent au transfert de données à caractère personnel précisé dans le paragraphe 3 du présent Contrat de traitement des données.

(d) L’appendice aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des présentes clauses.

Clause 2

Effet et invariabilité des clauses

(a) Les présentes clauses établissent des garanties appropriées, notamment des droits opposables pour la personne concernée et des voies de droit effectives, en vertu de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types en vertu de l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l’appendice. Cela n’empêche pas les parties d’inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les présentes clauses et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.

(b) Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.

Clause 3

Tiers bénéficiaires

(a) Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes :

(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7 ;

(ii) Clause 8.1 paragraphe b), 8.9 paragraphes a), c), d) et e) ;

(iii) Clause 9 paragraphes a), c), d) et e) ;

(iv) Clause 12 paragraphes a), d) et f) ;

(v) Clause 13 ;

(vi) Clause 15.1 paragraphes c), (d) et (e) ;

(vii) Clause 16 paragraphe e) ;

(viii) Clause 18 paragraphes a) et b).

(b) Le paragraphe a) est sans préjudice des droits des personnes concernées au titre du règlement (UE) 2016/679.

Clause 4

Interprétation

(a) Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ceux-ci ont la même signification que dans ledit règlement.

(b) Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.

(c) Les présentes clauses ne sont pas interprétées dans un sens contraire aux droits et obligations prévus dans le règlement (UE) 2016/679.

Clause 5

Hiérarchie

(a) En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties existant au moment où les présentes clauses sont convenues, ou souscrites par la suite, les présentes clauses prévalent.

Clause 6

Description du ou des transferts

Les détails du ou des transferts, en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles le sont, sont précisés à l’annexe I.B.

Clause 7

Clause d’adhésion

(a) Une entité qui n’est pas partie aux présentes clauses peut, avec l’accord des parties, y adhérer à tout moment, soit en tant qu’exportateur de données soit en tant qu’importateur de données, en remplissant l’appendice et en signant l’annexe I.A.

(b) Une fois l’appendice rempli et l’annexe I.A. signée, l’entité adhérente devient partie aux présentes clauses et a les droits et obligations d’un exportateur de données ou d’un importateur de données selon sa désignation dans l’annexe I.A.

(c) L’entité adhérente n’a aucun droit ni obligation découlant des présentes clauses pour la période antérieure à son adhésion à celles-ci.

SECTION II — OBLIGATIONS DES PARTIES

Clause 8

Garanties en matière de protection des données

L’exportateur de données garantit qu’il a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses.

8.1 Instructions

(a) L’importateur de données ne traite les données à caractère personnel que sur instructions documentées de l’exportateur de données. L’exportateur de données peut donner ces instructions pendant toute la durée du contrat.

(b) S’il n’est pas en mesure de suivre ces instructions, l’importateur de données en informe immédiatement l’exportateur de données.

8.2. Limitation des finalités

L’importateur de données traite les données à caractère personnel uniquement pour la ou les finalités spécifiques du transfert, telles que précisée(s) à l’annexe I.B, sauf instructions autres de la part de l’exportateur des données.

8.3 Transparence

Sur demande, l’exportateur des données mettra gratuitement à disposition de la personne concernée une copie des présentes clauses, notamment de l’appendice tel que les parties l’ont rempli. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les mesures décrites en Annexe II et les données à caractère personnel, l’exportateur des données peut occulter une partie du texte de l’appendice desdites clauses avant d’en communiquer une copie, mais fournira un résumé valable s’il serait autrement impossible, pour la personne concernée, d’en comprendre le contenu ou d’exercer ses droits. Les parties fournissent à la personne concernée, à la demande de celle-ci, les motifs des occultations, dans la mesure du possible sans révéler les informations occultées. La présente clause est sans préjudice des obligations qui incombent à l’exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.

8.4 Exactitude

Si l’importateur de données se rend compte que les données à caractère personnel qu’il a reçues sont inexactes, ou sont obsolètes, il en informe l’exportateur de données dans les meilleurs délais. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour effacer ou rectifier les données.

8.5 Durée du traitement et effacement ou restitution des données

Le traitement par l’importateur de données n’a lieu que pendant la durée précisée à l’annexe I.B. Au terme de la prestation des services de traitement, l’importateur de données, à la convenance de l’exportateur de données, efface toutes les données à caractère personnel traitées pour le compte de ce dernier et lui en apporte la preuve, ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données à caractère personnel que dans la mesure où et aussi longtemps que cette législation locale l’exige. Ceci est sans préjudice de la clause 14, en particulier de l’obligation imposée à l’importateur de données par la clause 14, paragraphe e), d’informer l’exportateur de données, pendant toute la durée du contrat, s’il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences de la clause 14, paragraphe a).

