Aller au contenu principal
Sélectionner une page

Accord de traitement des données

 

Le présent accord de traitement des données (ci-après désigné l’« Accord ») s’applique lorsqu’aucun accord de traitement des données n’a été mis en place entre un client de A+A commandant une étude de marché ad hoc (ci-après désigné le « Client ») et A+A, société par actions simplifiée ayant son siège social au 159 Rue Galliéni, 92100 Boulogne-Billancourt, France (ci-après désignée le « Prestataire » ou « A+A »). Le présent Accord définit les obligations respectives du Client et de A+A concernant le traitement des données à caractère personnel dans le cadre desdites prestations d’étude de marché ad hoc.

Le Client et le Prestataire sont individuellement désignés comme une « Partie » ou collectivement comme les « Parties ».

 

ATTENDU QUE :

Le présent Accord est automatiquement annexé au contrat régissant la fourniture des Services (tels que définis ci-après).

Dans le cadre du présent Accord, les Parties conviennent que les termes « Violation de Données à caractère personnel », « Personne Concernée », « Donnée personnelle », « Responsable du traitement », « Responsable », « Sous-traitant », « Sous-traitant ultérieur », « Traitement(s) », « Autorité de Contrôle », ainsi que tout autre terme pertinent relatif aux données personnelles, auront la signification qui leur est attribuée par le RGPD.

De plus, les termes suivants auront la signification indiquée ci-dessous :

« Contrat » : désigne le contrat régissant la fourniture des Services, et en particulier le master service agreement, le statement of work ou le contrat de services signé entre les Parties.

« RGPD » : désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi que toutes ses modifications et lois ou règlements de remplacement.

« Lois sur les Données Personnelles » : désigne toutes les lois, règles et réglementations applicables relatives à la protection des données personnelles.

« Services » : désigne les services ad hoc fournis par le Prestataire au Client dans le cadre du Contrat, quelle que soit la manière dont ils y sont désignés.

« Étude de Marché Syndiquée » : contrairement aux études de marché ad hoc, qui sont réalisées exclusivement au bénéfice d’un seul client en fonction de ses besoins spécifiques exprimés, les études de marché syndiquées, telles que mentionnées dans le code de conduite de l’EphMRA (https://www.ephmra.org/code-conduct-aer), sont réalisées par une société d’étude de marché en tant que commanditaire du projet, au bénéfice de plusieurs clients, et leurs résultats sont destinés à être vendus à plusieurs clients. Pour ces études syndiquées, et contrairement aux études ad hoc, la société d’étude de marché est responsable du traitement des données à caractère personnel concernées, et en tant que telle Responsable du traitement, détient l’ensemble des droits de propriété intellectuelle relatifs à leurs résultats.

Sauf définition contraire donnée dans l’Accord, les termes commençant par une majuscule ont la signification qui leur est attribuée dans le Contrat.

 

PAR CONSÉQUENT, IL EST CONVENU CE QUI SUIT :

 

  1. Portée de l’Accord et statut des Parties

Pour éviter toute ambiguïté, le présent Accord couvre uniquement le traitement réalisé dans le cadre des Services relatifs aux études de marché ad hoc. Pour les Services relatifs aux études de marché syndiquées, le présent Accord ne s’applique pas, le Prestataire agissant en tant que seul responsable du traitement et le Client en tant que tiers pour tous les traitements effectués dans le cadre de ce type de Services. Le Prestataire réalisera le traitement lié aux études de marché syndiquées conformément aux lois applicables en matière de protection des données, y compris, sans limitation, le RGPD (tel que défini ci-dessous).

Concernant les études de marché ad hoc, le Prestataire, agissant en tant que Sous-traitant, traitera les Données personnelles pour le compte du Client agissant en tant que Responsable du traitement et conformément aux instructions documentées et légales qu’il reçoit du Client, et ce exclusivement dans le but de fournir les Services au Client.

En tout état de cause, chaque Partie doit respecter ses obligations en vertu du RGPD et des Lois sur les Données Personnelles.

  1. Traitement des Données personnelles

Le Prestataire est autorisé à traiter, pour le compte du Client, les Données personnelles nécessaires à la fourniture des Services, telles que définies à l’Annexe 1.

