Addendum relatif au traitement des données (DPA)
Le présent Addendum relatif au traitement des données (« ATD ») fait partie des conditions d’utilisation de monday.com, disponibles sur www.monday.com/terms/tos ou de tout autre accord régissant l’utilisation des services de monday.com (« Accord ») conclu entre vous, le Client (tel que défini dans l’Accord) (collectivement, « vous », « votre », « vos », « Client ») et monday.com Ltd. (« monday.com », « nous », « notre », « nos ») pour refléter l’accord des parties concernant le Traitement des Données Personnelles par monday.com uniquement pour le compte du Client. Les deux parties sont dénommées les « Parties » et chacune, une « Partie ».
Les termes en majuscules non définis aux présentes ont la signification qui leur est attribuée dans l’Accord.
En utilisant les Services, le Client accepte le présent ATD et vous déclarez et garantissez que vous avez toute autorité pour lier le Client au présent ATD. Si vous ne pouvez pas, ou ne souhaitez pas, respecter et être lié par le présent ATD, ou si vous n’avez pas le pouvoir de lier le Client ou toute autre entité, veuillez ne pas nous fournir de Données personnelles.
En cas de conflit entre certaines dispositions du présent ATD et les dispositions de l’Accord, les dispositions du présent ATD prévaudront sur les dispositions conflictuelles de l’Accord uniquement en ce qui concerne le Traitement des Données Personnelles.
- DÉFINITIONS
(a) « Affilié » désigne toute entité qui, directement ou indirectement, contrôle, est contrôlée par, ou est sous contrôle commun avec l’entité concernée. « Contrôle », aux fins de la présente définition, signifie la propriété ou le contrôle direct ou indirect de plus de 50 % des intérêts avec droit de vote de l’entité concernée.
(b) « Société affiliée autorisée » désigne toute Société affiliée du client qui est explicitement autorisée à utiliser le Service conformément à l’Accord conclu entre le Client et monday.com, mais qui n’a pas signé son propre accord avec monday.com et n’est pas un « Client » tel que défini dans l’Accord.
(c) « CCPA » désigne la loi californienne de 2018 sur la protection de la vie privée des consommateurs (California Consumer Privacy Act, Cal. Civ. Code §§ 1798.100 et. seq.) et ses règlements d’application, tels qu’ils peuvent être modifiés de temps à autre.
(d) Les termes, « Responsable du traitement », « État membre », «Sous-traitant », « Traitement » et « Autorité de contrôle » ont la même signification que dans le RGPD. Les termes « Entreprise », « Objectif commercial », « Client » et « Fournisseur de services » ont la même signification que dans la CCPA.
Pour des raisons de clarté dans le cadre du présent ATD, le terme « Responsable du traitement » signifie également « Entreprise » et « Sous-traitant » signifie également « Fournisseur de services » dans la mesure où la CCPA s’applique. De la même manière, le Sous-traitant indirect du Sous-traitant fait également référence au concept de Fournisseur de services.
(e) « Lois sur la protection des données » désigne toutes les lois et réglementations relatives à la confidentialité et à la protection des données, y compris les lois et réglementations de l’Union européenne, de l’Espace économique européen et de leurs États membres, de la Suisse, du Royaume-Uni, du Canada, d’Israël et des États-Unis d’Amérique, y compris le RGPD, le RGPD britannique et la CCPA, applicables à, et en vigueur au moment du Traitement des Données personnelles en vertu des présentes.
(f) « Personne concernée » désigne la personne identifiée ou identifiable à qui les Données personnelles sont liées.
(g) « RGPD » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données.
(h) « Données personnelles » ou « Informations personnelles » désigne toute information qui identifie, se rapporte à, décrit, est capable d’être associée à, ou pourrait raisonnablement être liée, directement ou indirectement, à, ou avec une personne physique ou un Client identifié ou identifiable, qui est traitée par monday.com uniquement au nom du Client, en vertu du présent ATD et de l’Accord.
1.1. « Services » désigne les services de cloud de monday.com comprenant nos plateformes, produits, applications, interface de programmation d’applications, (« API »), outils et tous les produits et services auxiliaires ou supplémentaires de monday.com (y compris les mises à niveau (telles que définies dans l’Accord)), proposés en ligne et via une application mobile (« Plateforme »), et tout autre service fourni au client par monday.com dans le cadre de l’Accord .