8.6. Sécurité du traitement

(a) L’importateur de données et, durant la transmission, l’exportateur de données mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à ces données (ci-après la « violation de données à caractère personnel »). Lors de l’évaluation du niveau de sécurité approprié, les parties tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour les personnes concernées. Les parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée précise restent, dans la mesure du possible, sous le contrôle exclusif de l’exportateur de données. Pour s’acquitter des obligations qui lui incombent en vertu du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles précisées à l’annexe II. Il procède à des contrôles réguliers pour s’assurer que ces mesures continuent d’offrir le niveau de sécurité approprié.

(b) L’importateur de données ne donne l’accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

(c) En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes clauses, ce dernier prend des mesures appropriées pour remédier à la violation, y compris des mesures visant à en atténuer les effets négatifs. L’importateur de données informe également l’exportateur de données de cette violation dans les meilleurs délais après en avoir eu connaissance. Cette notification contient les coordonnées d’un point de contact auprès duquel il est possible d’obtenir plus d’informations, ainsi qu’une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), de ses conséquences probables et des mesures prises ou proposées pour y remédier, y compris, le cas échéant, des mesures visant à en atténuer les effets négatifs potentiels. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations disponibles à ce moment-là et les autres informations sont fournies par la suite, dans les meilleurs délais, à mesure qu’elles deviennent disponibles.

(d) L’importateur de données coopère avec l’exportateur de données et l’aide afin de lui permettre de respecter les obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment celle d’informer l’autorité de contrôle compétente et les personnes concernées, compte tenu de la nature du traitement et des informations à la disposition de l’importateur de données.

8.7. Données sensibles

Lorsque le transfert concerne des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après les « données sensibles »), l’importateur de données applique les restrictions particulières et/ou les garanties supplémentaires décrites à l’annexe I.B.

8.8. Transferts ultérieurs

L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instructions documentées de l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne(dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après « transfert ultérieur »), que si le tiers est lié par les présentes clauses ou accepte de l’être, en vertu du module approprié, ou si :

(i) le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation en vertu de l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur ;

(ii) le tiers offre d’une autre manière des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question ;

(iii) le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice dans le contexte de procédures administratives, réglementaires ou judiciaires spécifiques ; ou

(iv) le transfert ultérieur est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique.

Tout transfert ultérieur est soumis au respect, par l’importateur de données, de toutes les autres garanties au titre des présentes clauses, en particulier de la limitation des finalités.

8.9. Documentation et conformité

(a) L’importateur de données traite rapidement et de manière appropriée les demandes de renseignements de l’exportateur de données concernant le traitement au titre des présentes clauses.

(b) Les parties sont en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de données conserve une trace documentaire appropriée des activités de traitement menées pour le compte de l’exportateur de données.

(c) L’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations prévues par les présentes clauses et, à la demande de l’exportateur de données, pour permettre la réalisation d’audits des activités de traitement couvertes par les présentes clauses, et contribuer à ces audits, à intervalles raisonnables ou s’il existe des indications de non-respect. Lorsqu’il décide d’un examen ou d’un audit, l’exportateur de données peut tenir compte des certifications pertinentes détenues par l’importateur de données.

(d) L’exportateur de données peut choisir de procéder à l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent également comprendre des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués avec un préavis raisonnable.

(e) Les parties mettent à la disposition de l’autorité de contrôle compétente, à la demande de celle-ci, les informations mentionnées aux paragraphes b) et c), y compris les résultats de tout audit.

Clause 9

Recours à des sous-traitants ultérieurs

(a) L’importateur de données a l’autorisation générale de l’exportateur de données de recruter un ou plusieurs sous-traitants ultérieurs à partir d’une liste arrêtée d’un commun accord. L’importateur de données informe expressément par écrit l’exportateur de données de tout changement concernant l’ajout ou le remplacement de sous-traitants ultérieurs qu’il est prévu d’apporter à cette liste au moins dix (10) jours ouvrés à l’avance, donnant ainsi à l’exportateur de données suffisamment de temps pour émettre des objections à l’encontre de ces changements avant le recrutement du ou des sous-traitants ultérieurs. L’importateur de données fournit à l’exportateur de données les informations nécessaires pour permettre à ce dernier d’exercer son droit d’émettre des objections.