Le Prestataire s’engage à :

  • traiter les Données personnelles uniquement aux fins de fourniture des Services couverts par le Contrat et pour la durée définie dans le présent Accord ;
  • traiter les Données personnelles conformément aux instructions documentées et légales écrites du Client, qui peuvent être des instructions spécifiques ou générales telles que définies dans le présent Accord et son annexe ou telles que communiquées par écrit (y compris par e-mail) par le Client au Prestataire;
  • se conformer à toute demande légale du Client exigeant du Prestataire la rectification ou la suppression de Données personnelles.

Si le Prestataire ne peut pas se conformer à une instruction du Client et/ou considère qu’une instruction constitue une violation des Lois sur les Données Personnelles, il doit en informer rapidement le Client et attendre que celui-ci fournisse des instructions légales écrites.

En outre, si le Prestataire est tenu par une loi applicable de traiter les Données personnelles à une autre fin, il informera le Client de cette obligation légale avant tout traitement, sauf si la loi concernée interdit cette information préalable pour des motifs d’ordre public.

Le Prestataire s’engage également à :

  • s’assurer que son personnel et ses Sous-traitants autorisés (tel que défini ci-dessous) qui traiteront des Données personnelles dans le cadre du Contrat :
    • respectent la confidentialité ou sont soumis à des obligations appropriées de confidentialité ;
    • sont contractuellement tenus de se conformer à des obligations similaires à celles du Prestataire telles que définies dans le présent Accord ;
  • prendre en compte, en ce qui concerne ses outils, produits, applications ou services, les principes de protection des données dès la conception et par défaut ;
  • coopérer pleinement avec le Client dans la mise en œuvre de toute mesure ou disposition pouvant être requise en matière de protection des Données personnelles conformément aux obligations découlant des Lois sur les Données Personnelles, à toute décision judiciaire ou à toute autorité de contrôle compétente que le Client peut raisonnablement exiger.

Le Prestataire tiendra un registre de toutes les catégories d’activités de traitement réalisées pour l’exécution des Services pendant toute la durée prévue au présent Accord.

En outre, les Parties formeront régulièrement leur personnel ayant accès aux Données personnelles aux Lois applicables sur les Données personnelles, y compris notamment aux mesures de sécurité et de confidentialité des données.

  1. Assistance

Le Prestataire s’engage, à la demande écrite raisonnable du Client, à coopérer rapidement et à assister le Client selon ses besoins afin de permettre à ce dernier de respecter ses obligations en vertu des Lois sur les Données Personnelles.

En particulier, le Prestataire s’engage à assister le Client, en tenant compte des informations dont il dispose, afin de garantir le respect par le Client de ses obligations relatives à la réalisation d’analyses d’impact sur la protection des Données. Le cas échéant, le Prestataire assistera le Client dans la réalisation de la consultation préalable auprès de l’autorité de contrôle compétente.

Le Prestataire s’engage à fournir au Client toutes les informations nécessaires pour démontrer sa conformité aux obligations prévues par les Lois sur les Données Personnelles et par le présent Accord.

  1. Informations des Personnes concernées / Consentement et demandes d’exercice de leurs droits

Conformément aux règles d’études de marché applicables :

  • Le Prestataire sera tenu : i) d’informer les Personnes concernées du traitement réalisé par le Prestataire, ainsi que par ses Sous-traitants autorisés le cas échéant, dans le cadre des Services ; et ii) de recueillir leur consentement préalable à l’aide du formulaire de consentement du Prestataire. Les informations fournies et le formulaire de consentement seront préalablement examinés et validés par le Client avant toute utilisation.
  • Le Prestataire gérera directement les demandes d’exercice des droits des Personnes concernées par le traitement des Données personnelles effectué pour les Services, et ce conformément aux Lois sur les Données Personnelles. Le Prestataire s’engage à gérer ces demandes conformément aux Lois sur les Données Personnelles, notamment en ce qui concerne les délais dans lesquels ces demandes doivent être traitées.

Par exception, lorsque les Personnes concernées figurent sur une liste de répondants potentiels à recruter pour les Services, et que cette liste a été fournie au Prestataire par le Client ou un tiers agissant pour le compte du Client, le Prestataire informera rapidement le Client de cette demande afin que le Client et le Prestataire puissent gérer cette demande conformément aux Lois sur les Données Personnelles.

  1. Résiliation du traitement et suppression des Données personnelles

La durée du traitement de Données Personnelles ne doit pas excéder la durée des Services du projet concerné.