(j) « Documentation relative à la sécurité » désigne la documentation relative à la sécurité, telle qu’elle est mise à jour de temps à autre, qui énonce les mesures techniques et organisationnelles adoptées par monday.com et applicables au traitement des données personnelles par monday.com en vertu de l’accord et du présent accord de protection des données, accessible par l’intermédiaire de www.monday.com/trustcenter/datasecure, ou mise raisonnablement à la disposition du client par monday.com.
(k) « Données sensibles » désigne les Données personnelles qui sont protégées en vertu d’une législation spéciale et qui nécessitent un traitement unique, telles que les « catégories spéciales de données », les « données sensibles » ou d’autres termes matériellement similaires en vertu des Lois sur la protection des données applicables, qui peuvent inclure l’un des éléments suivants : (a) numéro de sécurité sociale, numéro de dossier fiscal, numéro de passeport, numéro de permis de conduire ou identifiant similaire (ou toute partie de celui-ci) ; (b) informations financières ou de crédit, numéro de carte de crédit ou de débit ; (c) informations révélant l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, l’appartenance à un syndicat, les données génétiques ou les données biométriques aux fins d’identifier de manière unique une personne physique, les données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne, ou les données relatives aux condamnations pénales et aux infractions ; (d) données personnelles relatives aux enfants ; et/ou (e) mots de passe de compte sous forme non hachée.
(l) « Clauses contractuelles types » désigne (a) en ce qui concerne les transferts de données personnelles soumis au RGPD, les Clauses contractuelles types entre les responsables du traitement et les sous-traitants (situés ici), et entre les responsables du traitement et les sous-traitants (situés ici), telles qu’approuvées par la décision d’exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021, y compris toutes ses annexes I, II et V, (« CCT de l’UE »), (b) en ce qui concerne les transferts de données personnelles soumis au RGPD britannique, l’addendum sur le transfert international de données aux clauses contractuelles types de la Commission européenne du 21 mars 2022 (version B.1.0) (« IDTA »), tel qu’incorporé aux CCT de l’UE par le biais de son annexe III (« Addendum pour le Royaume-Uni ») ; et (c) en ce qui concerne les transferts soumis à la loi fédérale sur la protection des données (LPD – telle que révisée au 25 septembre 2020), les conditions énoncées à l’annexe IV des CCT de l’UE (« Addendum pour la Suisse »).
(m) « Sous-traitant indirect » désigne tout tiers qui effectue des activités de traitement spécifiques de données personnelles sur instruction de monday.com.
(n) « RGPD britannique » désigne la loi de 2018 sur la protection des données, ainsi que le RGPD tel qu’il fait partie du droit de l’Angleterre et du Pays de Galles, de l’Écosse et de l’Irlande du Nord en vertu de la section 3 de la loi de 2018 sur le retrait de l’Union européenne et tel que modifié par le règlement de 2019 sur la protection des données, la confidentialité et les communications électroniques (modifications, etc.) (sortie de l’UE) (SI 2019/419).
- TRAITEMENT DES DONNÉES PERSONNELLES
2.1 Rôles des parties. Les parties reconnaissent et conviennent qu’en ce qui concerne le traitement des données personnelles uniquement par monday.com pour le compte du client : (a) le Client est le responsable du traitement des données personnelles, et (b) monday.com est le sous-traitant de ces données personnelles. Les termes « Responsable du traitement » et « Sous-traitant » ci-dessous désignent respectivement le Client et monday.com.
2.2 Obligations du client. Le Client, dans le cadre de son utilisation des Services, et les instructions du Client au Sous-traitant, doivent se conformer aux lois sur la protection des données, à l’Accord et au présent ATD. Le Client doit établir et disposer de toutes les bases juridiques requises pour collecter, traiter et transférer au Sous-traitant les Données personnelles, et pour autoriser les activités de Traitement menées par le Sous-traitant pour le compte du Client conformément à l’Accord et au présent ATD, y compris la poursuite d’un Objectif commercial .
