X

Our website uses cookies to enhance your browsing experience.

CONTINUE TO SITE >

ACCORD DE PROTECTION DES DONNÉES – MONDE ENTIER

This Document contains a French translation of the CrowdStrike Data Protection Agreement (DPA) and is provided to you for ease of reference and convenience purposes only. In the event of any conflict or ambiguity, the English version will always prevail and take precedence and be the only terms and conditions in place and as agreed between the parties.

Cet Accord / conditions est traduit, la version de l’Accord qui prévaudra en cas de conflit sera la version anglaise.
En cas de divergence entre les deux versions, la version en anglais prévaudra.

Le présent Accord de Protection des Données (« APD ») incluant les Clauses Contractuelles Types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers (décision de la Commission européenne C(2010)593), s’ajoute à tout Accord-Cadre de Services CrowdStrike, à tout Accord-Cadre d’Achat, aux Conditions générales, ou à tout autre accord, existants et actuellement valables (collectivement, l’« Accord principal ») déjà conclu(s) entre CrowdStrike, Inc. et/ou CrowdStrike Services Inc. (collectivement, « CrowdStrike », le « Vendeur », l’« Importateur de Données » ou le « Sous-Traitant »), et la partie qui est liée par l’Accord principal (le « Client » ou l’« Exportateur de Données » ou le « Responsable du Traitement ») dans la mesure où des données à caractère personnel sont traitées par CrowdStrike.

Les termes commençant par une majuscule qui ne sont pas autrement définis aux présentes ont le sens qui leur est donné dans l’Accord principal. Sous réserve des modifications ci-dessous, les conditions de l’Accord principal demeurent applicables et continuent de produire tous leurs effets. Les stipulations du présent APD ne s’appliquent à CrowdStrike et aux Affiliés de CrowdStrike que dans la mesure où elles sont applicables et requises par les Lois applicables. Les Parties conviennent :

1.                Définitions

1.1                Dans le présent APD, les termes suivants ont le sens qui leur est donné ci-dessous et les termes apparentés doivent être interprétés en conséquence :

1.1.1                « Lois applicables » désigne les lois qui régissent le traitement, la confidentialité ou la sécurité des Données à Caractère personnel du Client et qui sont directement applicables à chaque partie concernée au présent APD dans le contexte du Traitement des Données à Caractère personnel du Client par CrowdStrike ;

1.1.2                « Client » désigne la Partie qui a signé l’Accord principal ainsi que les Affiliés du Client (tant qu’ils demeurent Affiliés) dans la mesure où ils sont soumis à l’Accord principal ou signataires du présent APD.

1.1.3                « Affilié du Client » désigne une entité qui possède ou contrôle, est détenue ou contrôlée par, ou est sous contrôle commun ou propriété commune avec le Client, le contrôle étant défini comme la possession, directement ou indirectement, du pouvoir de diriger ou de faire diriger la gestion et les politiques d’une entité, soit par la propriété de titres assortis de droits de vote, soit par contrat soit autrement ;

1.1.4                « Membre du Groupe du Client » désigne le Client ou tout Affilié du Client ;

1.1.5                « Données à Caractère personnel du Client » désigne toute Donnée à Caractère personnel traitée par CrowdStrike ou un Affilié de CrowdStrike au nom d’un Membre du Groupe du Client identifiant les personnes concernées dont un Membre du Groupe du Client est responsable en vertu ou dans le cadre de l’Accord principal ;

1.1.6                « Sous-Traitant sous Contrat » désigne CrowdStrike ou un Sous-Traitant ultérieur ;

1.1.7                « EEE » désigne l’Espace économique européen ;

1.1.8                « Législation de l’UE en matière de Protection des Données » désigne le Règlement général de l’UE sur la protection des données 2016/679 (RGPD) et les lois transposant ou complétant le RGPD ;

1.1.9                « Transfert restreint » désigne :

1.1.9.1                un transfert de Données à Caractère personnel du Client depuis un Membre du Groupe du Client vers un Sous-Traitant sous Contrat ; ou

1.1.9.2                un transfert ultérieur de Données à Caractère personnel du Client depuis un Sous-Traitant sous Contrat vers un Sous-Traitant sous Contrat, ou entre deux établissements d’un Sous-Traitant sous Contrat,

dans chaque cas, lorsqu’un tel transfert serait interdit par les Lois applicables si CrowdStrike ne relevait pas par ailleurs d’un mécanisme ou d’un pays désigné par une décision d’adéquation rendue par une autorité compétente en matière de protection des données, y compris la Commission européenne, le Préposé fédéral suisse à la protection des données et à la transparence, le Bureau du Commissaire à l’information du Royaume-Uni ou une autorité compétente en matière de protection des données régissant le transfert des Données à Caractère personnel du Client à CrowdStrike, le cas échéant ;