À la fin des Services relatifs au projet concerné, quelle qu’en soit la raison, le Prestataire cessera de traiter toute Donnée personnelle pour le compte du Client.

À la demande écrite du Client, et néanmoins au plus tard trois (3) ans après la fin des Services du projet concerné, le Prestataire détruira toutes les Données personnelles collectées et traitées dans le cadre des Services, sans conserver de copies, sauf pour les Données personnelles devant être conservées plus longtemps afin que le Prestataire puisse remplir ses obligations prévues par toute loi applicable. Les Données personnelles seront entièrement supprimées une fois ces obligations remplies.

Un certificat de destruction pourra être fourni au Client sur demande écrite de sa part.

  1. Mesures de sécurité

Le Prestataire s’engage à mettre en œuvre et à maintenir des mesures techniques et organisationnelles appropriées afin d’assurer la sécurité et la confidentialité des Données personnelles et de prévenir tout traitement illégal ou non autorisé, ainsi que toute destruction, altération, perte accidentelle, divulgation ou accès non autorisé aux Données personnelles, conformément aux Lois sur les Données Personnelles.

En outre, le Prestataire s’engage à se conformer aux bonnes pratiques et à l’état de l’art dans ce domaine.

En particulier, le Prestataire a mis en place les mesures de sécurité prévues dans sa politique «CS_POL_03 IT security measures

  1. Violation des Données Personnelles

Si le Prestataire prend connaissance d’une Violation de Données personnelles, il s’engage à :

  • la notifier au Client dans les quarante-huit (48) heures suivant sa prise de connaissance, en fournissant une description détaillée de la Violation de Données personnelles, y compris le type de Données personnelles concernées et les catégories de Personnes affectées par la Violation de Données. Si ces informations ne sont pas disponibles dans les quarante-huit (48) heures, elles seront fournies au Client de manière progressive, sans retard injustifié ;
  • prendre des mesures immédiates pour enquêter rapidement sur cette Violation de Données personnelles et identifier ses effets ;
  • prendre les mesures nécessaires pour prévenir et atténuer les effets supplémentaires et entreprendre toute autre action visant à remédier à la Violation de Données personnelles ;
  • continuer à fournir rapidement au Client toute assistance raisonnable nécessaire pour enquêter sur les causes de la Violation de Données personnelles et mettre en œuvre les mesures correctives et d’atténuation de cette dernière. 
  1. Sous-traitance

Le Prestataire devra obtenir l’accord écrit préalable du Client avant d’impliquer des Sous-traitants pour la réalisation des Services. Les Sous-traitants listés à l’Annexe 2 du présent Accord sont considérés comme ayant été approuvés par le Client pour l’exécution des Services dans le cadre du Contrat et du présent Accord.

Pour tout Sous-traitant non listé dans le présent Accord, le Prestataire enverra une demande écrite au Client pour les Services concernés. Le Client fournira son accord écrit préalable dans un délai de trois (3) jours ouvrables à compter de la réception de cette demande par le Prestataire. Si cet accord est fourni après ce délai ou si le Sous-traitant proposé est refusé par le Client, le Prestataire ne pourra être tenu responsable d’un retard dans l’exécution des Services découlant de l’accord tardif du Client ou de son refus.

Le Prestataire demeure responsable de l’exécution des Services par ses Sous-traitants conformément au Contrat et au présent Accord dans la mesure où il est responsable de sa propre exécution des Services.

Le Prestataire s’engage à ce que les Sous-traitants soient liés par des obligations au moins équivalentes à celles auxquelles le Prestataire est soumis en vertu du présent Accord.  

  1. Transfert de Données

Le Client reconnaît et accepte que, pour certains Services, le Prestataire puisse transférer et traiter les Données personnelles traitées dans le cadre des Services partout dans le monde où le Prestataire et/ou ses affiliés et/ou ses Sous-traitants disposent d’opérations de traitement de données, sous réserve que : i) le Prestataire assure à tout moment un niveau de protection adéquat des Données personnelles traitées, et que ii) le Client ait préalablement approuvé ce transfert conformément aux exigences du RGPD, du Contrat et du présent Accord.