2.3 Traitement des Données personnelles par le Sous-traitant. Le Sous-traitant traite les Données personnelles aux fins suivantes : (a) conformément à l’Accord et au présent ATD ; (b) dans le cadre de sa fourniture des Services ; (c) pour se conformer aux instructions raisonnables et documentées du Client, lorsque ces instructions sont compatibles avec les termes de l’Accord et du présent ATD, et concernent la manière dont le Traitement doit être effectué ; (d) pour partager des Données personnelles avec des tiers ou recevoir des Données personnelles de tiers conformément aux instructions du Client et/ou dans le cadre de l’utilisation des Services par le Client (par exemple, intégrations entre les Services et tout service fourni par des tiers tel que configuré par le Client ou en son nom) ; (e) rendre les Données personnelles anonymes (selon les modalités prévues par l’Accord) ; et (f) comme requis par les lois applicables au Sous-traitant, et/ou comme requis par un tribunal de la juridiction compétente ou toute autre autorité gouvernementale ou semi-gouvernementale compétente, à condition que le Sous-traitant informe le Client de l’exigence légale avant le Traitement, à moins que cette loi ou cette ordonnance n’interdise la divulgation de cette information.
Le Sous-traitant informera le Client sans retard abusif si, de l’avis raisonnable du Sous-traitant, une instruction de traitement de Données personnelles donnée par le Client enfreint les Lois de protection des données applicables, à moins que le Sous-traitant n’ait l’interdiction d’informer le Client en vertu des Lois de protection des données applicables. Il est précisé que le Sous-traitant n’a aucune obligation d’évaluer si les instructions du Client enfreignent les Lois sur la protection des données.
2.4 Détails du Traitement. L’objet du Traitement des Données personnelles par le Sous-traitant est l’exécution des Services conformément à l’Accord et au présent ATD. Les détails relatifs à la durée, à la nature et à la finalité, aux types de données personnelles et aux catégories de personnes concernées traitées dans le cadre du présent ATD sont précisés à l’annexe 1 (détails du traitement) du présent ATD.
2.5 Données sensibles. Les Parties conviennent que les Services ne sont pas destinés au Traitement de Données sensibles, et que si le Client souhaite utiliser les Services pour traiter des Données sensibles, il doit d’abord obtenir le consentement écrit explicite et préalable de monday.com et conclure tout accord supplémentaire qui pourrait être requis par monday.com.
2.6. Normes de diligence de la CCPA ; Interdiction de vendre ou de partager des Informations personnelles. Le Sous-traitant reconnaît et déclare qu’il ne reçoit ni ne traite aucune Information personnelle en échange de services ou d’autres prestations qu’il fournit au Client dans le cadre de l’Accord ou du présent ATD. Le Sous-traitant certifie qu’il comprend les règles, les exigences et les définitions de la CCPA et déclare s’abstenir de vendre ou de partager (au sens de la CCPA) toute Information personnelle traitée dans le cadre du présent Accord, sans avoir reçu au préalable le consentement ou les instructions écrites du Client, et de prendre toute mesure qui ferait en sorte que tout transfert d’Information personnelle vers ou depuis le Sous-traitant en vertu de l’Accord ou du présent ATD soit considéré comme une « vente » et/ou un « partage » de cette Information personnelle en vertu de la CCPA. Le Sous-traitant est conscient que le Client ne divulgue des informations personnelles au Sous-traitant qu’à des fins limitées et spécifiques énoncées dans le présent ATD et dans l’Accord. Le Sous-traitant traitera toutes les Données à caractère personnel uniquement (a) à ces fins limitées et spécifiques, et (b) conformément aux articles de la CCPA applicables. Le Sous-traitant doit s’abstenir (i) de conserver, d’utiliser ou de divulguer des Informations personnelles en dehors de la relation commerciale directe entre les Parties, telle que décrite dans l’Accord, ou à des fins professionnelles ou commerciales autres que celles spécifiquement liées à l’exécution des Services ou autrement autorisées par la CCPA, l’Accord et/ou le présent ATD et (ii) de combiner au moyen d’une séparation logique les Informations personnelles qu’il traite pour le compte de tiers avec les Informations personnelles du Client, sauf autorisation expresse en vertu de la CCPA, de ses règlements d’application, de l’Accord et/ou du présent ATD entre les Parties. Le Sous-traitant reconnaît en outre que le Client a le droit, moyennant préavis, de prendre des mesures raisonnables et appropriées pour mettre fin et remédier à toute utilisation non autorisée de ses Informations personnelles par le Sous-traitant. Le Sous-traitant doit informer le Client s’il estime qu’il n’est plus en mesure de respecter ses obligations en vertu de la CCPA.
