1.1 Le « Contrat » désigne le contrat de prestations de services, les conditions générales du bon de
commande ou de tout autre contrat en vertu duquel le Fournisseur fournit des services au Client.
1.2 Le « Client » désigne la société SAFI SALONS FRANÇAIS ET INTERNATIONAUX (RCS Paris n° 388.424.129) recevant les services fournis en vertu du Contrat par le Fournisseur.
1.3 Les "Lois sur la protection des données » désigne de toutes les lois, règles, réglementations, décisions, ordonnances et autres exigences gouvernementales en matière de confidentialité et de protection des données applicables au Traitement des Informations personnelles.
1.4 Les « Informations personnelles » désigne des données à caractère personnel que le Fournisseur Traite en vertu du Contrat.
1.5 Le « Traitement » désigne de tout traitement, de toute opération ou de tout ensemble d’opérations effectué sur les Informations personnelles, ou encore de tout autre accès à celles-ci. « Traiter » et « Traité » ont des significations correspondantes.
1.6 Le « Fournisseur » désigne le prestataire ou le fournisseur qui fournit les services au Client en vertu du Contrat.
1.7 Les termes minuscules « données à caractère personnel », « personne concernée », « traitement », « responsable du traitement », « responsable conjoint du traitement », « sous-traitant », « violation de données à caractère personnel » et « autorité de contrôle » ont la signification qui leur est attribuée dans les Lois sur la protection des données. Lorsque celles-ci utilisent des termes équivalents ou correspondants, tels que « informations personnelles » au lieu de « données à caractère personnel », ils doivent être compris de la même manière dans les présentes.
1.8 Les termes en majuscules figurant dans les présentes sans définition auront la signification indiquée dans le Contrat.
2.1 La nature et la finalité des activités de Traitement effectuées par le Fournisseur pour le compte du Client sont liées à la fourniture des services en vertu du Contrat.
2.2 La durée du Traitement désigne la durée du droit du Client de bénéficier des services ou de les utiliser jusqu’à la destruction des Informations personnelles conformément au Contrat.
2.3 Les catégories de personnes concernées sont les personnes sur lesquelles des Informations personnelles sont fournies au Fournisseur par le Client ou sous sa direction dans le cadre des services dans le cadre du Contrat.
2.4 Les différents types d’Informations personnelles sont les types de données à caractère personnel fournies au Fournisseur par le Client ou sous sa direction dans le cadre des services dans le cadre du Contrat.
2.5 Concernant les Informations personnelles incluses, le cas échéant, parmi les données d’un compte client, de données d’utilisation ou autres données que le Fournisseur Traite en tant que responsable du traitement, tel que nécessaire pour fournir, gérer ou protéger les services, le Client et le Fournisseur constituent chacun un responsable du traitement indépendant pour lesdites données et non un responsable conjoint du traitement. Il incombe au Fournisseur de s’assurer de la légalité du Traitement desdites Informations personnelles.
2.6 Concernant les Informations personnelles que le Fournisseur collecte indépendamment en tant que responsable du traitement et fournit au Client dans le cadre des services, le Fournisseur et le Client constituent chacun un responsable du traitement indépendant et non un responsable conjoint du traitement. Il incombe au Fournisseur de vérifier la légalité des Informations personnelles qu’il fournit au Client pour Traitement.
2.7 Toutes les autres précisions des activités de Traitement effectuées par le Fournisseur pour le compte du Client et les instructions du Client pour le Fournisseur à l’égard du Traitement sont définies dans le Contrat.
3.1 Le Fournisseur Traitera les Informations personnelles conformément à ses obligations en vertu des Lois sur la protection des données et uniquement dans la mesure nécessaire aux fins de l’exécution en vertu du Contrat.
3.2 Dans la mesure où le Fournisseur Traite des Informations personnelles pour le compte du Client, il ne les Traitera que sur les instructions documentées du Client (comme notamment le Contrat), sauf exigence de la loi applicable à laquelle le Fournisseur est soumis. Dans un tel cas, le Fournisseur avise le Client de cette exigence légale avant le Traitement, sauf si cette loi interdit cette notification pour des motifs importants d’intérêt public. Le Fournisseur informe immédiatement le Client si, à son avis, une instruction enfreint les Lois sur la protection des données.