1.1.10                « Offres » désigne, collectivement, des Produits, des Services liés aux Produits ou des Services professionnels émanant de CrowdStrike ;

1.1.11                « Sous-Traitant ultérieur » désigne toute personne (y compris tout tiers et tout Affilié de CrowdStrike, à l’exclusion d’un employé de CrowdStrike ou de l’un de ses sous-traitants ultérieurs) nommée par ou au nom de CrowdStrike ou tout Affilié de CrowdStrike dans son rôle de Responsable du Traitement des Données à Caractère personnel pour le compte de tout Membre du Groupe du Client relativement à l’Accord principal ; et

1.1.12                « Affilié CrowdStrike » désigne une entité qui possède ou contrôle, est détenue ou contrôlée par, ou est sous contrôle commun ou propriété commune avec CrowdStrike, le contrôle étant défini comme la possession, directement ou indirectement, du pouvoir de diriger ou de faire diriger la gestion et les politiques d’une entité, soit par la propriété de titres assortis de droits de vote, soit par contrat soit autrement.

1.2                Les termes « Commission », « Responsable du Traitement », « Personne concernée », « État membre », « Données à Caractère personnel », « Violation de Données à Caractère personnel », « Sous-Traitant », « Traitement » et « Autorité de Contrôle » ont la même signification que dans les Lois applicables, y compris, le cas échéant, dans le Bouclier de protection des données UE-États-Unis et Suisse-États-Unis (EU-US and Swiss-US Privacy Shield) et dans le RGPD. Tous les mots ou termes commençant par une majuscule mais non définis dans le présent APD ont la signification définie dans l’Accord principal ou dans les Clauses Contractuelles Types.

1.3                Le mot « inclure » doit être interprété comme signifiant inclure, sans limitation, et les termes apparentés doivent être interprétés en conséquence.

2.                Autorité

CrowdStrike déclare et garantit qu’avant qu’un Affilié CrowdStrike ne traite des Données à Caractère personnel d’un Client au nom d’un Membre du Groupe du Client, la conclusion par CrowdStrike du présent APD en tant que mandataire agissant au nom et pour le compte de cet Affilié CrowdStrike aura été dûment et effectivement autorisée (ou ratifiée ultérieurement) par cet Affilié CrowdStrike.

3.                Traitement des Données à Caractère personnel du Client

3.1                CrowdStrike et chaque Affilié CrowdStrike s’interdisent :

3.1.1                de traiter les Données à Caractère personnel du Client autrement que selon les instructions documentées du Membre du Groupe du Client concerné à moins que le Traitement ne soit requis par les Lois applicables auxquelles le Sous-Traitant sous Contrat concerné est soumis, auquel cas CrowdStrike ou l’Affilié CrowdStrike concerné devra dans la mesure autorisée par les Lois applicables informer le Membre du Groupe du Client concerné de cette obligation juridique avant le Traitement concerné de ces Données à Caractère personnel.

3.2                Chaque Membre du Groupe du Client :

3.2.1 donne des instructions à CrowdStrike et à chaque Affilié CrowdStrike (et autorise CrowdStrike et chaque Affilié CrowdStrike à donner des instructions à chaque Sous-Traitant ultérieur) de :

3.2.1.1                Traiter les Données à Caractère personnel du Client ; et

3.2.1.2               en particulier, de transférer les Données à Caractère personnel du Client vers n’importe quel pays ou territoire, lorsque cela est raisonnablement nécessaire à la fourniture des Offres et conforme à l’Accord principal ;

3.2.2                garantit et déclare être et rester à tout moment dûment et effectivement habilité à donner les instructions énoncées à la section 3.2.1 au nom de chaque Affilié du Client concerné ; et

3.2.3                ainsi que ses sociétés affiliées et filiales, déclare et garantit avoir obtenu tous les consentements et autorisations gouvernementales nécessaires en vertu de la Loi applicable pour permettre le traitement et le transfert international des Données à Caractère personnel du Client depuis chaque Membre du Groupe du Client vers chaque Affilié CrowdStrike, y compris les transferts ultérieurs vers des Sous-Traitants ultérieurs. En outre, chaque Membre du Groupe du Client s’engage à indemniser pleinement et à dégager de toute responsabilité chaque Affilié CrowdStrike de toute action intentée à son encontre, que ce soit par une personne concernée ou par une autorité gouvernementale, relativement aux consentements et autorisations gouvernementales nécessaires au transfert international des données de tout Membre du Groupe du Client vers tout Affilié CrowdStrike. Par souci de clarté, cette stipulation ne diminue pas les droits légaux du Client, du Membre du Groupe du Client ou de la personne concernée en ce qui concerne le respect par CrowdStrike de ses obligations en tant que Sous-Traitant des Données à Caractère personnel du Client.

