Addendum au GDPR du Royaume-Uni

    Contenu

    Le présent addenda GDPR britannique (ci-après dénommé " addenda ") fait partie de l'accord de traitement des données de XTM (disponible à l'adresse https://xtm.ai/legal/data-processing-agreement) ou de tout autre accord entre vous et nous régissant le traitement des données protégées (ci-après dénommé " DPA "). Sauf définition contraire dans le présent document, les termes en majuscules utilisés dans le présent document ont la signification qui leur est donnée dans le DPA.

    Interprétation et définitions

    Sauf indication contraire dans le présent addenda, les conditions du RGPD s'appliqueront à votre utilisation des services pour traiter les données protégées du Royaume-Uni, et toutes les références (i) au "RGPD" dans le RGPD seront remplacées par le "RGPD du Royaume-Uni" ; et (ii) aux "données protégées" dans le RGPD seront remplacées par les "données protégées du Royaume-Uni".

    Annexe A

    Tableau 1 : Parties

    Date de début La date à laquelle le client commence à utiliser les services pour transférer des données protégées britanniques vers des pays tiers britanniques.
    Les parties Exportateur (qui envoie le transfert restreint) Importateur (qui reçoit le transfert restreint)
    Coordonnées des parties

    Nom légal complet : L'entité identifiée comme le Client dans l'Accord.

    Nom commercial (si différent) : S'il est différent, le nom commercial du client associé au compte XTM du client ou tel que spécifié dans le contrat.

    Adresse principale (s'il s'agit de l'adresse d'une société) : L'adresse du client associée au compte XTM du client ou spécifiée dans l'accord.

    Numéro d'enregistrement officiel (le cas échéant) (numéro d'entreprise ou identifiant similaire) : Le cas échéant, le numéro d'enregistrement officiel du client associé au compte XTM du client ou tel que spécifié dans l'accord.

    Nom légal complet : l'entité XTM identifiée comme étant le fournisseur dans le contrat.

    Nom commercial (si différent) : N/A

    Adresse principale (s'il s'agit de l'adresse d'une société) : L'adresse de l'entité XTM identifiée comme fournisseur dans le contrat.

    Numéro d'enregistrement officiel (le cas échéant) (numéro de société ou identifiant similaire) : Le cas échéant, le numéro d'enregistrement officiel de l'entité XTM identifiée comme fournisseur dans le contrat.
    Contact principal

    Nom complet (facultatif) : Le contact associé au compte XTM du client ou tel que spécifié dans le contrat.

    Titre du poste : L'intitulé du poste du contact associé au compte XTM du client ou tel que spécifié dans l'accord.

    Coordonnées, y compris l'adresse électronique : Les coordonnées du contact associé au compte XTM du client ou tel que spécifié dans l'accord.

    Nom complet (facultatif) : Les détails spécifiés dans l'annexe A du DPA.

    Titre du poste : Responsable de la protection des données.

    Coordonnées, y compris l'adresse électronique : Les coordonnées indiquées à l'annexe A du RGPD.
    Signature (si elle est requise aux fins de la section 2) En utilisant les services pour transférer des données protégées britanniques vers des pays tiers britanniques, l'exportateur sera réputé avoir signé les présentes clauses contractuelles types britanniques. En transférant des données protégées britanniques vers des pays tiers britanniques selon les instructions de l'exportateur, l'importateur sera réputé avoir signé les présentes clauses contractuelles standard britanniques.

    Tableau 2 : Sélection de CCAP, de modules et de clauses sélectionnées

    Addendum CCN de l'UE

    ☒ La version des CCAP approuvées de l'UE à laquelle le présent addendum est annexé, détaillée ci-dessous, y compris les informations relatives à l'appendice :

    Date : La date à laquelle le Client commence à utiliser les Services pour transférer des Données protégées britanniques vers des Pays tiers britanniques.
    Référence (le cas échéant) : N/A
    Autre identifiant (le cas échéant) : Le présent addendum est annexé par référence aux versions suivantes des CCAP approuvées de l'UE, selon le cas :
    (a) les Clauses contrôleur-processeur disponibles à l'adresse suivante : https://xtm.ai/legal/standard-contractual-clauses-controller-to-processor-clauses; et
    (b) les clauses processeur à processeur disponibles à l'adresse suivante : https://xtm.ai/legal/standard-contractual-clauses-processor-to-processor-clauses.