(b) Lorsque l’importateur de données recrute un sous-traitant ultérieur pour mener des activités de traitement spécifiques (pour le compte de l’exportateur de données), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données au titre des présentes clauses, notamment en ce qui concerne les droits du tiers bénéficiaire pour les personnes concernées. Les parties conviennent qu’en respectant la présente clause, l’importateur de données satisfait aux obligations qui lui incombent en vertu de la clause 8.8. L’importateur de données veille à ce que le sous-traitant ultérieur respecte les obligations auxquelles il est lui-même soumis en vertu des présentes clauses.

(c) L’importateur de données fournit à l’exportateur de données, à la demande de celui-ci, une copie du contrat avec le sous-traitant ultérieur et de ses éventuelles modifications ultérieures. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, notamment les données à caractère personnel, l’importateur de données peut occulter une partie du texte du contrat avant d’en communiquer une copie.

(d) L’importateur de données reste pleinement responsable à l’égard de l’exportateur de données de l’exécution des obligations qui incombent au sous-traitant ultérieur en vertu du contrat qu’il a conclu avec lui. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant ultérieur aux obligations qui lui incombent en vertu dudit contrat.

(e) L’importateur de données convient avec le sous-traitant ultérieur d’une clause du tiers bénéficiaire en vertu de laquelle, dans les cas où l’importateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’exportateur de données a le droit de résilier le contrat du sous-traitant ultérieur et de donner instruction à ce dernier d’effacer ou de restituer les données à caractère personnel.

Clause 10

Droits des personnes concernées

(a) L’importateur de données informe rapidement l’exportateur de données de toute demande reçue d’une personne concernée. Il ne répond pas lui-même à cette demande, à moins d’y avoir été autorisé par l’exportateur de données.

(b) L’importateur de données aide l’exportateur de données à s’acquitter de son obligation de répondre aux demandes de personnes concernées désireuses d’exercer leurs droits en vertu du règlement (UE) 2016/679. À cet égard, les parties indiquent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, au moyen desquelles l’aide sera fournie, ainsi que la portée et l’étendue de l’aide requise.

(c) Lorsqu’il s’acquitte des obligations qui lui incombent en vertu des paragraphes a) et b), l’importateur de données se conforme aux instructions de l’exportateur de données.

Clause 11

Voies de recours

(a) L’importateur de données informe les personnes concernées, sous une forme transparente et aisément accessible, au moyen d’une notification individuelle ou sur son site web, d’un point de contact autorisé à traiter les réclamations. Il traite sans délai toute réclamation reçue d’une personne concernée.

(b) En cas de litige entre une personne concernée et l’une des parties portant sur le respect des présentes clauses, cette partie met tout en œuvre pour parvenir à un règlement à l’amiable dans les meilleurs délais. Les parties se tiennent mutuellement informées de ces litiges et, s’il y a lieu, coopèrent pour les résoudre.

(c) Lorsque la personne concernée invoque un droit du tiers bénéficiaire en vertu de la clause 3, l’importateur de données accepte la décision de la personne concernée :

(i) d’introduire une réclamation auprès de l’autorité de contrôle de l’État membre dans lequel se trouve sa résidence habituelle ou son lieu de travail, ou auprès de l’autorité de contrôle compétente au sens de la clause 13 ;

(ii) de renvoyer le litige devant les juridictions compétentes au sens de la clause 18.

(d) Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l’article 80, paragraphe 1, du règlement (UE) 2016/679.

(e) L’importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de l’Union ou d’un État membre.

(f) L’importateur de données convient que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural et matériel de cette dernière d’obtenir réparation conformément à la législation applicable.

Clause 12

Responsabilité

(a) Chaque partie est responsable envers la ou les autres parties de tout dommage qu’elle cause à l’autre ou aux autres parties du fait d’un manquement aux présentes clauses.

(b) L’importateur de données est responsable à l’égard de la personne concernée, et la personne concernée a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’importateur de données ou son sous-traitant ultérieur du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses.

(c) Nonobstant le paragraphe b), l’exportateur de données est responsable à l’égard de la personne concernée et celle-ci a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par l’exportateur de données ou l’importateur de données (ou son sous-traitant ultérieur) du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données et, si l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du traitement, de la responsabilité de ce dernier au titre du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas.