3.3                L’Annexe A du présent APD contient certaines informations concernant le Traitement des Données à Caractère personnel du Client par les Sous-Traitants sous Contrat, conformément à l’article 28, paragraphe 3 du RGPD (et, éventuellement, aux prescriptions équivalentes d’autres Lois applicables). Aucune clause de l’Annexe A (y compris les modifications apportées conformément au présent article 3.3) ne confère de droit ou n’impose d’obligation à une partie au présent APD.

4.                 Personnel de CrowdStrike et des Affiliés CrowdStrike

CrowdStrike et chaque Affilié CrowdStrike doivent prendre des mesures raisonnables pour assurer la fiabilité de tout employé, mandataire ou prestataire de tout Sous-Traitant ultérieur qui peut avoir accès aux Données à Caractère personnel du Client, en s’assurant dans chaque cas que l’accès est strictement limité aux personnes qui ont besoin de connaître ou d’accéder aux Données à Caractère personnel pertinentes du Client, lorsque raisonnablement nécessaire pour les besoins de l’Accord Principal, et pour respecter les Lois applicables dans le contexte des obligations de cette personne envers le Sous-Traitant sous Contrat, et en garantissant que toutes ces personnes sont soumises à des engagements de confidentialité ou à des obligations de confidentialité professionnelles ou réglementaires.

5.                Sécurité

5.1                Compte tenu de l’état de la technique, des coûts de mise en œuvre et de la nature, de l’étendue, du contexte et des finalités du Traitement ainsi que du risque de probabilité et de gravité variable pour les droits et libertés des personnes physiques, CrowdStrike et chaque Affilié CrowdStrike mettront en œuvre, à l’égard des Données à Caractère personnel du Client, les mesures techniques et organisationnelles appropriées destinées à garantir un niveau de sécurité adapté à ce risque, y compris, si nécessaire, les mesures visées dans la Loi applicable, notamment, le cas échéant, celles de l’article 32, paragraphe 1 du RGPD.

5.2                En évaluant le niveau de sécurité approprié, CrowdStrike et chaque Affilié CrowdStrike tiendront compte en particulier des risques présentés par le Traitement, nés en particulier d’une Violation de Données à Caractère personnel.

6.                Sous-traitance ultérieure

6.1                Chaque Membre du Groupe du Client autorise CrowdStrike et chaque Affilié CrowdStrike à nommer (et permettre à chaque Sous-Traitant ultérieur nommé conformément au présent article 6 de nommer) des Sous-Traitants ultérieurs conformément au présent article 6 et aux restrictions de l’Accord principal.

6.2                CrowdStrike et chaque Affilié CrowdStrike peuvent continuer à recourir aux Sous-Traitants ultérieurs déjà engagés par CrowdStrike ou tout Affilié CrowdStrike à la date du présent APD, sous réserve que CrowdStrike et chaque Affilié CrowdStrike respectent dans chaque cas dès que possible les obligations définies à l’article 6.4.

6.3                CrowdStrike informera le Client de la nomination de tout nouveau Sous-Traitant ultérieur. CrowdStrike tient à jour une liste des Sous-Traitants ultérieurs sur son site Web (une copie est disponible sur https://falcon.crowdstrike.com/support/documentation/34/crowdstrike-products-and-services-third-party-subprocessors-of-personal-data). Si, dans les 30 jours suivant la réception de cet avis, le Client avise CrowdStrike par écrit de toute objection (pour des motifs raisonnables) au projet de nomination :

6.3.1                CrowdStrike collaborera avec le Client en toute bonne foi pour rendre disponible une modification commercialement raisonnable de la fourniture des Offres qui évite le recours à ce Sous-Traitant ultérieur proposé ; et

6.3.2                lorsqu’une telle modification ne peut être apportée dans les 90 jours suivant la réception par CrowdStrike de l’avis du Client, nonobstant toute mention contraire de l’Accord principal, le Client peut, par avis écrit remis à CrowdStrike dans les 30 jours suivant l’expiration du délai de 90 jours ci-dessus, résilier immédiatement l’Accord principal dans la mesure où elle se rapporte aux Offres qui exigent le recours au Sous-Traitant proposé.

6.4                En ce qui concerne chaque Sous-Traitant ultérieur, CrowdStrike ou l’Affilié CrowdStrike concerné doit :

6.4.1                avant que le Sous-Traitant ultérieur ne traite pour la première fois les Données à Caractère personnel du Client (ou, le cas échéant, conformément à l’article 6.2), effectuer une vérification préalable adéquate afin de s’assurer que le Sous-Traitant ultérieur est capable d’assurer le niveau de protection des Données à Caractère personnel du Client requis par l’Accord principal ;