    Tableau 3 : Informations en annexe

    On entend par "informations d'appendice" les informations qui doivent être fournies pour les modules sélectionnés, comme indiqué dans l'appendice des CSC de l'UE approuvées (autres que les parties), et qui, pour le présent addendum, sont indiquées à l'annexe 1A : Liste des parties : "Annexe 1A : Liste des parties" :

    Annexe 1A : Liste des Parties :

    1. Exportateur(s) de données :

    Nom : L'entité identifiée comme le Client dans l'Accord.

    Adresse : L'adresse du client associée à son compte XTM ou toute autre adresse spécifiée dans l'accord.

    Nom, fonction et coordonnées de la personne de contact: Les coordonnées associées au compte XTM du client ou spécifiées dans l'accord.

    Activités pertinentes pour les données transférées en vertu des présentes clauses : Les activités spécifiées à l'annexe A du RGPD.

    Signature et date : En utilisant les services pour transférer des données protégées britanniques vers des pays tiers britanniques, l'exportateur de données sera réputé avoir signé l'annexe I.

    Rôle (contrôleur/traitement) : (I) lorsque les Clauses britanniques de contrôleur à sous-traitant s'appliquent, l'exportateur est un contrôleur ; et (ii) lorsque les Clauses britanniques de sous-traitant à sous-traitant s'appliquent, l'exportateur est un sous-traitant.

    2. Importateur(s) de données :

    Nom : L'entité identifiée comme le fournisseur dans l'accord.

    Adresse : L'adresse du Fournisseur telle qu'elle figure dans l'Accord.

    Nom, fonction et coordonnées de la personne de contact : Les coordonnées du Fournisseur indiquées dans le Contrat.

    Activités pertinentes pour les données transférées en vertu des présentes clauses : Les activités spécifiées à l'annexe A du RGPD.

    Signature et date : En transférant des données protégées du Royaume-Uni vers des pays tiers du Royaume-Uni sur instruction du client, l'importateur de données sera réputé avoir signé l'annexe I.

    Rôle (responsable du traitement/traitement) : Responsable du traitement
    Annexe 1B : Description du transfert :

    Catégories de personnes concernées dont les données à caractère personnel sont transférées

    Les catégories de personnes concernées spécifiées à l'annexe A du RGPD.

    Catégories de données à caractère personnel transférées

    Les catégories de données à caractère personnel spécifiées à l'annexe A du RGPD.

    Les données sensibles transférées (le cas échéant) et les restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme par exemple une limitation stricte de la finalité, des restrictions d'accès (y compris un accès réservé au personnel ayant suivi une formation spécialisée), la tenue d'un registre des accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.

    L'exportateur de données peut inclure des données personnelles sensibles dans les données personnelles spécifiées à l'annexe A du RGPD.

    La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).

    Les données à caractère personnel sont transférées conformément aux instructions du client, comme indiqué au paragraphe 8 du RGPD.

    Nature du traitement

    La nature du traitement est précisée à l'annexe A du RGPD.

    Finalité(s) du transfert et du traitement ultérieur des données

    Fournir les services.

    Durée de conservation des données à caractère personnel ou, si cela n'est pas possible, critères utilisés pour déterminer cette durée

    L'exportateur de données détermine la durée du traitement conformément aux dispositions du RGPD.

    Pour les transferts à des sous-traitants (secondaires), préciser également l'objet, la nature et la durée du traitement.

    L'objet, la nature et la durée du traitement sont décrits à l'annexe A du RGPD.
    Annexe II : Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à garantir la sécurité des données :

    Description des mesures techniques et organisationnelles mises en œuvre par le ou les importateurs de données (y compris toute certification pertinente) pour garantir un niveau de sécurité approprié, compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

    Les mesures techniques et organisationnelles mises en œuvre par l'importateur de données sont définies à l'annexe B du RGPD.

    Pour les transferts vers des (sous-)sous-traitants, décrivez également les mesures techniques et organisationnelles spécifiques que le (sous-)sous-traitant doit prendre pour être en mesure de fournir une assistance au responsable du traitement et, pour les transferts d'un sous-traitant à un sous-traitant ultérieur, à l'exportateur de données.