Le Fournisseur veille à ce que les personnes autorisées à Traiter les Informations personnelles se soient engagées à respecter leur confidentialité ou soient soumises à une obligation légale de confidentialité appropriée et à ce qu’elles ne Traitent celles-ci que sur instructions du Client, sauf si la loi applicable les y oblige.
Le Fournisseur doit mettre en œuvre et tenir à jour des mesures techniques et organisationnelles appropriées, notamment celles visées dans le Contrat, afin que son Traitement des Informations personnelles réponde aux exigences des Lois sur la protection des données, garantisse la protection des droits des personnes concernées et fournisse un niveau de protection au moins égal à celui exigé par lesdites Lois.
Sous réserve des dispositions légales applicables, le Fournisseur avise rapidement le Client par écrit de toute demande d’une personne concernée, d’une autorité de contrôle ou d’un autre tiers ou encore de toute assignation, de toute autre ordonnance judiciaire ou bien administrative, de toute demande d’une autorité gouvernementale ou de toute procédure que le Fournisseur reçoit visant à demander un accès aux Informations personnelles ou la divulgation de celles-ci. Le Client a le droit de s’opposer à une telle action ou d’intervenir dans celle-ci ou encore de gérer une telle demande à ses propres frais à la place et pour le compte du Fournisseur, sauf dispositions légales contraires. Le Fournisseur collabore raisonnablement avec le Client dans de telles procédures.
7.1 Compte tenu de la nature du Traitement, le Fournisseur aide le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour lui permettre d’accomplir son obligation de répondre aux demandes d’exercice des droits des personnes concernées prévus par les Lois sur la protection des données (notamment les droits d’accès, de rectification, d’opposition et d’effacement, le cas échéant).
7.2 Le Fournisseur aide le Client à respecter les exigences de la sécurité des données, de la notification de violation de données à caractère personnel et d’autres obligations en vertu des Lois sur la protection des données en tenant compte de la nature du Traitement et des Informations personnelles qui lui sont disponibles.
Le Fournisseur avise le Client tel qu’énoncé au Contrat, sans retard injustifié et dans tous les cas dans le délai requis par les Lois sur la protection des données, dès qu’il a découvert une violation de données à caractère personnel à l’égard des Informations personnelles. Il fait preuve d’une diligence raisonnable pour aider le Client dans le cadre de l’enquête et de la réparation d’une telle violation de données à caractère personnel.
Dans la mesure où le Fournisseur Traite des Informations personnelles pour le compte du Client, il met à la disposition de celui-ci tous les renseignements nécessaires pour attester son respect des Lois sur la protection des données. Il autorise les audits et y contribue, notamment les inspections, menés par le Client ou par un autre auditeur mandaté par celui-ci, sous réserve d’engagements de confidentialité appropriés.
10.1 Dans la mesure où le Fournisseur Traite des Informations personnelles pour le compte du Client, celui-ci donne par les présentes une autorisation écrite générale au Fournisseur lui permettant d’engager d’autres sous-traitants pour Traiter les Informations personnelles sauf dispositions contraires prévues au Contrat. Le Fournisseur informe le Client de tout changement prévu concernant l’ajout ou le remplacement de ces autres sous-traitants, donnant ainsi à celui-ci la possibilité de s’opposer raisonnablement à de tels changements.
10.2 Lorsque le Fournisseur engage un autre sous-traitant pour effectuer des activités de Traitement particulières pour le compte du Client, les mêmes obligations en matière de protection des données que celles énoncées dans les présentes et dans le Contrat ou dans un autre instrument juridique entre les Parties sont imposées à cet autre sous-traitant par le biais d’un contrat ou autre instrument juridique en vertu des Lois sur la protection des données applicables. Si cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, le Fournisseur reste entièrement responsable de l’exécution des obligations de cet autre sous-traitant.
Les Informations personnelles peuvent être transférées vers tout pays où le Fournisseur et les sous- traitants qu’il engage gèrent des installations soumises à des garanties appropriées telles que décrites dans les Lois sur la protection des données, y compris tout dispositif de transfert applicable.
Le Fournisseur dispense une formation appropriée en matière de confidentialité (notamment toute formation pouvant être exigée par les Lois sur la protection des données) au personnel qui Traite des Informations personnelles.
Lorsque le Client fait face à une demande réelle ou potentielle découlant d’une violation des Lois sur la protection des données concernant les services fournis par le Fournisseur en vertu du Contrat ou s’y rapportant, celui-ci donne rapidement tous les documents et renseignements pertinents à la défense liée à cette demande et les circonstances sous-jacentes à celles-ci.