6.4.2                s’assurer que l’arrangement entre d’une part (a) CrowdStrike, ou (b) l’Affilié CrowdStrike concerné, ou (c) le Sous-Traitant ultérieur intermédiaire concerné ; et d’autre part le Sous-Traitant ultérieur, est régi par un contrat écrit comprenant des conditions qui offrent au moins le même niveau de protection des Données à Caractère personnel du Client que celui requis par les Principes du Bouclier de Protection des Données et l’article 28, paragraphe 3 du RGPD, ou la Loi applicable ;

6.4.3                si cet arrangement implique un Transfert restreint, adhérer aux mécanismes d’adéquation applicables définis à l’Article 12 du présent APD, y compris, dans la mesure requise par la Loi applicable, pour les Données à Caractère personnel du Client provenant de pays autres que les États-Unis, l’Union européenne, l’EEE, le Royaume-Uni ou la Suisse ; et

6.4.4                conserver des copies des accords des Sous-Traitants sous Contrat passés avec les Sous-Traitants ultérieurs (qui peuvent être expurgées pour supprimer les informations commerciales confidentielles qui ne sont pas adaptées aux exigences du présent APD) que le Client peut demander de temps à autre.

6.5                CrowdStrike et chaque Affilié CrowdStrike doivent exiger que chaque Sous-Traitant ultérieur s’acquitte de ses obligations 6.5 CrowdStrike et chaque Affilié CrowdStrike doivent exiger que chaque Sous-Traitant ultérieur s’acquitte de ses obligations conformément aux stipulations du présent accord applicables à la protection des données.

7.                 Droits des Personnes concernées

7.1                Compte tenu de la nature du Traitement, CrowdStrike et chaque Affilié CrowdStrike doivent aider chaque Membre du Groupe du Client en mettant en œuvre les mesures techniques et organisationnelles appropriées, dans la mesure du possible, pour l’accomplissement des obligations légales des Membres du Groupe du Client en vertu des Lois applicables dans la mesure nécessaire pour répondre aux demandes visant à exercer leurs droits en tant que Personne concernée en vertu des Lois applicables.

7.2                CrowdStrike doit :

7.2.1                aviser sans retard le Client si un Sous-Traitant sous Contrat reçoit une demande de la part d’une Personne Concernée en vertu des Lois applicables relativement aux Données à Caractère personnel du Client ; et

7.2.2               s’assurer que le Sous-Traitant sous Contrat ne répond pas à cette demande, sauf sur les instructions documentées du Client ou de l’Affilié du Client concerné ou comme l’exigent les Lois applicables auxquelles le Sous-Traitant sous Contrat est assujetti, auquel cas CrowdStrike doit, dans la mesure permise par les Lois applicables, informer le Client de cette obligation juridique avant que le Sous-Traitant sous Contrat ne réponde à la demande.

8.                Violation de Données à Caractère personnel

8.1                CrowdStrike doit aviser le Client dans les plus brefs délais, et dans les délais requis par la Loi applicable, dès que CrowdStrike ou tout Sous-Traitant ultérieur a connaissance d’une Violation de Données à Caractère personnel affectant les Données à Caractère personnel du Client, en fournissant au Client des informations suffisantes pour permettre à chaque Membre du Groupe du Client de remplir toutes obligations de signaler ou informer les Personnes concernées de la Violation de Données à Caractère personnel en vertu des Lois applicables.

8.2                CrowdStrike doit coopérer avec le Client et chaque Membre du Groupe du Client et prendre des mesures commercialement raisonnables pour aider à l’enquête, à l’atténuation et à la réparation de chaque Violation de Données à Caractère personnel.

9.                Etude d’Impact sur la Protection des Données et Consultation préalable

CrowdStrike et chaque Affilié CrowdStrike doivent prêter une assistance raisonnable à chaque Membre du Groupe du Client pour la réalisation de toute étude d’impact sur la protection des données que la Loi applicable impose à un Membre du Groupe du Client, dans chaque cas uniquement en relation avec le Traitement des Données à Caractère personnel du Client par les Sous-Traitants sous Contrat, et en tenant compte de la nature du Traitement et des informations dont ils disposent.

10.                Suppression ou restitution des Données à Caractère personnel du Client

10.1                Sous réserve des articles 10.2 et 10.3, sur demande écrite à la fin de la relation commerciale entre le Client et CrowdStrike, CrowdStrike et chaque Affilié CrowdStrike devront rapidement restituer, supprimer ou bloquer les Données à Caractère personnel du Client en leur possession.

10.2                Sous réserve de l’article 10.3, le Client peut, à son entière appréciation, en avisant par écrit CrowdStrike au moins 30 jours avant la fin de la période contractuelle, exiger que CrowdStrike et chaque Affilié CrowdStrike (a) restituent au Client toutes les Données à Caractère personnel du Client ; et (b) suppriment et fassent supprimer toutes les autres copies des Données à Caractère personnel du Client traitées par tout Sous-Traitant sous Contrat. CrowdStrike et chaque Affilié CrowdStrike devront se conformer à cette demande écrite le plus rapidement possible, mais en tout état de cause dans les 90 jours suivant la fin de la période contractuelle.