    Les mesures techniques et organisationnelles mises en œuvre par l'importateur de données figurent à l'annexe B du RGPD.
    Annexe III : Liste des sous-traitants secondaires (modules 2 et 3 uniquement) :

    Comme indiqué dans le RGPD.

    Tableau 4 : Fin du présent addendum en cas de modification de l'addendum approuvé

    Fin du présent addendum en cas de modification de l'addendum approuvé Les parties peuvent mettre fin au présent addendum conformément à la section 19 :
    ☒ Importateur
    ☐ l'exportateur
    ☐ ni l'une ni l'autre des parties

    Partie 2 : Clauses obligatoires

    Conclusion du présent addendum

    1. Chaque partie accepte d'être liée par les conditions énoncées dans le présent addendum, en échange de quoi l'autre partie accepte également d'être liée par le présent addendum.

    2. Bien que l'annexe 1A et la clause 7 des CSC approuvés de l'UE requièrent la signature des parties, aux fins de la réalisation de transferts restreints, les parties peuvent conclure le présent addendum de toute manière qui les rende juridiquement contraignantes pour les parties et qui permette aux personnes concernées de faire valoir leurs droits tels qu'ils sont définis dans le présent addendum. La conclusion du présent addendum aura le même effet que la signature des CCAP approuvés de l'UE et de toute partie des CCAP approuvés de l'UE.

    Interprétation du présent addendum

    3. Lorsque le présent addendum utilise des termes qui sont définis dans les CCAP UE approuvés, ces termes ont la même signification que dans les CCAP UE approuvés. En outre, les termes suivants ont la signification suivante :

    Addendum
    1. Le présent addendum sur le transfert international de données, qui se compose du présent addendum incorporant l'addendum aux CCAP de l'UE.
    Addenda EU SCC
    1. La (les) version(s) des CSC UE approuvées à laquelle (auxquelles) le présent addendum est annexé, comme indiqué dans le tableau 2, y compris les informations de l'appendice.
    Informations en annexe
    1. Comme indiqué dans le tableau 3.
    Garanties appropriées
    1. Le niveau de protection des données à caractère personnel et des droits des personnes concernées, exigé par les lois britanniques sur la protection des données lorsque vous effectuez un transfert restreint en vous appuyant sur des clauses types de protection des données en vertu de l'article 46, paragraphe 2, point d), du GDPR britannique.
    Addendum approuvé
    1. Le modèle d'addendum publié par l'ICO et déposé devant le Parlement conformément à l'article 119A du Data Protection Act 2018 le 2 février 2022, tel qu'il est révisé en vertu de l'article 18.
    Clauses contractuelles types de l'UE approuvées
    1. Les clauses contractuelles types figurant à l'annexe de la décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021.
    ICO
    1. Le commissaire à l'information.
    Transfert restreint
    1. Un transfert couvert par le chapitre V du GDPR britannique.
    ROYAUME-UNI
    1. Le Royaume-Uni de Grande-Bretagne et d'Irlande du Nord.
    Lois britanniques sur la protection des données
    1. Toutes les lois relatives à la protection des données, au traitement des données personnelles, à la vie privée et/ou aux communications électroniques en vigueur de temps à autre au Royaume-Uni, y compris le GDPR britannique et le Data Protection Act 2018.
    GDPR BRITANNIQUE
    1. Tel que défini à l'article 3 de la loi sur la protection des données de 2018.

    4. Le présent addendum doit toujours être interprété d'une manière compatible avec les lois britanniques sur la protection des données et de manière à ce qu'il remplisse l'obligation des parties de fournir les garanties appropriées.

    5. Si les dispositions incluses dans l'addenda CSC UE modifient les CSC approuvés d'une manière qui n'est pas autorisée par les CSC UE approuvés ou l'addenda approuvé, cette ou ces modifications ne seront pas incorporées dans le présent addenda et la disposition équivalente des CSC UE approuvés les remplacera.

    6. En cas d'incohérence ou de conflit entre les lois britanniques sur la protection des données et le présent addendum, les lois britanniques sur la protection des données s'appliquent.