- DEMANDES DES PERSONNES CONCERNÉES
Si le Sous-traitant reçoit une demande d’une Personne concernée ou d’un Client d’exercer ses droits (dans la mesure où ils sont disponibles en vertu des Lois applicables sur la protection des données) d’accès, de rectification, de restriction du Traitement, d’effacement, de portabilité des données, d’objection au Traitement, son droit de ne pas être soumis à une prise de décision individuelle automatisée, de refuser la vente des Informations personnelles, ou son droit de ne pas être discriminé (« Demandes des personnes concernées »), le Sous-traitant en informera le Client ou renverra la Personne concernée ou le Consommateur au Client. Compte tenu de la nature du Traitement, le Sous-traitant doit fournir une assistance au Client, dans la mesure où cela est possible et raisonnable, pour permettre au Client de répondre à une demande de la Personne concernée. Le Sous-traitant peut renvoyer les Personnes concernées ou les Clients vers l’administrateur du Client – pour le traitement d’une telle demande ou le conseiller sur l’utilisation des fonctions d’auto-exercice disponibles dans la Plateforme.
- CONFIDENTIALITÉ
Le Sous-traitant doit s’assurer que son personnel et ses sous-traitants engagés dans le Traitement des Données personnelles se sont engagés à respecter la confidentialité ou sont autrement soumis à une obligation légale de confidentialité.
- SOUS-TRAITANTS INDIRECTS
5.1 Nomination des sous-traitants indirects
Le Client reconnaît et convient que (a) les sociétés affiliées du Sous-traitant peuvent être engagées en tant que Sous-traitants indirects ; et que (b) le Sous-traitant et les sociétés affiliées du Sous-traitant peuvent chacun engager des Sous-traitants indirects tiers dans le cadre de la fourniture des Services.
5.2Liste des Sous-traitants indirects actuels et notification des nouveaux Sous-traitants indirects.
5.2.1 À compter de la date d’entrée en vigueur, le Client accorde par les présentes au Sous-traitant l’autorisation écrite générale de s’engager avec les Sous-traitants indirects indiqués à www.monday.com/terms/subprocessors (« Page des Sous-traitants indirects »), auxquels le Sous-traitant fait actuellement appel pour traiter les Données personnelles.
5.2.2 La Page des Sous-Traitants indirects propose un mécanisme permettant de souscrire à des notifications concernant l’engagement de nouveaux Sous-Traitants indirects et le remplacement de Sous-Traitants indirects déjà engagés (« Avis relatif aux Sous-Traitants indirects ») et le Client reconnaît qu’il souscrira à ce mécanisme lors de la conclusion du présent ATD et que les avis envoyés par le biais de ce mécanisme remplissent les obligations du Sous-Traitant d’informer le Client de la nomination d’un nouveau Sous-Traitant indirect ou du remplacement d’un Sous-Traitant indirect déjà engagé.
5.3 Objection aux nouveaux sous-traitants indirects. Suite à la publication d’un nouvel Avis relatif aux Sous-Traitants indirects, le Client peut raisonnablement s’opposer à ce que le Sous-Traitant fasse appel à un nouveau Sous-Traitant indirect ou au remplacement d’un Sous-traitant indirect, pour des raisons liées à la protection des Données Personnelles destinées à être Traitées par ce Sous-traitant indirect. Une telle objection doit être transmise rapidement en notifiant le Sous-traitant par écrit à privacy@monday.com dans un délai de sept (7) jours suivant la publication d’un nouvel Avis relatif aux Sous-traitants indirects, dans lequel le Client doit détailler les raisons de son objection à l’utilisation de ce nouveau Sous-traitant indirect. Si le Client ne s’est pas opposé dans ce délai de sept (7) jours de la manière décrite ci-dessus, l’utilisation du nouveau Sous-traitant indirect sera considérée comme acceptée par le Client. Dans le cas où le Client s’oppose raisonnablement à un nouveau Sous-traitant indirect, comme autorisé dans les phrases précédentes, le Sous-traitant fera des efforts raisonnables pour mettre à la disposition du Client une modification des Services ou recommander une modification commercialement raisonnable de la configuration ou de l’utilisation des Services par le Client afin d’éviter le Traitement des Données personnelles par le nouveau Sous-traitant indirect auquel il s’oppose sans imposer une charge déraisonnable au Client. Si le Sous-traitant n’est pas en mesure de mettre à disposition une telle modification dans les trente (30) jours suivant la réception de l’objection, le Client peut, comme seul recours, résilier le Contrat et le présent ATD en ce qui concerne uniquement les éléments des Services qui ne peuvent pas être fournis par le Sous-traitant sans l’utilisation du nouveau Sous-traitant indirect visé par l’objection, en fournissant une notification écrite au Sous-traitant. Tous les montants impayés en vertu du contrat avant la date de résiliation en ce qui concerne le traitement en question doivent être dûment payés au sous-traitant. Jusqu’à ce qu’une décision soit prise concernant le nouveau Sous-traitant indirect, le Sous-traitant peut temporairement éviter ou cesser le Traitement des Données personnelles concernées et/ou suspendre l’accès aux Services. Le Client ne pourra plus faire de réclamation à l’encontre du Sous-traitant en raison de la résiliation du Contrat (y compris, sans limitation, la demande de remboursement) et/ou de l’ATD dans la situation décrite dans le présent paragraphe.