10.3                Chaque Sous-Traitant sous Contrat peut conserver les Données à Caractère personnel du Client dans la mesure et pendant la durée nécessaires pour remplir les obligations contractuelles, fournir des Offres et répondre aux exigences des Lois applicables, à condition que CrowdStrike et chaque Affilié CrowdStrike déploient tous les efforts commercialement raisonnables pour garantir la confidentialité de toutes ces Données à Caractère personnel du Client et pour s’assurer que ces Données à Caractère personnel du Client ne sont traitées que dans la mesure nécessaire aux finalités en vue desquelles elles ont été initialement collectées.

10.4                Sur demande écrite, CrowdStrike remettra une attestation écrite au Client selon laquelle elle-même et chaque Affilié CrowdStrike se sont conformés au présent article 10 dans les 90 jours suivant la fin de la relation contractuelle entre les parties.

11.                Droits de vérification

11.1                Sous réserve des articles 11.2 à 11.4, CrowdStrike et chaque Affilié CrowdStrike doivent mettre à la disposition de chaque Membre du Groupe du Client, sur demande, les renseignements nécessaires pour démontrer le respect du présent APD.

11.2                Dans la mesure requise par la Loi applicable, CrowdStrike contribuera aux vérifications effectuées par tout Membre du Groupe du Client ou par un vérificateur mandaté par tout Membre du Groupe du Client, qui n’est pas un concurrent de CrowdStrike, en relation avec le Traitement des Données à Caractère personnel du Client par les Sous-Traitants sous Contrat.

11.3                Les droits d’information et de vérification des Membres du Groupe du Client découlent de l’article 11.1 uniquement dans la mesure où l’Accord principal ne leur confère pas autrement des droits d’information et de vérification répondant aux exigences pertinentes des Lois applicables (y compris, le cas échéant, l’article 28, paragraphe 3, alinéa h) du RGPD).

11.4                Nonobstant ce qui précède, CrowdStrike peut exclure les informations et la documentation qui révéleraient l’identité d’autres clients CrowdStrike ou des informations que CrowdStrike est tenue de garder confidentielles. Les informations ou dossiers fournis dans le cadre de ce processus d’évaluation seront considérés comme des Informations confidentielles de CrowdStrike et feront l’objet de l’article Confidentialité de l’Accord principal.

12.                Transferts restreints au sein de l’Espace économique européen et au Royaume-Uni

12.1                Lorsque CrowdStrike effectue un Transfert restreint et lorsqu’elle n’a pas adopté un autre mécanisme d’adéquation juridiquement suffisant, les Clauses contractuelles Types seront intégrées au présent APD et seront applicables.

12.2                Lorsque les Clauses Contractuelles Types s’appliquent, elles ne s’appliquent que dans la mesure de ce qui est nécessaire au mécanisme de transfert à venir, et plus particulièrement, en ce qui concerne la sous-traitance, CrowdStrike peut faire appel à des Sous-traitants, conformément à la section 6 du présent APD.

12.3                Lorsque CrowdStrike a adopté un autre mécanisme d’adéquation juridiquement suffisant, y compris des Règles d’Entreprise Contraignantes ou un code de conduite ou un mécanisme de certification approuvé, elle peut utiliser ces moyens en lieu et place des Clauses Contractuelles Types pour protéger les transferts internationaux de Données à caractère personnel.

13.                 Conditions générales

Droit applicable et compétence

13.1                Les parties au présent APD se soumettent par les présentes au choix de la compétence stipulé dans l’Accord principal en ce qui concerne les litiges ou réclamations, quelle qu’en soit la cause découlant du présent APD, y compris les litiges concernant son existence, sa validité ou sa résiliation ou les conséquences de sa nullité.

13.2                Le présent APD et toutes les obligations non contractuelles ou autres découlant de celui-ci ou s’y rapportant sont régis par les lois du pays ou du territoire stipulé à cette fin dans l’Accord principal.

Ordre de priorité

13.3                Rien dans le présent APD ne réduit les obligations de CrowdStrike ou de tout Affilié CrowdStrike découlant de l’Accord principal relativement à la protection des Données à Caractère personnel du Client, ou ne permet à CrowdStrike ou à tout Affilié CrowdStrike de traiter les Données à Caractère personnel du Client (ou d’en permettre le Traitement) d’une manière interdite dans l’Accord principal. En cas de conflit ou d’incohérence entre : (i) le corps du présent APD et l’une de ses Annexes (à l’exception des Clauses Contractuelles Types), (ii) les Clauses Contractuelles Types figurant en Annexe B d’une façon qui affecte significativement l’adéquation du transfert, et (iii) la Loi Applicable, l’ordre de priorité sera : (1) la Loi Applicable, (2) les Clauses Contractuelles Types, et (3) le présent APD.