14. Destruction
Immédiatement après la fin de la fourniture des services relatifs au Traitement des Informations personnelles par le Fournisseur pour le compte du Client, ou antérieurement si le Client le demande, le Fournisseur, au choix du Client, supprime ou retourne à celui-ci ou à son représentant (sous le format de données que le Client peut raisonnablement indiquer) toutes les Informations personnelles et supprime les copies existantes, sauf si les Lois sur la protection des données exigent le stockage des Informations personnelles. À la demande du Client, le Fournisseur certifie cette destruction par écrit.
15. Conditions particulières aux territoires
Dans la mesure où le Fournisseur Traite des Informations personnelles provenant de l’un des territoires figurant dans l’annexe aux présentes ou autrement soumises aux Lois sur la protection des données d’un tel territoire, les conditions qui y sont précisées à l’égard du ou des territoires applicables s’appliquent en plus des conditions précitées.
Conditions particulières aux territoires
1.1 Dans la mesure où le Client transfère des Informations personnelles provenant de l’Espace économique européen (ci-après l’« EEE ») ou de la Suisse à un Fournisseur situé en dehors de l’EEE ou de la Suisse, sauf si les Parties peuvent recourir à un autre dispositif ou une autre base de transfert en vertu des Lois sur la protection des données, les Parties seront réputées avoir conclu les clauses contractuelles types approuvées par la décision de la Commission européenne (UE) 2021/914 du 4 juin 2021 accessibles à l’adresse http://data.europa.eu/eli/dec_impl/2021/914/oj (ci-après les « CCT de l’UE de 2021 »), à l’égard d’un tel transfert, selon lesquelles le Client est l’« exportateur de données », le Fournisseur est l’« importateur de données », l’« Autorité de contrôle compétente » est celle du pays où l’exportateur de données est établi, les notes de bas de page, clause 11 paragraphe a) option et clause 17 option 1 sont omises, le contenu des annexes applicables correspond au contenu respectif du Contrat et i) dans la mesure où chaque Partie agit en tant que responsable du traitement, le module 1 s’applique et les modules deux, trois et quatre sont omis ; ii) dans la mesure où le Client agit en tant que responsable du traitement et le Fournisseur agit en tant que sous-traitant, le module deux s’applique, les modules un, trois et quatre sont omis, la clause 9 paragraphe a) option 1 est omise et le délai de l’option 2 est de 14 jours ; iii) dans la mesure où chaque Partie agit en tant que sous-traitant, le module trois s’applique, les modules un, deux et quatre sont omis, la clause 9 paragraphe a) option 1 est omise et le délai de l’option 2 est de 14 jours.
1.2 Dans la mesure où le Client, situé en dehors de l’EEE ou de la Suisse, agit en tant que responsable du traitement et reçoit des Informations personnelles provenant d’un Fournisseur situé dans l’EEE ou la Suisse, sauf si les Parties peuvent recourir à un autre dispositif ou une autre base de transfert en vertu des Lois sur la protection des données, les Parties seront réputées avoir conclu les CCT de l’UE de 2021 à l’égard d’un tel transfert, selon lesquelles le Fournisseur est l’« exportateur de données », le Client est l’« importateur de données », le contenu des annexes applicables correspond au contenu respectif du Contrat et i) dans la mesure où le Fournisseur agit en tant que responsable du traitement, le module 1 s’applique et les modules deux, trois et quatre, les notes de bas de page, la clause 11 paragraphe a) option et clause 17 option 1 sont omis, et l’« Autorité de contrôle compétente » est celle du pays où l’exportateur de données est établi ; ii) dans la mesure où le Fournisseur agit en tant que sous-traitant, le module quatre s’applique, et les modules un, deux et trois et les notes de bas de page sont omis.
1.3 Les CCT de l’UE de 2021 sont régies par la loi du pays où l’exportateur de données est établi.
1.4 Tout litige découlant des CCT de l’UE de 2021 sera résolu par les tribunaux du pays où l’exportateur de données est établi.