(d) Les parties conviennent que, si l’exportateur de données est reconnu responsable, en vertu du paragraphe c), du dommage causé par l’importateur de données (ou son sous-traitant ultérieur), il a le droit de réclamer auprès de l’importateur de données la part de la réparation correspondant à la responsabilité de celui-ci dans le dommage.

(e) Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement et la personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties.

(f) Les parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe e), celle-ci a le droit de réclamer auprès de l’autre ou des autres parties la part de la réparation correspondant à sa/leur responsabilité dans le dommage.

(g) L’importateur de données ne peut invoquer le comportement d’un sous-traitant ultérieur pour échapper à sa propre responsabilité.

Clause 13

Contrôle

(a) L’autorité de contrôle chargée de veiller au respect par l’exportateur de données du règlement (UE) 2016/679 relatif au transfert de données : la CNIL, l’autorité française de protection des données (La Commission Nationale de l’Informatique et des Libertés), agira en tant qu’autorité de contrôle compétente.

(b) L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans le cadre de toute procédure visant à garantir le respect des présentes clauses. En particulier, l’importateur de données accepte de répondre aux demandes de renseignements, de se soumettre à des audits et de se conformer aux mesures adoptées par l’autorité de contrôle, notamment aux mesures correctrices et compensatoires. Il confirme par écrit à l’autorité de contrôle que les mesures nécessaires ont été prises.

SECTION III — LÉGISLATIONS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS DES AUTORITÉS PUBLIQUES

Clause 14

Législations et pratiques locales ayant une incidence sur le respect des clauses

(a) Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses. Cette disposition repose sur l’idée que les législations et les pratiques qui respectent l’essence des libertés et droits fondamentaux et qui n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour préserver un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes clauses.

(b) Les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte, en particulier, des éléments suivants :

(i) des circonstances particulières du transfert, parmi lesquelles la longueur de la chaîne de traitement, le nombre d’acteurs concernés et les canaux de transmission utilisés ; les transferts ultérieurs prévus ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées ; le secteur économique dans lequel le transfert a lieu et le lieu de stockage des données transférées ;

(ii) des législations et des pratiques du pays tiers de destination – notamment celles qui exigent la divulgation de données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données – pertinentes au regard des circonstances particulières du transfert, ainsi que des limitations et des garanties applicables ;

(iii) de toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.

(c) L’importateur de données garantit que, lors de l’évaluation au titre du paragraphe b), il a déployé tous les efforts possibles pour fournir des informations pertinentes à l’exportateur de données et convient qu’il continuera à coopérer avec ce dernier pour garantir le respect des présentes clauses.

(d) Les parties conviennent de conserver une trace documentaire de l’évaluation au titre du paragraphe b) et de mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande.

(e) L’importateur de données accepte d’informer sans délai l’exportateur de données si, après avoir souscrit aux présentes clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences du paragraphe a), notamment à la suite d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application pratique de cette législation qui n’est pas conforme aux exigences du paragraphe a).

(f) À la suite d’une notification au titre du paragraphe e), ou si l’exportateur de données a d’autres raisons de croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des présentes clauses, l’exportateur de données définit sans délai les mesures appropriées (par exemple, des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) qu’il doit adopter et/ou qui doivent être adoptées par l’importateur de données pour remédier à la situation. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée ne peut être fournie pour ce transfert ou si l’autorité de contrôle compétente lui en donne l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 16, paragraphes d) et e), s’applique.

Clause 15

Obligations de l’importateur de données en cas d’accès des autorités publiques

15.1 Notification

(a) L’importateur de données convient d’informer sans délai l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données) :

(i) s’il reçoit une demande juridiquement contraignante d’une autorité publique, y compris judiciaire, en vertu de la législation du pays de destination en vue de la divulgation de données à caractère personnel transférées au titre des présentes clauses ; cette notification comprend des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie ; ou

(ii) s’il a connaissance d’un quelconque accès direct des autorités publiques aux données à caractère personnel transférées au titre des présentes clauses en vertu de la législation du pays de destination ; cette notification comprend toutes les informations dont l’importateur de données dispose.

(b) Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de pouvoir en apporter la preuve à l’exportateur de données, si celui-ci lui en fait la demande.

(c) Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations utiles que possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, la ou les autorités requérantes, la contestation ou non des demandes et l’issue de ces contestations, etc.).

