PARTIE 1 – Transferts hors EEE
1. L'annexe I.A des clauses contractuelles types doit être complétée comme suit :
Exportateur de données : Le Client (tel que détaillé dans le Contrat).
Coordonnées : Les coordonnées du Client (telles que détaillées dans le Contrat).
Rôle de l'exportateur de données : Responsable du traitement.
Module deux : L'exportateur de données est un responsable du traitement.
Importateur de données : Marzipan.
Coordonnées : Telles que détaillées dans le Contrat.
Rôle de l'importateur de données : L'importateur de données est un sous-traitant.
Signature et date : En concluant le Contrat et le DPA, l'importateur de données est réputé avoir signé les présentes Clauses Contractuelles Types, incorporées aux présentes, y compris leurs Annexes, à compter de la Date d'entrée en vigueur du Contrat.
2. L'Annexe I.B des Clauses Contractuelles Types sera complétée comme suit :
Les catégories de personnes concernées sont décrites à la clause 4.6 du DPA.
Les catégories de Données Client sont décrites à la clause 4.5 du DPA.
Les Parties n'ont pas l'intention de transférer des Données de Catégorie Spéciale.
La fréquence du transfert est continue pendant toute la durée du Contrat.
La nature du traitement est décrite à la clause 4.4 du DPA.
La finalité du traitement est décrite à la clause 4.3 du DPA.
La durée de conservation des Données Client correspond à la durée du Contrat, sauf accord contraire dans le Contrat et/ou le DPA.
En ce qui concerne les transferts vers des Sous-traitants ultérieurs, l'objet, la nature et la durée du traitement sont définis à la clause 9 du DPA.
3. L'Annexe I.C des Clauses Contractuelles Types sera complétée comme suit :
L'Autorité de Contrôle compétente conformément à la Clause 13 est l'autorité de surveillance de l'État membre stipulé à la clause 10(e) du présent DPA.
Les Normes de Sécurité Marzipan (Annexe A) serviront de documentation et de précisions requises à l'Annexe II des Clauses Contractuelles Types.
4. Dans la mesure où il existe un conflit entre les Clauses Contractuelles Types et toute autre disposition du présent DPA ou du Contrat, les dispositions des Clauses Contractuelles Types prévaudront.
PARTIE 2 – Transferts hors UK
- Les parties conviennent que le DPA IDTA s'applique à un transfert hors UK et cette Partie 2 est en vigueur à compter du 21 mars 2022.
- Sauf définition dans le Contrat, les termes définis à la Partie 2 de l'Annexe 2 auront la signification indiquée dans « Partie : 2 Clauses Obligatoires » ci-dessous.
Partie 1 : Tableaux
Tableau 1 du DPA IDTA
3. Le Tableau 1 du DPA sera complété comme suit :
- Exportateur de données : Le Client (tel que détaillé dans le Contrat).
- Coordonnées : Telles que détaillées dans le Contrat.
Signature et date : En concluant le Contrat et le DPA, l'Exportateur de données est réputé avoir signé ce DPA IDTA qui y est incorporé, à compter de la Date d'entrée en vigueur du Contrat.
- Importateur de données : Marzipan.
- Coordonnées : Telles que détaillées dans le Contrat.
Signature et date : En concluant le Contrat et le DPA, l'Importateur de données est réputé avoir signé ce DPA IDTA qui y est incorporé, à compter de la Date d'entrée en vigueur du Contrat.
Tableau 2 du DPA IDTA
4. Le Tableau 2 du DPA sera complété comme suit :
| DPA EU SSCs | The Approved EU SCCs, including the Appendix Information and with only the following modules, clauses or optional provisions of the Approved EU SCCs brought into effect for the purposes of this DPA: |
| Module in operation | Clause 7 (Docking Clause) |
Clause 11 (Option) |
Clause 9a (Prior Authorisation or General Authorisation) |
Clause 9a (Time period) |
Is personal data received from the Importer combined with personal data collected by the Exporter? |
|---|---|---|---|---|---|
| 1 | Shall not apply | Shall not apply | General Authorisation | As set out in clause 9.2 of the DPA (30 days). | No |
| 1 | Shall not apply | Shall not apply | General Authorisation | As set out in clause 9.2 of the DPA (30 days). | No |
Tableau 3 du DPA IDTA
5. Le Tableau 3 du DPA sera complété comme suit :
Exportateur de données : Le Client (tel que détaillé dans le Contrat).
