Annexe A - Protection des données

1. Objet.

Cette Annexe reflète l'accord des Parties en ce qui concerne les conditions régissant le traitement et la sécurité des Données Personnelles Client.

2. Définitions.

Dans le cadre de la présente Annexe, les termes commençant par une majuscule, utilisés au singulier ou au pluriel, ont la signification qui leur est conférée à son article 9. Les termes « personne concernée », « traitement », « responsable du traitement » respectivement « maître du fichier » et « sous-traitant » utilisés dans la présente Annexe ont le sens qui leur est conféré par la Législation suisse sur la protection des données. 

2.1 Rôles et conformité

1. Responsabilité du sous-traitant et du responsable du traitement. Les Parties reconnaissent et conviennent que :

• 1.1. le Client est un responsable du traitement ou un sous-traitant d’un tiers, selon le cas, de ces Données Personnelles Client en vertu de la Législation suisse sur la protection des données ;
• 1.2. GLOBAZ est un sous-traitant des Données Personnelles Client, sauf lorsqu'il traite les Données Personnelles Client pour se conformer aux obligations légales qui lui sont applicables ou pour l’accomplissement de ses opérations commerciales internes accessoires à la fourniture des Services [, telles que spécifiées dans sa déclaration sur la protection des données] (auquel cas il agit en tant que responsable du traitement indépendant pour ces traitements) ; et
• 1.3. chaque Partie se conformera aux obligations qui lui sont applicables en vertu de la Législation suisse sur la protection des données.

2. Autorisation par un responsable du traitement tiers. Si le Client est un sous-traitant d’un tiers, le Client garantit à GLOBAZ que les instructions et actions du Client concernant les Données Personnelles Client, y compris la nomination de GLOBAZ, pour la réalisation des Services, comme autre sous-traitant, ont été autorisées expressément et préalablement par le responsable du traitement concerné.

2.2 Étendue du traitement

3. Nature et finalité du traitement. GLOBAZ traite les Données Personnelles Client conformément à cette Annexe. Lorsqu’il agit comme sous-traitant des Données Personnelles Client, GLOBAZ s'engage à ne traiter les Données Personnelles Client que selon les instructions écrites du Client, à moins qu'une législation applicable à GLOBAZ n'exige un autre traitement des Données Personnelles du Client par GLOBAZ.

4. Instructions du Client. Par le biais de cette Annexe, le Client donne instruction à GLOBAZ de ne traiter les Données Personnelles Client en tant que sous-traitant que dans le strict respect de la Législation suisse sur la protection des données relative à la protection des données et au demeurant uniquement pour fournir les Services, tel que documenté dans le Contrat, y compris cette Annexe. Le Client confirme et accepte qu’il s’agit de l’intégralité des instructions du Client à GLOBAZ concernant le traitement des Données Personnelles Client et que toute instruction supplémentaire ou alternative doit faire l’objet d’un accord écrit.

2.3 Obligations du Client.

5. Le Client est notamment responsable de la qualité, de la licéité et de la pertinence des Données Personnelles Client traitées dans le cadre des Services et répond visà-vis des tiers concernés par le traitement et des autorités compétentes en matière de protection de données. En particulier, le Client s’engage à :

• 5.1. fournir des informations suffisantes aux personnes concernées quant à la collecte et au traitement de leurs données personnelles ;
• 5.2. obtenir le consentement valide des personnes concernées en vue du traitement de leurs données personnelles, si un tel consentement est requis en vertu de la Législation suisse sur la protection des données ;
• 5.3. assurer le respect de tous les droits des personnes concernées (p. ex. droit d’accès et de rectification, droit d’opposition etc.) ainsi que de toutes les obligations vis-à-vis des autorités compétentes en matière de protection des données en vertu de la Législation suisse sur la protection des données ; et 
• 5.4. ne déléguer que des traitements que le Client serait en droit d'effectuer lui-même et pour autant qu’aucune obligation légale ou contractuelle de garder le secret n'interdise l’intervention de GLOBAZ. 

2.4 Responsabilité.

1. Le Client est seul responsable du traitement des Données Personnelles Client dans le cadre des Services. Le Client reconnaît et accepte que GLOBAZ peut considérer que tout traitement des Données Personnelles Client dans le cadre des Services, tel que permis par le Contrat, ainsi que toutes les instructions du Client concernant ces activités de traitement, sont conformes à la Législation suisse sur la protection des données.