1.5 En cas de divergence entre une quelconque condition du Contrat et les CTT de l’UE de 2021, celles-ci l’emporteront.
2.1 Si le Client transfère des Informations personnelles provenant du Royaume-Uni à un Fournisseur situé en dehors du Royaume-Uni, sauf si les Parties peuvent recourir à un autre dispositif ou une autre base de transfert en vertu des Lois sur la protection des données, les Parties seront réputées avoir conclu les clauses contractuelles types approuvées par la décision de la Commission européenne 2004/915/CE du 27 décembre 2004 accessibles à l’adresse http://data.europa.eu/eli/dec/2004/915/oj (ci-après les « CCT de 2004 ») et/ou par la décision de la Commission européenne 2010/87/CE du 5 février 2010 accessibles à l’adresse http://data.europa.eu/eli/dec/2010/87/oj (ci-après les « CCT de 2010 »), selon le cas, à l’égard d’un tel transfert, le Client étant l’« exportateur de données », le Fournisseur étant l’« importateur de données », toute clause facultative étant omise et le contenu des annexes correspondant au contenu respectif du Contrat.
2.1 Si le Client situé en dehors du Royaume-Uni reçoit des Informations personnelles en tant que responsable du traitement provenant d’un Fournisseur situé au Royaume-Uni en tant que responsable du traitement, sauf si les Parties peuvent recourir à un autre dispositif ou une autre base de transfert en vertu des Lois sur la protection des données, les Parties seront réputées avoir conclu les CCT de 2004 à l’égard d’un tel transfert, le Fournisseur étant l’« exportateur de données », le Client étant l’« importateur de données », toute clause facultative étant omise et le contenu des annexes correspondant au contenu respectif du Contrat.
2.2 Les CCT de 2004 et les CCT de 2010 (dénommées collectivement les « Clauses ») sont régies par les lois de l’Angleterre et du Pays de Galles. Toutes les références des Clauses à l’« Union », l’« UE », l’« État membre » et à leurs lois sont remplacées par le Royaume-Uni et ses lois équivalentes.
2.3 Tout litige découlant des Clauses sera résolu par les tribunaux de l’Angleterre et du Pays de Galles.
2.4 En cas de divergence entre une quelconque condition du Contrat et les Clauses, celles-ci l’emporteront.
Dans la mesure où le Client transfère des Informations personnelles provenant du Brésil à un Fournisseur situé en dehors du Brésil, celui-ci garantit qu’il respecte les droits des personnes concernées et les principes du régime de protection des données en vertu de la loi générale brésilienne de 2018 Lei Geral de Proteção de Dados Pessoais nº 13.709 (loi générale sur la protection des données - loi LGPD).
4.1 Dans la mesure où le Fournisseur Traite des Informations personnelles entrant dans le champ d’application de la loi californienne de 2018 California Consumer Privacy Act (loi sur le respect de la vie privée des consommateurs - loi CCPA) pour le compte du Client, il lui est interdit de conserver, d’utiliser ou de divulguer les Informations personnelles à d’autres fins que celle de l’exécution des services visés par le Contrat pour le Client ou tel qu’autrement permis par la loi CCPA, notamment les conserver, les utiliser ou les divulguer à des fins commerciales (au sens donné à ce terme dans la loi CCPA), sauf dans le but de fournir les services prévus par le Contrat.
4.2 Dans la mesure où le Client autrement divulgue au Fournisseur des Informations personnelles entrant dans le champ d’application de la loi CCPA à des fins commerciales (au sens donné à ce terme dans la loi CCPA), il est interdit à celui-ci de a) vendre (au sens donné à ce terme dans la loi CCPA) les Informations personnelles ; b) les conserver, les utiliser ou les divulguer à d’autres fins que celle de l’exécution des services visés par le Contrat, notamment les conserver, les utiliser ou les divulguer à des fins commerciales autres que la fourniture des services visés par le Contrat ; c) les conserver, les utiliser ou les divulguer à des tiers sans lien avec la relation commerciale directe entre les Parties. Le Fournisseur affirme qu’il comprend ces restrictions et qu’il les respectera.
5.1 Dans la mesure où le Fournisseur Traite des Informations personnelles entrant dans le champ d’application de la loi sud-africaine de 2013 South African Protection of Personal Information Act, n° 4 (loi sur la protection des informations personnelles - loi POPIA) pour le Client, il doit mettre en place et tenir à jour les mesures de sécurité visées à l’article 19 de la loi POPIA.
5.2 Le Fournisseur avise immédiatement le Client s’il existe des motifs raisonnables de croire que les Informations personnelles d’une personne concernée ont été consultées ou acquises par une personne non autorisée