5.4 Accords avec les Sous-traitants indirects. Le Sous-traitant ou un affilié du Sous-traitant a conclu un accord écrit avec chaque Sous-traitant indirect engagé, et doit conclure un accord écrit avec chaque nouveau Sous-traitant indirect, contenant les mêmes obligations de protection des données ou des obligations matériellement similaires à celles énoncées dans le présent ATD, en particulier les obligations de mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le Traitement réponde aux exigences du RGPD. Lorsqu’un Sous-traitant indirect manque à ses obligations en matière de protection des données concernant son Traitement des Données personnelles, le Sous-traitant reste responsable envers le Client de l’exécution des obligations du Sous-traitant indirect.
- SÉCURITÉ ET AUDITS
6.1 Contrôles pour la Protection des Données personnelles. Le Sous-traitant appliquera des mesures techniques et organisationnelles appropriées et conformes aux normes industrielles pour la protection des Données personnelles traitées en vertu des présentes (y compris des mesures contre le Traitement non autorisé ou illégal et contre la destruction, la perte ou l’altération ou les dommages accidentels ou illégaux, la divulgation ou l’accès non autorisé aux Données personnelles, la confidentialité et l’intégrité des Données personnelles). Sur demande raisonnable du Client, le Sous-traitant assistera raisonnablement le Client, aux frais du Client et sous réserve des dispositions de la Section 11.1 ci-dessous, pour assurer le respect des obligations en vertu des articles 32 à 36 du RGPD en tenant compte de la nature du Traitement et des informations dont dispose le Sous-traitant.
6.2 Audits et inspections. Sur demande écrite préalable de 14 jours du Client à des intervalles raisonnables (mais pas plus d’une fois tous les 12 mois), et sous réserve d’engagements de confidentialité stricts de la part du Client, le Sous-traitant doit mettre à la disposition du Client qui n’est pas un concurrent du Sous-traitant (ou de l’auditeur tiers indépendant et réputé du Client qui n’est pas un concurrent du Sous-traitant et qui n’est pas en conflit avec le Sous-traitant, sous réserve de leurs engagements de confidentialité et de non-concurrence) les informations nécessaires pour démontrer la conformité avec le présent ATD, et permettre et contribuer aux audits, y compris les inspections, menées par eux. Le Processeur peut satisfaire à ses obligations en vertu de la présente section en répondant aux audits basés sur des questionnaires du Client et/ou en fournissant au Client des attestations, des certifications et des résumés de rapports d’audit réalisés par des auditeurs tiers accrédités uniquement liés à la conformité du Sous-traitant au présent ATD. Toutes les informations relatives aux audits, aux inspections et à leurs résultats, y compris les documents reflétant leur issue, ne seront utilisées par le Client que pour évaluer la conformité du Sous-traitant avec le présent ATD, et ne seront pas utilisées à d’autres fins ou divulguées à un tiers sans l’accord écrit préalable du Sous-traitant. A la première demande du Sous-traitant, le Client transférera au Sous-traitant tous les enregistrements ou documents qui ont été fournis par le Sous-traitant ou collectés et/ou générés par le Client (ou chacun de ses auditeurs mandatés) dans le contexte de l’audit et/ou de l’inspection.