1. Le Client requiert irrévocablement à GLOBAZ de supprimer [ou d'anonymiser de manière permanente] à la fin du Contrat, toutes les Données Personnelles Client (y compris toute copies existantes) de ses systèmes, conformément au droit applicable. GLOBAZ se conformera à cette instruction dans les plus brefs délais, sauf si GLOBAZ doit conserver tout ou partie des Données Personnelles Client pour un motif technique ou légal. Le Client reconnaît et accepte qu’il est de son unique responsabilité de transférer et/ou sauvegarder les Données Personnelles Client qu'il souhaite conserver par la suite.

4.1 Mesures de sécurité

1. Mesures de sécurité de GLOBAZ. GLOBAZ met en œuvre et maintien des mesures techniques et organisationnelles appropriées pour protéger les Données Personnelles Client contre un Incident de sécurité.

2. Respect de la sécurité par le personnel de GLOBAZ. GLOBAZ prend des mesures appropriées pour s'assurer du respect des mesures de sécurité susvisées par ses employés et sous-traitants, notamment en veillant à ce que toutes les personnes autorisées à traiter les Données Personnelles Client s’engagent à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée.

3. Caractère approprié des mesures de sécurité. Le Client certifie qu'il a vérifié, et s'engage à vérifier continuellement, que les mesures techniques et organisationnelles spécifiées dans cet article 4 sont suffisantes pour assurer une protection appropriée de cette Annexe conformément aux exigences de Législation suisse sur la protection des données.

4.2 Incidents de sécurité

4. Notification au Client d'Incident de sécurité. Si GLOBAZ prend connaissance d’un Incident de sécurité, GLOBAZ s'engage à en informer dans les meilleurs délais le Client par tout moyen utile (notamment via la personne de contact indiquée par le Client). GLOBAZ décrira, dans la mesure du possible, la nature de l’Incident de sécurité, ainsi que les mesures éventuellement prises par GLOBAZ pour atténuer les risques potentiels et les mesures que GLOBAZ recommande au Client de prendre. Les agissements de GLOBAZ en lien avec cet article 4.2.1 ne constitueront pas, et ne pourront pas être interprétés comme, une reconnaissance par GLOBAZ de toute faute ou responsabilité en lien avec l’Incident de sécurité intervenu.

5. Obligations du Client. GLOBAZ n'évaluera pas le contenu des Données Client afin d'identifier le type de données concernées. Le Client est seul responsable d’effectuer toute analyse de ces Données Client et de se conformer aux dispositions légales qui lui sont applicables, notamment à son éventuelle obligation de notifier l’Incident de sécurité à toute autorité compétente et/ou aux personnes concernées. Dans ce cadre, GLOBAZ fournira au Client toute assistance raisonnablement requise par celui-ci afin de se conformer à ses obligations. 

1. Demandes de personnes concernées. Si GLOBAZ reçoit une demande d'une personne concernée concernant des Données Personnelles Client, GLOBAZ informe la personne concernée de soumettre sa demande au Client, le Client étant responsable de répondre à toute demande. Les Parties conviennent qu’il est de la responsabilité exclusive du Client de donner suite ou non aux demandes de personnes concernées.

2. Actions par le Client. GLOBAZ assiste le Client à se conformer à ses obligations légales vis-à-vis des personnes concernées, dans la mesure raisonnablement exigible et pour autant que cela soit compatible avec les fonctionnalités des Services. Les mesures porteront sur tous les droits conférés à la personne concernée par la Législation suisse sur la protection des données, notamment l’accès, la rectification, la limitation, l’opposition, la suppression et la portabilité des Données Personnelles Client la concernant. 

1. Pays autorisés. Sauf stipulation contraire dans le Contrat, le Client accepte que GLOBAZ conserve et traite les Données Personnelles Client en Suisse et dans l’Union européenne, ou dans un pays ayant été reconnu par la Suisse comme assurant un niveau adéquat en matière de protection des données dans lequel GLOBAZ ou l'un de ses sous-traitants maintien des installations.

2. Autorisation spéciale. GLOBAZ informera (sauf si GLOBAZ est tenu par une obligation légale de ne pas divulguer) le Client préalablement à tout transfert de Données Personnelles Client vers un État non mentionné à l’article 6.1 ci-dessus et le Client s’engage à autoriser ledit transfert pour autant que GLOBAZ puisse garantir par tout moyen utile un niveau de protection adéquat des Données Personnelles Client.