Coordonnées : Les coordonnées du Client (telles que détaillées dans le Contrat).
Rôle de l'exportateur de données : Responsable du traitement.
- a) Module Un : L'Importateur de données est un Responsable du traitement.
- b) Module Deux : L'Importateur de données est un Responsable du traitement.
Module deux : L'exportateur de données est un responsable du traitement.
Signature et date : En concluant le Contrat et le DPA, l'Exportateur de données est réputé avoir signé les Clauses Contractuelles Types de l'UE approuvées, qui y sont incorporées, y compris leurs Annexes, à compter de la Date d'entrée en vigueur du Contrat.
Importateur de données : Marzipan.
Coordonnées : Telles que détaillées dans le Contrat.
Rôle de l'Importateur de données : L'Importateur de données est un Sous-traitant.
6. L'Annexe I.B sera complétée comme suit :
Les catégories de personnes concernées sont décrites à la clause 4.6 du DPA.
Les catégories de Données personnelles sont décrites à la clause 4.5 du DPA.
Les Parties n'ont pas l'intention de transférer des Données de Catégorie Spéciale.
La fréquence du transfert est continue pendant toute la durée du Contrat.
La nature du traitement est décrite à la clause 4.4 du DPA.
La finalité du traitement est décrite à la clause 4.3 du DPA.
La durée de conservation des Données personnelles correspond à la durée du Contrat, sauf accord contraire dans le Contrat et/ou le DPA.
En ce qui concerne les transferts vers des Sous-traitants ultérieurs, l'objet, la nature et la durée du traitement sont définis à la clause 9 du DPA.
L'Annexe III : Liste des Sous-traitants ultérieurs ne s'applique pas, Marzipan disposant d'une autorisation écrite générale pour recourir à des Sous-traitants ultérieurs.
Tableau 4 du DPA IDTA
7. L'Importateur peut mettre fin au présent DPA IDTA conformément aux dispositions de la clause 26 de ce DPA IDTA.
Partie 2 : Clauses obligatoires
8. Chaque Partie accepte d'être liée par les termes et conditions énoncés dans le présent DPA IDTA, en contrepartie de l'engagement de l'autre Partie à être également liée par ce DPA IDTA.
9. Bien que l'Annexe 1A et la Clause 7 des Clauses Contractuelles Types de l'UE approuvées exigent la signature des Parties, aux fins d'effectuer des Transferts restreints, les Parties peuvent conclure ce DPA IDTA de toute manière qui le rende juridiquement contraignant pour elles et permette aux personnes concernées de faire valoir leurs droits tels qu'énoncés dans ce DPA. La conclusion de ce DPA IDTA aura le même effet que la signature des Clauses Contractuelles Types de l'UE approuvées et de toute partie de celles-ci.
Interprétation du présent DPA IDTA
10. Lorsque le présent DPA IDTA utilise des termes définis dans les Clauses Contractuelles Types de l'UE approuvées, ces termes auront la même signification que dans lesdites Clauses Contractuelles Types de l'UE approuvées. En outre, les termes suivants ont les significations suivantes :
| DPA | This International Data Transfer DPA which is made up of this IDTA DPA incorporating the DPA EU SCCs. |
| DPA EU SCCs | The version(s) of the Approved EU SCCs which this IDTA DPA is appended to, as set out in Table 2, including the Appendix Information. |
| Appendix Information | As set out in Table 3. |
| Appropriate Safeguards | The standard of protection over the Personal Data and of Data Subjects’ rights, which is required by UK Data Protection Laws when the Customer are making a Restricted Transfer relying on standard data protection clauses under Article 46(2)(d) UK GDPR. |
| Approved DPA | The template DPA issued by the UK ICO and laid before UK Parliament in accordance with s119A of the Data Protection Act 2018 on 2 February 2022, as it is revised under clause 25 below. |
| Approved EU SCCs | The Standard Contractual Clauses set out in the Annex of Commission Implementing Decision (EU) 2021/914 of 4 June 2021. |
| ICO | The UK Information Commissioner. |
| Restricted Transfer | A transfer which is covered by Chapter V of the UK GDPR. |
| UK | The United Kingdom of Great Britain and Northern Ireland. |
| UK Data Protection Laws | All laws relating to data protection, the processing of personal data, privacy and/or electronic communications in force from time to time in the UK, including the UK GDPR and the Data Protection Act 2018. |
| UK GDPR | As defined in section 3 of the Data Protection Act 2018. |
11. Le présent DPA IDTA doit toujours être interprété d'une manière compatible avec les lois britanniques relatives à la protection des données et de façon à ce qu'il satisfasse à l'obligation des Parties de fournir les Garanties appropriées.