6.3. Dans l’éventualité d’un audit ou d’inspections tels que définis ci-dessus, le Client doit s’assurer qu’il (et chacun de ses auditeurs mandatés) ne causera pas (ou, s’il ne peut l’éviter, minimisera) tout dommage, blessure ou perturbation des opérations, locaux, équipements, personnel et activités du Sous-traitant, selon le cas, pendant la réalisation de cet audit ou de cette inspection.
6.4 Les droits d’audit énoncés à l’article 6.2 ci-dessus, ne s’appliquent que dans la mesure où le Contrat ne fournit pas autrement au Client des droits d’audit qui répondent aux exigences pertinentes des Lois sur la protection des données (y compris, le cas échéant, l’article 28(3)(h) du RGPD ou du RGPD britannique). Si et dans la mesure où les Clauses contractuelles types s’appliquent, rien dans la présente Section 6 ne varie ou ne modifie les Clauses contractuelles types ni n’affecte les droits d’une Autorité de contrôle ou d’une Personne concernée en vertu des Clauses contractuelles types.
- GESTION ET NOTIFICATION DES INCIDENTS DE DONNÉES
7.1 Le Sous-traitant applique des politiques et procédures internes de gestion des incidents de sécurité et, dans la mesure où les Lois sur la protection des données applicables l’exigent, il informe le Client sans délai indu après avoir pris connaissance de la destruction, de la perte, de l’altération, de la divulgation non autorisée ou de l’accès accidentel ou illégal aux Données personnelles traitées par le Sous-traitant pour le compte du Client (un « Incident de données »). Le Sous-traitant s’efforcera raisonnablement d’identifier et de prendre les mesures qu’il juge nécessaires et raisonnables pour remédier à la cause de cet Incident de Données et/ou l’atténuer dans la mesure où la remédiation et/ou l’atténuation est sous le contrôle raisonnable du Sous-traitant. Les obligations des présentes ne s’appliquent pas aux Incidents de données qui sont causés par le Client, ses Utilisateurs ou toute personne qui utilise les Services pour le compte du Client.
7.2 Le Client ne fera pas, ne divulguera pas, ne communiquera pas ou ne publiera pas de constatation, d’admission de responsabilité, de communication, d’avis, de communiqué de presse ou de rapport concernant tout Incident relatif aux données qui identifie directement ou indirectement le Sous-traitant (y compris dans toute procédure judiciaire ou dans toute notification aux autorités de réglementation ou de surveillance ou aux personnes concernées) sans l’approbation écrite préalable du Sous-traitant, sauf si, et uniquement dans la mesure où le Client est contraint de le faire conformément aux Lois sur la protection des données applicables. Dans ce dernier cas, à moins que ces lois ne l’interdisent, le Client fournira au Sous-traitant un préavis écrit raisonnable pour lui donner la possibilité de s’opposer à cette divulgation et, dans tous les cas, le Client limitera la divulgation à la portée minimale requise par ces lois.
- RENVOI ET SUPPRESSION DES DONNÉES PERSONNELLES
Suite à la résiliation du Contrat et à la cessation des Services, au choix du Client (indiqué par la Plateforme ou dans une notification écrite au Sous-traitant), le Sous-traitant, sur notification du Client, supprimera ou retournera au Client toutes les Données personnelles qu’il traite pour le compte du Client de la manière décrite dans l’Accord, sauf si les lois applicables au Sous-traitant exigent ou permettent qu’il en soit autrement.
- TRANSFERTS TRANSFRONTALIER DE DONNÉES
9.1 Transferts depuis l’EEE, la Suisse et le Royaume-Uni vers des pays offrant un niveau adéquat de protection des données. Les Données personnelles peuvent être transférées à partir des États membres de l’UE et de la Norvège, de l’Islande et du Liechtenstein (collectivement, « EEE »), la Suisse et le Royaume-Uni (« RU ») vers des pays qui offrent un niveau adéquat de protection des données en vertu ou conformément aux décisions d’adéquation publiées par les autorités compétentes de l’EEE, de la Suisse et/ou du Royaume-Uni, selon le cas, incluant des mécanismes et des cadres approuvés analogues (« Décisions d’adéquation »), sans qu’aucune garantie supplémentaire ne soit nécessaire. Afin de dissiper tout doute, les « Décisions d’adéquation » regroupent la décision d’adéquation de la Commission européenne du 10 juillet 2023 définissant les règles de confidentialité applicables aux données personnelles échangées entre l’Union européenne et les États-Unis.