Si, pour l’exécution des Services, des Données personnelles sont transférées en dehors de l’Espace économique européen (ci-après «EEE»), du Royaume-Uni ou de la Suisse, vers un pays ne disposant pas d’un niveau de protection équivalent ou adéquat au sens du RGPD, les Parties se conformeront aux dispositions des Clauses Contractuelles Types de l’UE entre Responsable de traitement et Sous-traitants telles qu’adoptées par la Commission européenne dans le cadre du RGPD, et telles que modifiées ou remplacées à tout moment, y compris, le cas échéant, l’Addendum britannique pour le transfert international de données ou l’Addendum suisse aux Clauses Contractuelles Types (ci-après les «CCT»).

Les CCT s’appliqueront aux transferts de Données personnelles hors de l’EEE :

  • Le MODULE DEUX des CCT s’applique aux transferts de Données personnelles du Client (agissant en tant que Responsable de traitement) vers le Prestataire (agissant en tant que Sous-traitant), et le MODULE QUATRE des CCT s’applique aux transferts de Données personnelles du Prestataire (agissant en tant que Sous-traitant) vers le Client (agissant en tant que Responsable de traitement).
  • La Clause 7 (Docking Clause – MODULE DEUX & MODULE QUATRE des CCT) s’applique.
  • En vertu de la Clause 9 (Utilisation des sous-traitants – MODULE DEUX des CCT), l’OPTION 1 (autorisation spécifique préalable) s’applique avec le délai défini à l’article 8 du présent Accord. La liste des Sous-traitants autorisés figure dans i) l’Annexe 2 du présent Accord et ii) dans le Contrat d’application correspondant projet par projet.
  • En vertu de la Clause 11 (Recours – MODULE DEUX & MODULE QUATRE des CCT), l’exigence optionnelle permettant aux Personnes concernées de déposer une plainte auprès d’un organisme indépendant de résolution des litiges ne s’applique pas.
  • En vertu de la Clause 13 (Supervision – MODULE DEUX des CCT), lorsque l’exportateur de données est établi dans un État membre de l’Union européenne ou de l’EEE, l’autorité française compétente pour la protection des données (CNIL) agira en tant qu’autorité de contrôle compétente.
  • En vertu de la Clause 17 (Droit applicable – MODULE DEUX & MODULE QUATRE des CCT), les CCT sont régies par le droit français.
  • En vertu de la Clause 18 (Choix du tribunal et compétence – MODULE DEUX & MODULE QUATRE des CCT), il est convenu que tout litige découlant des CCT sera tranché par les tribunaux français.
  • L’Annexe I des CCT (MODULE DEUX & MODULE QUATRE des CCT) est reproduite ci-après à l’Annexe 3 du présent Accord.
  • L’Annexe II des CCT (MODULE DEUX & MODULE QUATRE des CCT) est reproduite ci-après à l’Annexe 3 du présent Accord.
  • L’Annexe III des CCT (MODULE DEUX des CCT) est reproduite ci-après à l’Annexe 3 du présent Accord.

Par exception à ce qui précède, lorsque l’Addendum britannique pour le transfert international de données ou l’Addendum suisse s’applique, le droit applicable et la juridiction compétente seront respectivement le droit et les tribunaux du Royaume-Uni, ou le droit et les tribunaux de Suisse.

Les Parties garantissent que les CCT resteront pleinement en vigueur pendant toute la durée du présent Accord.

  1. Liste des répondants et panel
  • Liste des répondants potentiels : Si le Prestataire et/ou ses Sous-traitants autorisés reçoit un fichier contenant des Données personnelles directement du Client ou d’un tiers agissant pour le compte du Client afin d’utiliser ces Données personnelles pour les Services (par exemple : une liste de répondants potentiels), le Client garantit par le présent Accord au Prestataire que ce fichier est conforme aux exigences des Lois sur les Données Personnelles, et en particulier que :
  • le Client dispose des droits et autorisations nécessaires pour transmettre ce fichier au Prestataire et/ou aux Sous-traitants autorisés du Prestataire pour le traitement dans le cadre des Services ; et
  • le Prestataire et/ou ses Sous-traitants autorisés peuvent traiter les Données personnelles pour les Services.
  • Données personnelles des répondants faisant partie du panel du Prestataire ou de ses Sous-traitants : si, pour la réalisation des Services, il est nécessaire en vertu de la loi, et notamment des obligations de pharmacovigilance du Client, que des Données personnelles directement identifiables des répondants faisant partie du panel du Prestataire ou de ses Sous-traitants soient communiquées au Client et/ou à ses Affiliés, le Client s’engage à ce que lui-même et/ou ses Affiliés :
  • Traite ces Données personnelles conformément aux Lois sur les Données Personnelles et aux lignes directrices et codes de conduite de l’industrie des études de marché, et notamment, s’engage à ne pas conserver les Données personnelles concernées pendant une durée supérieure à celle requise par la loi applicable telle que définie dans les notices d’information fournies aux répondants concernés ;
  • Respectent les droits de propriété intellectuelle attachés au panel du Prestataire et de ses Sous-traitants, ainsi que la confidentialité des Données personnelles faisant partie dudit panel. En particulier, le Client s’engage à s’assurer que ces Données personnelles ne sont utilisées qu’aux fins du traitement de données dans le cadre du projet concerné et à aucune autre fin. La création d’un panel de répondants à partir des Données personnelles concernées est interdite et constituerait une violation des droits de propriété du Prestataire et de ses Sous-traitants. 
  1. Responsabilité