13.4                Sous réserve de l’article 13.2, à l’égard de l’objet du présent APD, en cas d’incohérences entre les stipulations du présent APD et les autres accords entre les parties, y compris l’Accord principal, en ce compris (sauf convention contraire expresse écrite, signée au nom des parties) les accords conclus ou censés être conclus après la date du présent APD, les stipulations du présent APD prévalent.

Modifications des lois sur la protection des données, etc.

13.5                Si et dans la mesure où le présent APD ou les Clauses Contractuelles Types ne sont plus reconnus par la Commission européenne (ou si le Bouclier de Protection des Données Suisse – États-Unis n’est plus reconnu par le Préposé fédéral suisse à la protection des données et à la transparence) ou d’autres autorités locales de protection des Données à Caractère personnel du Client provenant d’un pays situé hors de l’EEE, comme mécanisme adéquat pour le transfert des Données à Caractère personnel depuis l’Union européenne, la Suisse ou autre pays, selon le cas, vers les États-Unis, CrowdStrike respectera alors un autre mécanisme de transfert adéquat ; cependant, si, après avoir fait des efforts commercialement raisonnables, CrowdStrike n’est pas en mesure de se conformer à un autre mécanisme de transfert adéquat, le Client ou CrowdStrike pourra, en adressant un préavis écrit à l’autre partie (pour CrowdStrike, à l’adresse : legal@crowdstrike.com), résilier les Commandes concernées et obtenir un remboursement de la part de CrowdStrike ou de son revendeur, selon le cas, des sommes payées par avance, au prorata de la durée restante par rapport à la durée totale des Licences/Abonnements non utilisés, ce qui constitue le seul recours dont dispose le Client.

13.6                Ni le Client ni CrowdStrike n’ont besoin du consentement ou de l’approbation d’un Affilié du Client ou d’un Affilié CrowdStrike pour modifier le présent APD conformément au présent article 13.5 ou autre.

Divisibilité

13.7                Si une stipulation du présent APD est nulle ou inapplicable, les autres stipulations du présent APD demeurent valides et applicables. La stipulation nulle ou inapplicable doit être soit (i) modifiée au besoin pour assurer sa validité et son efficacité, tout en préservant autant que possible les intentions des parties, soit, si cela n’est pas possible, (ii) être interprétée comme si la partie nulle ou inapplicable ne s’y trouvait pas.

Limitation de responsabilité

13.8                La responsabilité globale de chacune des Parties et de tous ses Affiliés, considérés dans leur ensemble, résultant de ou liée à cet APD, ou de tout APD entre les Affiliés du Client et CrowdStrike et les Affiliés de CrowdStrike, que ce soit à titre contractuel, délictuel ou autre, est soumise à l’article « Limitation de responsabilité » de l’Accord principal et au plafond maximum de responsabilité stipulé dans l’Accord principal pour la Partie concernée. Toute référence figurant dans ledit article à la responsabilité d’une Partie s’entend de la responsabilité globale de cette Partie et de tous ses Affiliés, au titre de l’Accord principal et de tous APD, pris dans leur ensemble.

13.9                Pour éviter toute ambiguïté, la responsabilité totale de CrowdStrike et de ses Affiliés pour toutes les réclamations émanant du Client et de tous les Affiliés du Client, résultant de ou liées à l’Accord principal et à tous les APD, s’appliquera globalement pour toutes les réclamations faites au titre de l’Accord principal et de tous les APD établis dans le cadre de l’Accord principal, qu’ils soient conclus par le Client ou par l’un de ses Affiliés. En particulier, cette limitation de responsabilité ne doit pas être entendue comme s’appliquant individuellement et séparément au Client et/ou à chacun de ses Affiliés, partie à l’un quelconque de ces APD.

14.                Conditions supplémentaires relatives aux Clauses contractuelles Types (Décision de la Commission C(2010) 593 — Clauses contractuelles types [sous-traitants])

14.1                Les présentes dispositions s’appliquent lorsque les Clauses contractuelles Types sont adoptées par les parties en lieu et place d’un autre mécanisme adéquat de transfert de Données à Caractère personnel du Client de l’Espace économique européen, de la Suisse ou du Royaume-Uni vers un autre pays non reconnu comme conforme par la Commission européenne, le Préposé fédéral suisse à la protection des données et à la transparence ou le « Information Commissioner’s Office » britannique, respectivement.

14.2                Les Clauses contractuelles Types et les conditions supplémentaires spécifiées au présent Article 14 du présent Addendum s’appliquent (i) à l’entité juridique qui a signé les Clauses contractuelles Types en tant qu’exportateur de données et les Affiliés du Client, et (ii) à tous les Affiliés du Client établis dans l’Espace économique européen, en Suisse et au Royaume-Uni, qui ont implémenté les Offres de CrowdStrike conformément à l’Accord principal et CrowdStrike traite leurs Données Personnelles. En ce qui concerne les Clauses contractuelles Types et le présent Article 14, les entités susmentionnées sont réputées être des « Exportateurs de Données ».