9.2 Transferts directs depuis l’EEE, la Suisse et le Royaume-Uni vers d’autres pays. Si le Traitement des Données personnelles par le Sous-traitant implique un transfert direct du Client vers monday.com :
(i) depuis l’EEE vers d’autres pays qui n’ont pas fait l’objet d’une décision d’adéquation pertinente, et ces transferts ne sont pas effectués par le biais d’un mécanisme de conformité alternatif reconnu par les Lois sur la protection des données (tel qu’il peut être adopté par le Sous-traitant à sa propre discrétion) (« Transfert depuis l’EEE »), les conditions énoncées dans les CCT de l’UE s’appliquent ;
(ii) depuis le Royaume-Uni vers d’autres pays qui n’ont pas fait l’objet d’une décision d’adéquation pertinente, et ces transferts ne sont pas effectués par le biais d’un mécanisme de conformité alternatif reconnu par les lois sur la protection des données (tel qu’il peut être adopté par le Sous-traitant à sa propre discrétion) (« Transfert depuis le RU »), les conditions énoncées dans l’Addendum britannique s’appliquent ;
(iii) depuis la Suisse vers d’autres pays qui n’ont pas fait l’objet d’une décision d’adéquation pertinente, et ces transferts ne sont pas effectués par le biais d’un mécanisme de conformité alternatif reconnu par les lois sur la protection des données (tel qu’il peut être adopté par le Sous-traitant à sa propre discrétion) (« Transfert depuis la Suisse »), les conditions énoncées dans l’Addendum pour la Suisse s’appliquent ;
(iv) les conditions énoncées à l’annexe V des CCT de l’UE (garanties supplémentaires) s’appliquent à tout transfert depuis l’EEE, le Royaume-Uni et la Suisse, où les Clauses contractuelles types s’appliquent.
9.3. Transferts depuis l’EEE, la Suisse et le Royaume-Uni vers d’autres pays. Si le Sous-traitant transfère des Données personnelles depuis des pays de l’EEE, le Royaume-Uni ou la Suisse à des Sous-traitants autorisés, notamment à ses Affiliés, dans des pays non soumis à une Décision d’adéquation (respectivement, les Clauses contractuelles types (Module 3) énoncées dans l’Annexe de la Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021, et ses éventuelles annexes concernées (« SCCs »)), l’IDTA et/ou les CCT, adaptées conformément à la directive du 27 août 2021 du Préposé fédéral à la protection des données et à la transparence suisse, entre le Sous-traitant et ses propres Sous-traitants et Affiliés, s’appliqueront.
9.3 Transferts depuis d’autres pays : Si le Traitement des Données personnelles par le Sous-traitant inclut un transfert de Données personnelles par et/ou mandaté par le Client au Sous-traitant à partir de toute autre juridiction qui exige la mise en place d’un mécanisme de conformité particulier pour le transfert licite de ces données, le Client notifiera le Sous-traitant de ces exigences applicables, et les Parties pourront chercher à apporter les modifications nécessaires au présent ATD conformément aux dispositions de la Section 11.2 ci-dessous.
- SOCIÉTÉS AFFILIÉES AUTORISÉES
10.1 Relation contractuelle . Les Parties reconnaissent et conviennent qu’en exécutant le présent ATD, le Client conclut le ATD en son nom et, le cas échéant, au nom et pour le compte de ses Sociétés affiliées autorisées, auquel cas chaque Société affiliée autorisée accepte d’être liée par les obligations du Client en vertu du présent ATD, si et dans la mesure où le Sous-traitant traite des Données personnelles pour le compte de ces Sociétés affiliées autorisées, ce qui les qualifie de « Responsable du traitement » en ce qui concerne les Données personnelles traitées pour leur compte. L’accès aux Services et leur utilisation par les Sociétés affiliées autorisées doivent être conformes aux conditions générales de l’Accord et du présent ATD et toute violation des conditions générales par une Société affiliée autorisée sera considérée comme une violation par le Client.
10.2 Communication. Le Client est tenu de coordonner toute communication avec le Sous-traitant en vertu de l’Accord et du présent ATD et est en droit de faire et de recevoir toute communication relative au présent ATD au nom de ses Sociétés affiliées autorisées.