    7. Si la signification du présent addendum n'est pas claire ou s'il y a plus d'une signification, la signification la plus proche des lois britanniques sur la protection des données s'applique.

    8. Toute référence à la législation (ou à des dispositions spécifiques de la législation) désigne cette législation (ou cette disposition spécifique) telle qu'elle peut être modifiée au fil du temps. Cela inclut les cas où cette législation (ou disposition spécifique) a été consolidée, réadoptée et/ou remplacée après la conclusion du présent addendum.

    Hiérarchie

    9. Bien que la clause 5 des CSC approuvés de l'UE stipule que les CSC approuvés de l'UE prévalent sur tous les accords connexes entre les parties, les parties conviennent que, pour les transferts restreints, la hiérarchie de la section 10 prévaudra.

    10. En cas d'incohérence ou de conflit entre l'addendum approuvé et l'addendum EU SCCs (le cas échéant), l'addendum approuvé prévaut sur l'addendum EU SCCs, sauf si (et dans la mesure où) les termes incohérents ou conflictuels de l'addendum EU SCCs offrent une meilleure protection aux personnes concernées, auquel cas ces termes prévaudront sur l'addendum approuvé.

    11. Lorsque le présent Addenda incorpore des CCAP UE addenda qui ont été conclus pour protéger les transferts soumis au Règlement général sur la protection des données (UE) 2016/679, les Parties reconnaissent alors que rien dans le présent Addenda n'a d'incidence sur ces CCAP UE addenda.

    Incorporation et modifications des CCAP de l'UE

    12. Le présent addenda incorpore les CCAP de l'UE addenda, qui sont modifiées dans la mesure nécessaire pour que :

    1. ensemble, elles s'appliquent aux transferts de données effectués par l'exportateur de données vers l'importateur de données, dans la mesure où les lois britanniques sur la protection des données s'appliquent au traitement effectué par l'exportateur de données lors de ce transfert de données, et qu'elles fournissent des garanties appropriées pour ces transferts de données ;
    2. les sections 9 à 11 l'emportent sur la clause 5 (Hiérarchie) de l'addendum aux CCAP de l'UE ; et
    3. le présent addenda (y compris l'addenda EU SCC qui y est incorporé) est (1) régi par les lois de l'Angleterre et du Pays de Galles et (2) tout litige en découlant est résolu par les tribunaux de l'Angleterre et du Pays de Galles, dans chaque cas, à moins que les lois et/ou les tribunaux d'Écosse ou d'Irlande du Nord n'aient été expressément choisis par les parties.

    13. À moins que les parties n'aient convenu d'autres modifications répondant aux exigences de l'article 12, les dispositions de l'article 15 s'appliquent.

    14. Aucune modification ne peut être apportée aux CSC approuvés de l'UE si ce n'est pour satisfaire aux exigences de la section 12.