11.1. Le Prestataire s’engage à exécuter les Services avec la diligence et le soin dus à un professionnel spécialisé dans les Services proposés. Le Prestataire sera responsable des dommages directs susceptibles d’être causés au Client et/ou à ses Affiliés, résultant de ou en lien avec l’exécution des Services, que ces dommages proviennent du Prestataire et/ou de ses sous-traitants, dès lors qu’ils sont jugés recevables par un tribunal compétent.

11.2. Dans l’hypothèse où la responsabilité du Prestataire serait engagée au regard des données qu’il traite dans le cadre de l’étude de marché concernée, la responsabilité maximale et cumulée du Prestataire envers le Client pour toutes réclamations sera limitée au montant du budget payé pour les Services au titre du Contrat concerné et ne pourra excéder le montant prévu dans l’assurance cyber du Prestataire.

11.3. En aucune circonstance, l’une ou l’autre des Parties ne pourra être tenue responsable : (a) de toute perte d’activité, de chiffre d’affaires, de bénéfices, d’économies anticipées, d’opportunité, d’image, d’usage ou de données, qu’elles résultent directement ou indirectement ; ou (b) de tout dommage indirect, punitif, particulier, accessoire ou consécutif.

  1. Loi applicable et juridiction compétente

Le présent Accord est régi et interprété conformément aux lois françaises.

En cas de litige, malentendu et/ou différend découlant de ou en lien avec le présent Accord, les Parties s’efforceront de résoudre amiablement tout litige, malentendu et/ou différend. Toutefois, si un règlement amiable ne peut être trouvé dans un délai de soixante (60) jours, ces litiges, malentendus et/ou différends seront définitivement réglés par le tribunal compétent de Lyon, France.

ANNEXE 1 – Description du traitement

Catégories de personnes concernées dont les données personnelles sont traitées :

Les données personnelles traitées dans le cadre des Services concernent les catégories de personnes suivantes (cocher la ou les case(s) appropriée(s)) :

☒ Professionnels de santé

☒ Patients

☒ Famille, proches et aidants des patients

☒ Collaborateurs du Client

☒ Prospects, clients, partenaires commerciaux et fournisseurs du Client

☐ Agents, conseillers, indépendants ou autres partenaires du Client

☒ Toute autre personne concernée devant être impliquée dans les Services

Catégories de données personnelles traitées :

Les données personnelles traitées dans le cadre des Services concernent les types de données suivants (cocher la ou les case(s) appropriée(s)) :

☒ Coordonnées (ex. : nom, prénom, email, numéro de téléphone, adresse postale, fonction, titre, employeur)

☒ Informations sur l’appareil et son utilisation (ex. : adresse IP, identifiants uniques de l’appareil)

☒ Données démographiques et centres d’intérêt (ex. : âge, préférences, loisirs, tranche de revenu probable, segments publicitaires)

☒ Données d’identification, identifiants gouvernementaux (ex. : numéro de sécurité sociale, permis de conduire, passeport)

☒ Données de vie professionnelle

☒ Données de vie personnelle

☒ Données financières (ex. : informations bancaires)

☐ Données de localisation (ex. : coordonnées GPS)

☒ Toute autre donnée personnelle devant être collectée dans le cadre des Services

 