(d) L’importateur de données accepte de conserver les informations mentionnées aux paragraphes a) à c) pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.

(e) Les paragraphes a) à c) sont sans préjudice de l’obligation incombant à l’importateur de données, en vertu de la clause 14, paragraphe e), et de la clause 16, d’informer sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses.

15.2. Contrôle de la légalité et minimisation des données

(a) L’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier de vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données exerce les possibilités d’appel ultérieures dans les mêmes conditions. Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se prononce sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas obligé de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations incombant à l’importateur de données en vertu de la clause 14, paragraphe e).

(b) L’importateur de données accepte de garder une trace documentaire de son évaluation juridique ainsi que de toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, de mettre les documents concernés à la disposition de l’exportateur de données. Il les met également à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande. L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.

SECTION IV — DISPOSITIONS FINALES

Clause 16

Non-respect des clauses et résiliation

(a) L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses, quelle qu’en soit la raison.

(b) Dans le cas où l’importateur de données enfreint les présentes clauses ou n’est pas en mesure de les respecter, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que le respect des présentes clauses soit à nouveau garanti ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14, paragraphe f).

(c) L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses, lorsque :

(i) l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données en vertu du paragraphe b) et que le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension ;

(ii) l’importateur de données enfreint gravement ou de manière persistante les présentes clauses ; ou

(iii) l’importateur de données ne se conforme pas à une décision contraignante d’une juridiction ou d’une autorité de contrôle compétente concernant les obligations qui lui incombent au titre des présentes clauses.

Dans ces cas, il informe l’autorité de contrôle compétente de ce non-respect. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement.

(d) Les données à caractère personnel qui ont été transférées avant la résiliation du contrat au titre du paragraphe c) sont immédiatement restituées à l’exportateur de données ou effacées dans leur intégralité, à la convenance de celui-ci. Il en va de même pour toute copie des données. L’importateur de données apporte la preuve de l’effacement des données à l’exportateur de données Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel transférées, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données que dans la mesure où et aussi longtemps que cette législation locale l’exige.

(e) Chaque partie peut révoquer son consentement à être liée par les présentes clauses i) si la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s’appliquent ; ou ii) si le règlement (UE) 2016/679 est intégré dans le cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations qui s’appliquent au traitement en question en vertu du règlement (UE) 2016/679.

Clause 17

Droit applicable

(a) Les présentes clauses sont régies par le droit d’un des États membres de l’Union européenne, pour autant que ce droit reconnaisse des droits au tiers bénéficiaire. Les parties conviennent qu’il s’agit du droit de la France.

Clause 18

Élection de for et juridiction

(a) Tout litige survenant du fait des présentes clauses est tranché par les juridictions d’un État membre de l’Union européenne.

(b) Les parties conviennent qu’il s’agit des juridictions de la

(c) La personne concernée peut également poursuivre l’exportateur et/ou l’importateur de données devant les juridictions de l’État membre dans lequel elle a sa résidence habituelle.

(d) Les parties acceptent de se soumettre à la compétence de ces juridictions.

ANNEXE 2

SÉCURITÉ DE L’INFORMATION – MESURES TECHNIQUES ET ORGANISATIONNELLES

Lorsque des données à caractère personnel sont traitées ou utilisées de manière automatique, l’organisation interne de Mailgun veille au respect des exigences spécifiques en matière de protection des données, en adoptant les meilleures pratiques de sécurité. En particulier, Mailgun met en œuvre les mesures suivantes pour protéger les données à caractère personnel ou d’autres catégories de données sensibles.

Contrôle des accès physiques

Pour empêcher les personnes non autorisées d’avoir accès aux systèmes de traitement des données avec lesquels les données à caractère personnel sont traitées ou utilisées :

  • Mailgun s’appuie sur les principaux fournisseurs de centres de données et d’infrastructure cloud. L’accès à tous les centres de données est strictement contrôlé. Tous les centres de données sont équipés de systèmes de surveillance et de contrôle d’accès biométrique 24 heures sur 24, 7 jours sur 7 et 365 jours par an. En outre, tous les fournisseurs sont certifiés SOC Type II et ISO 27001.

  • Les centres de données sont équipés d’au moins une redondance N+1 pour l’alimentation électrique, la mise en réseau et l’infrastructure de refroidissement.