3. Autorisation pour les sous-traitants. Le Client accepte que lorsque GLOBAZ engage un sous-traitant conformément à l'article 7 ci-dessous pour effectuer des activités de traitement spécifiques (pour le compte du Client) dans un pays tiers n'ayant pas été reconnu la Suisse comme assurant un niveau adéquat en matière de protection des données, GLOBAZ peut utiliser les Clauses Contractuelles Standard de la Commission européenne, ou un autre mécanisme valide, afin de se conformer aux exigences de la Législation suisse sur la protection des données, et le Client accepte par la présente un tel transfert à condition que les conditions de validité de ce mécanisme soient remplies.

1. Consentement. Sauf stipulation contraire dans le Contrat, le Client autorise spécifiquement GLOBAZ à sous-traiter tout ou partie des Services et des activités de traitement des Données Personnelles Client.

2. Exigences. GLOBAZ s’engage, en cas de délégation conformément à l’article 7.1 ci-dessus, à s'assurer par écrit que :

• 2.1. le sous-traitant ultérieur n’accède et ne traite des données que dans la mesure requise pour exécuter les obligations qui lui sont confiées ; et
• 2.2. le sous-traitant ultérieur est tenu contractuellement envers GLOBAZ à des obligations au moins équivalentes à celles de GLOBAZ envers le Client découlant de cette Annexe et du Contrat.

3. Objection. Le Client dispose d’un délai de 30 jours après avoir été informé de l’ajout ou du remplacement prévu d’un sous-traitant (y compris le nom et l'emplacement du sous-traitant concerné et les activités qu'il effectuera) pour présenter ses objections. Si GLOBAZ confirme au Client la nomination du sous-traitant, le Client est en droit de résilier le Contrat applicable, en tant qu’il concerne les Services sous-traités, avec effets immédiats par notification écrite adressée dans un délai de 14 jours dès réception de la confirmation de GLOBAZ. Ce droit de résiliation est le seul et unique recours du Client en cas d’objection à un nouveau sous-traitant. La nonréaction du Client à l’un ou l’autre des délais visés à cet article 7.3 sera interprétée comme une acceptation du nouveau sous-traitant.

1. Application du Contrat. Les dispositions du Contrat s'appliquent aux aspects de la relation entre les Parties qui ne sont pas régis par cette Annexe.

2. Hiérarchie. En cas de conflit ou d'incompatibilité entre les termes de cette Annexe et les termes du Contrat, les termes de cette Annexe s’appliqueront en priorité.

3. Durée de validité. Cette Annexe entre en vigueur à la signature du Contrat et demeure en vigueur jusqu'à la fin de la fourniture des Services par GLOBAZ selon le Contrat (y compris, le cas échéant, durant toute période postérieure à la résiliation du Contrat durant laquelle GLOBAZ continue de manière transitoire à fournir des Services ou conserve des Données Personnelles Client) (la Durée de validité).

1. Annexe désigne le présent document.

2. Client à la signification donnée dans le Contrat.

3. Contrat désigne le contrat entre le Client et GLOBAZ ayant pour objet la réalisation de Services, dans lequel la présente Annexe est intégrée.

4. Données Client désigne les données (i) transmises par le Client à GLOBAZ ou collectées par GLOBAZ (auprès du Client ou auprès de tiers pour le Client) dans le cadre de l’exécution des Services (ii) et qui sont détenues ou traitées par GLOBAZ.

5. Données Personnelles Client désigne les données personnelles conformément à la Législation suisse sur la protection des données, contenues dans les Données Client.

6. Durée de validité : voir l’article 8.3.

7. Entité Affiliée désigne toute entité contrôlant, contrôlée par, ou sous un contrôle commun avec, une Partie. Pour les besoins de cette définition « contrôler » désigne : (i) la titularité d'au moins 50 % du capital de l’entité ; (ii) la titularité d'au moins 50 % des droits de vote au sein de l'entité ; ou (iii) le pouvoir d'exercer une influence déterminante sur la direction de l'entité.

8. Incident de sécurité désigne une violation de la sécurité entrainant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l'accès non autorisé, de Données Personnelles Client.

9. Législation suisse sur la protection des données désigne la loi fédérale suisse sur la protection des données et ses ordonnances d’application, dans leur version en vigueur durant la Durée de validité.

10. Parties désigne au pluriel GLOBAZ et le Client, ou au singulier l'un d'eux.

11. Services désigne tous les services fournis par GLOBAZ au Client sous le Contrat.