12. Si les dispositions incluses dans les Clauses Contractuelles Types de l'UE du DPA modifient les Clauses Contractuelles Types approuvées d'une manière qui n'est pas autorisée par les Clauses Contractuelles Types de l'UE approuvées ou le DPA approuvé, ces modification(s) ne seront pas intégrées au présent DPA IDTA, et les dispositions équivalentes des Clauses Contractuelles Types de l'UE approuvées les remplaceront.
13. En cas d'incohérence ou de conflit entre les UK Data Protection Laws et le présent IDTA DPA, les UK Data Protection Laws prévalent.
14. Si le sens du présent IDTA DPA est ambigu ou susceptible de plusieurs interprétations, l'interprétation la plus conforme aux UK Data Protection Laws s'applique.
15. Toute référence à une législation (ou à des dispositions spécifiques d'une législation) s'entend de cette législation (ou disposition) telle qu'elle peut évoluer dans le temps. Cela inclut les cas où cette législation (ou disposition spécifique) a été consolidée, réédictée et/ou remplacée après la conclusion du présent IDTA DPA.
Hiérarchie
16. Bien que la Clause 5 des Clauses Contractuelles Types de l'UE Approuvées dispose que celles-ci prévalent sur tous les accords connexes entre les parties, les parties conviennent que, pour les Transferts Restreints, la hiérarchie prévue à la Section 17 s'applique.
17. En cas d'incohérence ou de conflit entre le DPA Approuvé et les DPA EU SCCs (selon le cas), le DPA Approuvé prévaut sur les DPA EU SCCs, sauf lorsque (et dans la mesure où) les dispositions incohérentes ou conflictuelles des DPA EU SCCs offrent une protection plus élevée aux personnes concernées, auquel cas ces dispositions prévaudront sur le DPA Approuvé.
18. Lorsque le présent IDTA DPA incorpore des DPA EU SCCs qui ont été conclus pour protéger les transferts soumis au Règlement général sur la protection des données (UE) 2016/679, les Parties reconnaissent que rien dans le présent IDTA DPA n'affecte ces DPA EU SCCs.
Incorporation et modifications des Clauses Contractuelles Types de l'UE
19. Le présent IDTA DPA incorpore les DPA EU SCCs, lesquelles sont modifiées dans la mesure nécessaire pour que :
- ensemble, elles s'appliquent aux transferts de données effectués par l'exportateur de données vers l'importateur de données, dans la mesure où les UK Data Protection Laws s'appliquent au traitement de l'exportateur de données lors de ce transfert, et qu'elles fournissent des Garanties Appropriées pour ces transferts ;
- Les Clauses 16 à 18 ci-dessous remplacent la Clause 5 (Hiérarchie) des DPA EU SCCs ; et
- le présent IDTA DPA (y compris les DPA EU SCCs qui y sont incorporées) est (1) régi par le droit de l'Angleterre et du Pays de Galles et (2) tout litige en découlant est soumis aux juridictions de l'Angleterre et du Pays de Galles, sauf si le droit et/ou les juridictions d'Écosse ou d'Irlande du Nord ont été expressément choisis par les Parties.
20. À moins que les Parties ne soient convenues de modifications alternatives satisfaisant aux exigences de la clause 19 ci-dessus, les dispositions de la Section 22 s'appliquent.
21. Aucune modification des Clauses Contractuelles Types de l'UE Approuvées autre que celles requises par la Section 19 ne peut être apportée.