Les catégories particulières de données personnelles traitées, auxquelles des restrictions ou mesures de protection spécifiques doivent être appliquées en tenant pleinement compte de la nature des données et des risques encourus (par exemple : limitation stricte de la finalité, restrictions d’accès incluant accès uniquement pour le personnel ayant suivi une formation spécialisée, tenue d’un registre d’accès aux données, restrictions sur les transferts ultérieurs ou mesures de sécurité supplémentaires), sont les suivantes (cocher la case appropriée) :

☒ Origine raciale ou ethnique

☐ Opinions politiques

☒ Croyances religieuses ou philosophiques

☐ Appartenance syndicale

☒ Données génétiques

☐ Données biométriques (lorsqu’elles sont utilisées à des fins d’identification)

☒ Données de santé

☒ Vie sexuelle

☒ Orientation sexuelle

☒ Toute autre catégorie particulière de données personnelles devant être collectée pour les Services

Dans la mesure où le Prestataire traite des données de catégories particulières, celui-ci s’engage à les protéger conformément aux Lois sur les Données Personnelles et à la sensibilité de ces données.

Type de traitement :

Le traitement des données personnelles comprend les types de traitement suivants :

☐ Collecte
☒ Consultation
☒ Enregistrement
☒ Utilisation
☒ Organisation
☒ Communication
☒ Structuration
☒ Mise à disposition
☒ Stockage
☒ Croisement / combinaison / appariement
☒ Adaptation / Mise à jour
☒ Restriction d’usage / d’accès
☐ Consultation / récupération
☒ Suppression ou destruction
☒ Accès à distance
☐ Manipulation des supports (ex. : transport de supports contenant des données personnelles)
☒ Autre : tout autre traitement requis dans le cadre des Services

Nature du traitement / du transfert : La nature du traitement et du transfert est telle que définie dans le Contrat.

Finalité(s) du traitement / transfert : Permettre au Prestataire de fournir les Services conformément au Contrat.

Durée du traitement / fréquence du transfert : De manière continue, pendant toute la durée d’engagement du Prestataire pour fournir les Services dans le cadre du Contrat.

Durée de conservation des données personnelles ou critères permettant de la déterminer : Pendant toute la durée de la fourniture des Services conformément au Contrat.

Pour les transferts vers et le traitement par les Sous-traitants : préciser également l’objet, la nature et la durée du traitement : Les Sous-traitants traiteront les données personnelles uniquement dans la mesure nécessaire à la réalisation des Services, pour la durée du Contrat, sauf accord écrit contraire.

ANNEXE 2 – Liste des Sous-traitants autorisés (y compris les Affiliés du Prestataire) impliqués dans le traitement des Données Personnelles pour les Services

Nom des Sous-traitants autorisés

Siège

Services sous-traités

EURL STPEM-SOC TERRAIN ETUDES MARCHE

(filiale du Prestataire, détenue à 100 % par le Prestataire)

France

Services de terrain

Excel Fieldwork Limited (filiale du Prestataire, détenue à 100 % par le Prestataire)

Royaume-Uni

Services de terrain

*Comme tous les Sous-traitants susceptibles d’être nécessaires à la réalisation des Services ne peuvent pas être connus au moment de la conclusion de cet Accord, lorsqu’un Sous-traitant s’avérera nécessaire pour la réalisation des Services concernés, le Prestataire le soumettra préalablement par écrit (les courriels étant autorisés) au Client, pour accord préalable de sa part aux fins d’impliquer ledit Sous-traitant dans la réalisation des Services.

 

ANNEXE 3 – Clauses contractuelles types

  1. Liste des Parties

MODULE DEUX : Transfert du Responsable du traitement vers le Sous-traitant

MODULE QUATRE : Transfert du Sous-traitant vers le Responsable du traitement

Aux fins de la présente section, les noms des Parties et leurs informations sont ceux indiqués dans le préambule de l’Accord et dans le Contrat.

  • L’adresse e-mail du DPO du Client est celle indiquée sur le site internet du Client.
  • L’adresse e-mail du DPO du Prestataire est la suivante : dpo@aplusaresearch.com.

Activités liées aux données transférées dans le cadre des présentes CCT : la réalisation des Services tels que définis dans l’Accord.

Rôles : le Client agira en tant que Responsable du traitement et le Prestataire agira en tant que Sous-traitant.

  1. Description du Transfert

MODULE DEUX: Transfert du Responsable du traitement vers le Sous-traitant

MODULE QUATRE: Transfert du Sous-traitant vers le Responsable du traitement

Aux fins de la présente section, les Parties se réfèrent à l’article 9 et à l’Annexe 1 du présent Accord, ainsi qu’au Contrat.