  • Au sein d’une région, le traitement des données s’effectue dans au moins trois zones de disponibilité distinctes. Les services sont conçus pour résister à la défaillance d’une zone de disponibilité sans que cela ne perturbe les clients.

Contrôle des accès au système

Pour empêcher l’utilisation de systèmes de traitement des données sans autorisation :

  • L’accès administratif aux systèmes et services Mailgun est basé sur le principe du moindre privilège. L’accès aux systèmes est basé sur le rôle et les responsabilités du poste. Mailgun utilise des noms d’utilisateur/identifiants uniques qui ne peuvent pas être partagés ou réattribués à une autre personne.

  • L’authentification VPN et multifactorielle est utilisée pour l’accès aux outils de support interne et à l’infrastructure produit.

  • Des listes de contrôle d’accès au réseau (LCA) et des groupes de sécurité sont utilisés pour limiter le trafic d’entrée et de sortie de l’infrastructure de production.

  • Des systèmes de détection des intrusions (SDI) sont utilisés pour détecter les éventuels accès non autorisés.

  • Des protections de réseau ont été déployées pour atténuer l’impact des attaques par déni de service distribué (DDoS).

  • Les processus d’onboarding et d’offboarding sont documentés et suivis de manière systématique afin de garantir que l’accès aux outils et systèmes hébergés en interne et à l’extérieur est correctement géré. Dans la mesure du possible, les services tiers utilisent la fonctionnalité d’authentification unique (SSO) qui permet une gestion centralisée et applique l’authentification à plusieurs facteurs.

Contrôle des accès aux données

Pour garantir que les utilisateurs autorisés à utiliser les systèmes de traitement des données n’aient accès qu’aux données auxquelles ils sont en droit d’accéder et que les données à caractère personnel ne puissent être lues, copiées, modifiées ou supprimées sans autorisation au cours du traitement ou de l’utilisation et après le stockage :

  • Mailgun utilise un système de gestion des mots de passe qui impose que les mots de passe aient une longueur minimale, soient complexes et aient un délai d’expiration et un délai minimum après sa dernière utilisation.

  • Les postes de travail des employés se verrouillent automatiquement après une période d’inactivité prolongée. Les systèmes déconnectent les utilisateurs après une période d’inactivité prolongée.

  • Les journaux sont stockés et indexés de manière centralisée. Les journaux critiques, tels que les journaux de sécurité, sont conservés pendant au moins un an.

  • Le processus de gestion des correctifs de Mailgun garantit l’application des correctifs aux systèmes au moins une fois par mois. La surveillance, les alertes et l’analyse de routine des vulnérabilités permettent de s’assurer que les correctifs soient mis en œuvre pour toute l’infrastructure produit de manière systématique.

  • Un logiciel antivirus conforme aux normes de l’industrie est utilisé pour garantir que les ressources internes qui accèdent à des données à caractère personnel soient protégées contre les virus connus. Les logiciels antivirus sont régulièrement mis à jour.

  • Mailgun utilise des pare-feu pour empêcher le trafic indésirable d’entrer sur le réseau. Une DMZ utilisant des pare-feu pour protéger davantage les systèmes internes protégeant les données sensibles est utilisée.

Contrôle des transmissions de données

Pour garantir que les données à caractère personnel ne puissent être lues, copiées, modifiées ou supprimées sans autorisation lors de la transmission ou du transport par voie électronique :

  • Les données des clients sont stockées cryptées au repos grâce à l’utilisation du cryptage AES-256 sur des dispositifs de blocage.

  • Les sauvegardes des clients sont cryptées en transit et au repos à l’aide d’un cryptage renforcé.

  • Mailgun utilise TLS 1.2 pour crypter le trafic réseau entre l’application du client et l’infrastructure Mailgun. Les clients peuvent contrôler et gérer les paramètres de cryptage des messages traités par Mailgun et envoyés aux fournisseurs de boîtes de réception de messagerie afin de répondre aux exigences de conformité qui dépassent le cadre des certifications externes de Mailgun.

  • Mailgun est alertée des problèmes de cryptage par des évaluations périodiques des risques et des tests de pénétration par des tiers. Mailgun effectue des tests de pénétration par le biais de tiers sur une base annuelle ou selon les besoins à la suite de changements au sein de l’entreprise.

  • Mailgun gère un programme de bug bounty, encourageant la divulgation responsable des vulnérabilités par les chercheurs de la communauté.