    15. Les modifications suivantes sont apportées aux CCAP de l'UE de l'addenda (aux fins de la section 12) :

    1. Les références aux "Clauses" désignent le présent addendum, incorporant l'addendum EU SCC ;
    2. Dans la clause 2, supprimer les mots :
      "et, en ce qui concerne les transferts de données des responsables du traitement vers les sous-traitants et/ou des sous-traitants vers les sous-traitants, les clauses contractuelles types conformément à l'article 28, paragraphe 7, du règlement (UE) 2016/679" ;
    3. La clause 6 (Description du ou des transferts) est remplacée par ce qui suit :
      "Les détails du ou des transferts et, en particulier, les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles sont transférées) sont ceux spécifiés à l'annexe I.B lorsque les lois britanniques sur la protection des données s'appliquent au traitement de l'exportateur de données lorsqu'il effectue ce transfert." ;
    4. La clause 8.7 (i) du module 1 est remplacée par le texte suivant
      "c'est vers un pays bénéficiant de règles d'adéquation en vertu de la section 17A du GDPR du Royaume-Uni qui couvre le transfert ultérieur" ;
    5. La clause 8.8, point i), des modules 2 et 3 est remplacée par le texte suivant
      "le transfert ultérieur est effectué vers un pays bénéficiant de réglementations adéquates conformément à la section 17A du GDPR du Royaume-Uni qui couvre le transfert ultérieur ;"
    6. Les références au "règlement (UE) 2016/679", au "règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)" et à "ce règlement" sont toutes remplacées par "les lois britanniques sur la protection des données". Les références à des articles spécifiques du "règlement (UE) 2016/679" sont remplacées par l'article ou la section équivalente des lois britanniques sur la protection des données ;
    7. Les références au règlement (UE) 2018/1725 sont supprimées ;
    8. Les références à l'"Union européenne", à l'"Union", à l'"UE", à l'"État membre de l'UE", à l'"État membre" et à l'"UE ou l'État membre" sont toutes remplacées par le "Royaume-Uni" ;
    9. La référence à la "clause 12(c)(i)" à la clause 10(b)(i) du module un est remplacée par la "clause 11(c)(i)" ;
    10. La clause 13(a) et la partie C de l'annexe I ne sont pas utilisées ;
    11. Les termes "autorité de contrôle compétente" et "autorité de contrôle" sont tous deux remplacés par "commissaire à l'information" ;
    12. À l'article 16, point e), le point i) est remplacé par le texte suivant
      "le secrétaire d'État prend des règlements en vertu de l'article 17A de la loi de 2018 sur la protection des données qui couvrent le transfert de données à caractère personnel auquel ces clauses s'appliquent ;";
    13. La clause 17 est remplacée par ce qui suit :
      "Les présentes clauses sont régies par les lois de l'Angleterre et du Pays de Galles." ;
    14. La clause 18 est remplacée par ce qui suit :
      "Tout litige découlant des présentes clauses sera résolu par les tribunaux d'Angleterre et du Pays de Galles. Une personne concernée peut également intenter une action en justice contre l'exportateur et/ou l'importateur de données devant les tribunaux de n'importe quel pays du Royaume-Uni. Les parties acceptent de se soumettre à la juridiction de ces tribunaux" ; et
    15. Les notes de bas de page des CSC approuvés de l'UE ne font pas partie de l'addendum, à l'exception des notes de bas de page 8, 9, 10 et 11.

    Amendements au présent addendum

    16. Les parties peuvent convenir de modifier les clauses 17 et/ou 18 de l'addendum au CCAP de l'UE pour faire référence au droit et/ou aux juridictions d'Écosse ou d'Irlande du Nord.

    17. Si les parties souhaitent modifier le format des informations figurant dans la partie 1 : Tableaux de l'addendum approuvé, elles peuvent le faire en convenant de la modification par écrit, à condition que la modification ne réduise pas les garanties appropriées.

    18. De temps à autre, l'ICO peut publier un addendum approuvé révisé qui :

    1. apporte des modifications raisonnables et proportionnées à l'Addendum approuvé, y compris la correction d'erreurs dans l'Addendum approuvé ; et/ou

    2. reflète les changements apportés aux lois britanniques sur la protection des données ;

    L'addendum approuvé révisé précisera la date à partir de laquelle les changements apportés à l'addendum approuvé sont effectifs et si les parties doivent revoir cet addendum, y compris les informations figurant en annexe. Le présent addenda est automatiquement modifié conformément à l'addenda approuvé révisé, à compter de la date d'entrée en vigueur spécifiée.

    19. Si l'OIC publie un addendum approuvé révisé en vertu de l'article 18, si l'une des parties sélectionnées dans le tableau 4 "Fin de l'addendum en cas de modification de l'addendum approuvé" subit, en conséquence directe des modifications apportées à l'addendum approuvé, une augmentation substantielle, disproportionnée et démontrable de :
    1. ses coûts directs d'exécution de ses obligations au titre de l'addendum ; et/ou
    2. le risque qu'il encourt en vertu de l'addendum,

    et dans les deux cas, elle a d'abord pris des mesures raisonnables pour réduire ces coûts ou ces risques afin qu'ils ne soient pas substantiels et disproportionnés, cette partie peut alors mettre fin au présent addendum à la fin d'une période de préavis raisonnable, en fournissant un préavis écrit pour cette période à l'autre partie avant la date d'entrée en vigueur de l'addendum approuvé révisé.

    20. Les parties n'ont pas besoin du consentement d'un tiers pour apporter des modifications au présent addendum, mais toute modification doit être effectuée conformément à ses dispositions.