- AUTRES DISPOSITIONS
11.1 Évaluation de l’impact sur la Protection des données. Sur demande raisonnable du Client, le Sous-traitant fournira au Client, aux frais du Client, la coopération et l’assistance raisonnables nécessaires pour remplir l’obligation du Client en vertu du RGPD ou du RGPD britannique (selon le cas) de procéder à une évaluation de l’impact sur la protection des données liée à l’utilisation des Services par le Client, dans la mesure où le Client n’a pas autrement accès aux informations pertinentes, et dans la mesure où ces informations sont disponibles pour le Sous-traitant. Le Sous-traitant fournira, aux frais du Client, une assistance raisonnable au Client dans le cadre de la coopération ou de la consultation préalable de l’autorité de surveillance dans l’exécution de ses tâches relatives à la présente section 11.1, dans la mesure requise par le RGPD ou le RGPD britannique, selon le cas.
11.2 Modifications. Chaque Partie peut, moyennant un préavis écrit d’au moins quarante-cinq (45) jours calendaires à l’autre Partie, demander par écrit des modifications au présent ATD si elles sont requises en raison d’une modification des Lois applicables en matière de protection des données afin de permettre que le Traitement des Données personnelles du Client soit effectué (ou continue d’être effectué) sans violation desdites Lois en matière de protection des données. À la suite d’une telle notification, les Parties déploieront des efforts commercialement raisonnables pour tenir compte de cette modification requise, et négocieront de bonne foi en vue de convenir et de mettre en œuvre ces variations ou des variations alternatives conçues pour répondre aux exigences en vertu de la Loi applicable sur la protection des données, telles qu’identifiées dans la notification du Client ou du Sous-traitant, dès que cela est raisonnablement réalisable. En outre, le Sous-traitant peut modifier le présent ATD de temps à autre sans préavis, à condition que ces modifications ne soient pas défavorables dans tout aspect matériel en ce qui concerne les droits du Client ou les obligations du Sous-traitant (c’est-à-dire la correction d’erreurs et de fautes de frappe, la réalisation d’ajustements techniques ou pour toute autre raison que le Sous-traitant juge nécessaire). Pour plus de clarté, si le Sous-traitant apporte un changement défavorable important aux droits du Client ou aux obligations du Sous-traitant, le Sous-traitant en informera le Client en publiant une annonce sur le site, par le biais du Service et/ou en envoyant un e-mail.
ANNEXE 1 – DÉTAILS DU TRAITEMENT
Nature et finalité du Traitement
- Fournir les Services au Client ;
- Exécuter l’Accord, le présent ATD et/ou d’autres contrats exécutés par et entre les Parties ;
- Agir selon les instructions du Client, lorsque ces instructions sont conformes aux conditions de l’Accord ;
- Partager les Données personnelles avec des tiers conformément aux instructions du Client et/ou en vertu de l’utilisation des Services par le Client (par exemple, les intégrations entre les Services et tout service fourni par des tiers, tel que configuré par ou au nom du Client pour faciliter le partage des Données personnelles entre les Services et ces services tiers) ;
- Anonymisation des Données personnelles ;
- Respect des lois et réglementations en vigueur ;
- Toutes les tâches liées à l’un ou l’autre des éléments ci-dessus.
Durée du Traitement
Sous réserve de toute section de l’ATD et/ou de l’Accord traitant de la durée du Traitement et des conséquences de son expiration ou de sa résiliation, le Sous-traitant traitera les Données personnelles pendant la durée de l’Accord et de la fourniture des Services en vertu de celui-ci, sauf accord contraire par écrit.
Type de données personnelles
Le Client peut transmettre des Données personnelles aux Services, dont le type et l’étendue sont déterminés et contrôlés par le Client à sa seule discrétion.
Catégories de Personnes concernées
Les Catégories de Personnes concernées relatives aux Données personnelles qui seront traitées par le Sous-traitant dépendent du Client, et peuvent inclure, sans s’y limiter, l’une des catégories suivantes :
- Employés, agents, conseillers, freelances du client (qui sont des personnes physiques)
- Prospects, clients, partenaires commerciaux et vendeurs du Client (qui sont des personnes physiques)
- Employés ou interlocuteurs des prospects, clients, partenaires professionnels et vendeurs du Client
- Toute autre personne tierce dont les Données Personnelles sont traitées par les Services.