22. Les modifications suivantes aux DPA EU SCCs (aux fins de la Section 19) sont effectuées :
- ensemble, elles s'appliquent aux transferts de données effectués par l'exportateur de données vers l'importateur de données, dans la mesure où les UK Data Protection Laws s'appliquent au traitement de l'exportateur de données lors de ce transfert, et qu'elles fournissent des Garanties Appropriées pour ces transferts ;
- À la Clause 2, supprimer les termes : « and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679 » ;
- La Clause 6 (Description du ou des transfert(s)) est remplacée par : « The details of the transfers(s) and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred) are those specified in Annex I.B where UK Data Protection Laws apply to the data exporter's processing when making that transfer. » ;
- La Clause 8.8(i) du Module 2 est remplacée par : « the onward transfer is to a country benefitting from adequacy regulations pursuant to Section 17A of the UK GDPR that covers the onward transfer; » ;
- Les références au « Règlement (UE) 2016/679 », au « Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) » et à « ce Règlement » sont toutes remplacées par « UK Data Protection Laws ». Les références à des articles spécifiques du « Règlement (UE) 2016/679 » sont remplacées par l'article ou la section équivalente des UK Data Protection Laws ;
- Les références au Règlement (UE) 2018/1725 sont supprimées ;
- Les références à l'« Union européenne », à l'« Union », à l'« UE », à un « État membre de l'UE », à un « État membre » et à l'« UE ou État membre » sont toutes remplacées par le « UK » ;
- La référence à la « Clause 12(c)(i) » figurant à la Clause 10(b)(i) du Module 1 est remplacée par « Clause 11(c)(i) » ;
- La Clause 13(a) et la Partie C de l'Annexe I ne sont pas utilisées ;
- L'« autorité de contrôle compétente » et l'« autorité de contrôle » sont toutes deux remplacées par l'« Information Commissioner » ;
- À la Clause 16(e), la sous-section (i) est remplacée par : « the Secretary of State makes regulations pursuant to Section 17A of the Data Protection Act 2018 that cover the transfer of personal data to which these clauses apply; » ;
- La clause 17 est remplacée par : « Ces Clauses sont régies par le droit de l'Angleterre et du Pays de Galles. » ;
- La clause 18 est remplacée par : « Tout litige découlant des présentes Clauses sera résolu par les tribunaux d'Angleterre et du Pays de Galles. Une personne concernée peut également engager une action en justice contre l'exportateur de données et/ou l'importateur de données devant les tribunaux de tout pays du UK. Les Parties acceptent de se soumettre à la juridiction de ces tribunaux. » ; et
- Les notes de bas de page des Clauses Contractuelles Types de l'UE approuvées ne font pas partie du DPA IDTA, à l'exception des notes de bas de page 8, 9, 10 et 11.
Modifications du présent DPA IDTA
23. Les Parties peuvent convenir de modifier les clauses 17 et/ou 18 des Clauses Contractuelles Types de l'UE du DPA afin de faire référence aux lois et/ou aux tribunaux d'Écosse ou d'Irlande du Nord.
24. Si les Parties souhaitent modifier le format des informations figurant dans la Partie 1 : Tableaux du DPA approuvé, elles peuvent le faire en convenant par écrit de la modification, à condition que celle-ci ne réduise pas les Garanties Appropriées.
25. De temps à autre, l'ICO peut publier un DPA approuvé révisé qui :
- apporte des modifications raisonnables et proportionnées au DPA approuvé, notamment en corrigeant les erreurs qu'il contient ; et/ou
- reflète les modifications apportées aux lois britanniques sur la protection des données ;
Le DPA approuvé révisé précisera la date d'entrée en vigueur des modifications du DPA approuvé et si les Parties doivent réviser le présent DPA IDTA, y compris les Informations en Annexe. Le présent DPA IDTA est automatiquement modifié conformément aux dispositions du DPA approuvé révisé à compter de la date d'entrée en vigueur spécifiée.
26. Si l'ICO publie un DPA approuvé révisé en vertu de la Section 18, si l'une des Parties sélectionnée dans le Tableau 4 « Résiliation du DPA en cas de modification du DPA approuvé » subit, en conséquence directe des modifications du DPA approuvé, une augmentation substantielle, disproportionnée et démontrable de :
- ses coûts directs liés à l'exécution de ses obligations au titre du DPA ; et/ou
- ses risques au titre du DPA,
et dans l'un ou l'autre cas, si elle a d'abord pris des mesures raisonnables pour réduire ces coûts ou ces risques afin qu'ils ne soient plus substantiels et disproportionnés, cette Partie peut mettre fin au présent DPA IDTA à l'issue d'un préavis raisonnable, en adressant un préavis écrit à l'autre Partie avant la date d'entrée en vigueur du DPA approuvé révisé.
27. Les Parties n'ont pas besoin du consentement d'un tiers pour apporter des modifications au présent DPA IDTA, mais toute modification doit être effectuée conformément à ses dispositions.