  1. Autorité de Contrôle Compétente

MODULE DEUX : Transfert du Responsable du traitement vers le Sous-traitant

MODULE QUATRE : Transfert du Sous-traitant vers le Responsable du traitement

Les Parties se réfèrent à l’article 9 du présent Accord.

  1. Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à garantir la sécurité des Données à caractère personnel concernées

MODULE DEUX : Transfert du Responsable du traitement vers le Sous-traitant

MODULE QUATRE : Transfert du Sous-traitant vers le Responsable du traitement

Le Prestataire maintiendra des garanties organisationnelles, administratives, physiques et techniques visant à protéger la sécurité des Données à caractère personnel dans le cadre des Services, conformément à l’article 6 et à l’Annexe 4 du présent Accord.

  1. Liste des Sous-traitants

MODULE DEUX : Transfert du Responsable du traitement vers le Sous-traitant

Les Parties se réfèrent à l’article 8 et à l’Annexe 2 du présent Accord.

  

ANNEXE 4 – Mesures de sécurité du Prestataire

Les mesures de sécurité du Prestataire sont définies dans la procédure opérationnelle standard du Prestataire intitulée « CS_POL_03 : IT Security measures – AplusA ». Le Prestataire fournira une copie de cette procédure opérationnelle standard au Client dans les meilleurs délais, sur demande écrite du Client.

 

ANNEXE 5 – SUISSE ET ROYAUME-UNI

ADDENDUM SUISSE AUX CCT EU

Le présent addendum est applicable dans la mesure où des données personnelles provenant de Suisse sont communiquées au destinataire de données identifié dans les CCT ci-dessus.

1. Champ d’application

Dans la mesure où la législation Suisse sur la protection des données, et notamment la Loi fédérale sur la protection des données du 19 juin 1992 ou, après son entrée en vigueur, la Loi fédérale sur la protection des données du 25 septembre 2020 dans sa dernière version (« LPD »), s’applique, les modifications énoncées dans le présent addendum s’appliquent aux CCT.

2. Modifications

2.1. Le terme « données personnelles » tel qu’utilisé dans les CCT inclut les données personnelles telles que définies par la LPD.

2.2. Toute référence au RGPD doit être considérée comme une référence aux dispositions de la LPD régissant les mêmes sujets et/ou sujets similaires.

2.3. Le terme « État membre » ne doit pas être interprété de manière à exclure les personnes concernées en Suisse de la possibilité d’engager une action en justice pour la protection de leurs droits dans leur lieu de résidence habituelle (Suisse), conformément à la clause 18(c) des CCT. Les tribunaux suisses constituent un lieu de juridiction alternatif pour les personnes concernées dont le lieu de résidence habituel est en Suisse.

2.4. Clause 13 et Annexe I, section C des CCT : l’autorité de contrôle compétente en matière de LPD est le Préposé fédéral à la protection des données et à la transparence.

 

ADDENDUM ROYAUME-UNI AUX CCT EU

Le présent addendum est applicable dans la mesure où des données personnelles provenant du Royaume-Uni sont communiquées au destinataire de données identifié dans les CCT ci-dessus.

1. Partie 1 : Tableaux

Se référer aux informations figurant dans les dispositions pertinentes, y compris celles des CCT mentionnées ci-dessus.

 2. Partie 2 : Clauses obligatoires

Se référer à la « Partie 2 : Clauses obligatoires » des « Standard Data Protection Clauses émises par le Commissaire en vertu de l’article 119A(1) Data Protection Act 2018 – International Data Transfer Addendum aux Standard Contractual Clauses de la Commission européenne – Version B1.0, en vigueur le 21 mars 2022 ».

 

Présentation de la confidentialité
APLUSA

Lorsque vous naviguez sur nos sites, AplusA utilise des cookies et des technologies similaires afin de collecter des données d’utilisateurs aux fins suivantes :

Cookies nécessaires

Cookies nécessaires pour permettre à nos sites Internet de fonctionner.

Cookies statistiques et analytiques

Cookies nous permettant, grâce à des statistiques anonymes, d’améliorer nos sites Internet.

Cookies publicitaires

Cookies nous permettant d’optimiser notre site Internet en fonction de vos préférences et de personnaliser la publicité en fonction de votre profil.