14.3                Instructions. Le présent APD et l’Accord principal constituent les instructions documentées, complètes et finales du Client au moment de la signature de l’Accord principal données à CrowdStrike en vue du Traitement de Données à Caractère personnel. Les instructions supplémentaires ou alternatives doivent faire l’objet d’un accord distinct. Aux fins de la Clause 5(a) des Clauses contractuelles Types, les Traitements suivants sont réputés être une instruction par le Client de traiter les Données à Caractère personnel : (a) Traitement conformément à l’Accord principal et à toute(s) commande(s) applicable(s) ; (b) Traitement initié par les utilisateurs lors de leur utilisation des Offres de CrowdStrike et (c) Traitement pour se conformer aux autres instructions raisonnables documentées fournies par le Client (par exemple, par e-mail) lorsque ces instructions sont compatibles avec les conditions de l’Accord principal.

14.4                Nomination de nouveaux Sous-Traitants ultérieurs et liste des Sous-Traitant ultérieurs actuels. Conformément à la Clause 5(h) des Clauses contractuelles Types, le Client reconnaît et convient expressément que (a) il est possible de faire appel à des Affiliés de CrowdStrike en tant que Sous-Traitants ultérieurs ; et (b) CrowdStrike et les Affiliés de CrowdStrike peuvent respectivement faire appel à des Sous-Traitants ultérieurs tiers dans le cadre de la fourniture d’Offres de CrowdStrike. CrowdStrike mettra à la disposition du Client la liste à jour des Sous-Traitants ultérieurs conformément à l’Article 6 du présent APD.

14.5                Notification concernant les Nouveaux Sous-Traitants ultérieurs et Droit d’Opposition pour les nouveaux Sous-Traitants ultérieurs. Conformément à la Clause 5(h) des Clauses contractuelles Types et conformément à l’Article 28 du RGPD, le Client reconnaît et convient expressément que CrowdStrike peut faire appel à de nouveaux Sous-Traitants ultérieurs comme décrit à l’Article 6 de l’APD.

14.6                Accords de sous-traitance. Les parties conviennent que les obligations de Sous-Traitance conformément à la Clause 11 des Clauses contractuelles Types seront exécutées conformément à l’Article 28 du RGPD. Les parties conviennent que les copies des accords de Sous-Traitance que CrowdStrike doit remettre au Client conformément à la Clause 5(j) des Clauses contractuelles Types peuvent contenir toutes les informations commerciales et confidentielles, ou des clauses sans rapport avec les Clauses contractuelles Types ou leur équivalent, expurgées au préalable par CrowdStrike ; et que ces copies seront fournies par CrowdStrike, d’une manière déterminée à sa discrétion, seulement sur demande écrite du Client.

14.7                Vérifications. Les parties conviennent que les vérifications décrites à la Clause 5(f), et à la Clause 12(2), des Clauses contractuelles Types doivent être effectuées conformément à l’Article 11 du présent APD. Dans la mesure où les Clauses contractuelles Types exigent en outre que les installations de CrowdStrike fassent l’objet d’une inspection, le Client peut contacter CrowdStrike au moyen d’un préavis écrit afin de demander une vérification sur place des procédures relatives à la protection des Données à Caractère personnel du Client. Le Client remboursera à CrowdStrike le temps consacré à cette vérification sur site aux tarifs alors en vigueur des services professionnels de CrowdStrike, qui seront mis à la disposition du Client sur demande. Avant le début de cette vérification sur site, le Client et CrowdStrike conviendront d’un commun accord de l’étendue, du moment et de la durée de la vérification, en plus du taux de remboursement dont le Client est responsable. Le Client informera CrowdStrike sans délai de toute non-conformité découverte au cours d’une vérification.

14.8                Attestation de Suppression. Les parties conviennent que CrowdStrike remettra au Client l’attestation de suppression des Données à Caractère personnel décrite à la Clause 12(1) des Clauses contractuelles Types uniquement à la demande du Client conformément à l’Article 10 du présent APD.

14.9                Plafond de Responsabilité. Les parties conviennent que la responsabilité totale combinée de l’une ou l’autre partie et de ses Affiliés envers l’autre partie et ses Affiliés en vertu ou dans le cadre de l’Accord et des Clauses contractuelles Types sera limitée au plafond (maximum) de Limitation de Responsabilité applicable à la partie concernée défini dans l’Accord principal.
 
 

ANNEXE A : DÉTAILS DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL DU CLIENT

La présente Annexe A inclut certains détails du Traitement des Données à Caractère personnel du Client requis par le paragraphe 3 de l’Article 28 du RGPD.