Contrôle des données saisies

Pour garantir qu’il soit possible de vérifier et de déterminer si et par qui des données à caractère personnel ont été introduites dans les systèmes de traitement des données, modifiées ou supprimées :

  • Les systèmes sont surveillés pour détecter les événements liés à la sécurité afin de garantir une résolution rapide.

  • Les journaux sont stockés et indexés de manière centralisée. Les journaux critiques, tels que les journaux de sécurité, sont conservés pendant au moins un an. Les journaux peuvent être reliés à des noms d’utilisateur uniques et individuels avec horodatage pour enquêter sur des non-conformités ou des événements de sécurité.

Contrôle de la disponibilité

Pour garantir que les données à caractère personnel soient protégées contre la perte ou la destruction accidentelle :

  • Les données des comptes sont sauvegardées au moins une fois par jour. La récupération incrémentielle à un instant donné est disponible pour toutes les bases de données primaires. Les sauvegardes sont cryptées en transit et au repos en utilisant un cryptage renforcé.

  • Le processus de gestion des correctifs de Mailgun garantit l’application des correctifs aux systèmes au moins une fois par mois. La surveillance, les alertes et l’analyse de routine des vulnérabilités permettent de s’assurer que les correctifs soient mis en œuvre pour toute l’infrastructure du produit de manière systématique.

  • Lorsque cela est nécessaire, Mailgun corrige l’infrastructure de manière accélérée lorsque des vulnérabilités critiques sont mises en évidence, afin de garantir le maintien de la disponibilité du système.

  • Les environnements des clients sont à tout moment séparés sur le plan logique. Les clients ne peuvent pas accéder à d’autres comptes que ceux pour lesquels ils ont reçu une autorisation.

ANNEXE 3

LISTE DE SOUS-TRAITANTS ULTÉRIEURS

Infr­ast­ruc­ture

Infr­ast­ruc­ture

Société

Loca­lisation seve­r

Desc­ription des acti­vités

Gara­nties appr­opriées pour­ les tran­sferts

Goog­le Clou­d Plat­form
70 Sir John­ Roge­rson's Quay­,
Dub­lin 2, Irel­and

Alle­magne & Belg­ique (cli­ents de l'EU­)
Éta­ts-Unis (cli­ents amér­icains)

Cent­re de donn­ées

Droi­t de l'UE­
Cla­uses type­s de l'UE­
Cry­ptage de donn­ées

Rack­space (AWS­)
One­ Fana­tical Plac­e
San­ Anto­nio, TX 7821­8 USA

État­s-Unis (cli­ents amér­icains)
All­emagne (cli­ents de l'EU­)

Cent­re de donn­ées

Droi­t de l'UE­
Cla­uses type­s de l'UE­
Cry­ptage de donn­ées

Supp­ort

Supp­ort

Société

Loca­lisation seve­r

Desc­ription des acti­vités

Gara­nties appr­opriées pour­ les tran­sferts

Prox­iad Bulg­aria
Tin­tyava 13b St.,­ Fl. 4
Sof­ia 1113­ - Bulg­aria

Bul­ga­rie

Supp­ort via tick­ets
Cha­rgés de Comp­te

Droi­t de l'UE­
Min­imisation de donn­ées

Site­l Indi­a
Cha­ndivali – Farm­ Road­, Andh­eri
Eas­t Mumb­ai 4000­72 Indi­a

Inde

Supp­ort via tick­et

Clau­ses type­s de l'UE­
Cry­ptage de donn­ées
Min­imisation de donn­ées

Soci­étés du grou­pe

Soci­étés du grou­pe

Société

Sièg­e soci­al

Desc­ription des l'ac­tivités

Gara­nties appr­opriées pour­ les tran­sferts

Mail­gun Tech­nologies
112­ E. Peca­n Stre­et #113­5,
San­ Anto­nio, Texa­s, 7820­5 USA

États-Unis

Soci­été du grou­pe

Clau­ses type­s de l'UE­

Mail­jet
4, rue Jule­s Lefe­bvre
750­09 Pari­s, Fran­ce

Fra­nc­e

Soci­été du grou­pe

Clau­ses type­s de l'UE­
Dro­it de l'UE­

Sinc­h AB
Lin­dhagensgatan 74 Stoc­kholm,
112­ 18 Swed­en

Swe­de­n

Soci­été du grou­pe

Clau­ses type­s de l'UE­
Dro­it de l'UE­