Objet et durée du Traitement des Données à Caractère personnel du Client

L’objet et la durée du Traitement des Données à Caractère personnel du Client sont décrits dans l’Accord principal et le présent APD.

Nature et finalité du Traitement des Données à Caractère personnel du Client

Activation/Utilisation des Offres. Les Données à Caractère personnel peuvent être recueillies et utilisées pendant l’activation et l’utilisation des Offres afin de livrer, soutenir et améliorer les Offres, administrer l’Accord et promouvoir la relation commerciale entre vous et CrowdStrike, se conformer à la loi, agir conformément à vos instructions écrites, ou conformément au présent Accord.

Les Données à Caractère personnel associées à l’activation et à l’exploitation des Offres comprennent les données incluses dans les données relatives aux événements machine, les données d’acteurs de menace et les données soumises par le Responsable du Traitement qui sont traitées afin de protéger ses dispositifs de toute activité néfaste et pour fournir des applications, modules, fonctionnalités et services supplémentaires sélectionnés par le Responsable du Traitement.

Services professionnels. Les données à caractère personnel recueillies dans le cadre des Services professionnels, par exemple dans le cadre de l’imagerie informatique, des diagnostics et des mesures correctives en rapport avec une intervention en cas d’incident ou d’autres Services professionnels judiciaires.

Analyse de fichiers/documents. Les données à caractère personnel qui se trouvent dans des fichiers ou documents inconnus ou suspects qui sont soumis aux Offres à des fins d’analyse d’activité néfaste ou de vulnérabilités. Ces fichiers inconnus ou suspects et autres informations connexes sont utilisés à des fins d’analyse de sécurité et d’intervention ou, lors de la soumission de rapports d’accident, pour rendre le produit plus fiable et/ou améliorer les produits et services de CrowdStrike ou renforcer la cybersécurité.

Assistance ; Informations sur le Compte. Les noms et coordonnées de vos employés peuvent être reçus dans le cadre de l’assistance technique des Offres, de l’administration de votre compte et de l’amélioration de votre expérience.

Types de Données à Caractère personnel du Client à Traiter

Selon les Offres, les conventions d’appellation et l’environnement du Responsable du Traitement, les données à caractère personnel, telles que celles éventuellement présentes dans un nom d’ordinateur, un nom d’utilisateur ou un nom de fichier ou les artefacts techniques envisagés dans les buts décrits ci-dessus.

Catégories de Personnes Concernées sur lesquelles portent les Données à Caractère personnel du Client

Les personnes concernées, telles que les utilisateurs du système informatique du Responsable du Traitement ou d’autres personnes dont le Responsable du Traitement des Données à Caractère personnel est responsable et dont les Données à Caractère personnel sont traitées dans le cadre des Offres.

Obligations et droits du Client et des Affiliés du Client

Les obligations et droits du Client et des Affiliés du Client sont décrits dans l’Accord principal et le présent APD.
 
 

ANNEXE B : CLAUSES CONTRACTUELLES TYPES

European

COMMISSION EUROPÉENNE
DIRECTION GÉNÉRALE JUSTICE

Direction C : Droits fondamentaux et citoyenneté de l’Union
Unité C.3 : Protection des données

……………………………………………………………

Décision de la Commission C(2010)593
Clauses contractuelles types (sous-traitants)

Aux fins de l’article 26, paragraphe 2 de la directive 95/46/CE pour le transfert des données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n’assurent pas un niveau adéquat de protection des données

Nom de l’organisation exportant les données :………………………………………………………………………………………………………………………………………………
Adresse:……………………………………………………………………………………………………………………………………………………………………………………………………………………
Tel.:…………………………………………………………; fax:…………………………………………………………; courrier électronique :……………………………………………………
Autres informations nécessaires pour identifier l’organisation :

……………………………………………………………
(ci-après dénommée l’« exportateur de données »)

d’une part, et
Nom de l’organisation important les données : CrowdStrike, Inc.
Address: 150 Mathilda Place, Suite 300, Sunnyvale, CA 94086, U.S.A.,
Tel.:……………………………………………………………; fax:……………………………………………………………; courrier électronique : dpa@crowdstrike.com (pour retourner l’APD et les présentes Clauses Contractuelles ; et privacy@crowdstrike.com (pour toutes questions relatives à la protection des données personnelles)

Autres informations nécessaires pour identifier l’organisation :

…………………………………………………………………
ci-après dénommée l’« importateur de données »)

d’autre part, ci-après dénommés individuellement une « partie » et collectivement les « parties » SONT CONVENUS des clauses contractuelles suivantes (ci-après dénommées « les clauses ») afin d’offrir des garanties adéquates concernant la protection de la vie privée et des libertés et droits fondamentaux des personnes lors du transfert, par l’exportateur de données vers l’importateur de données, des données à caractère personnel visées à l’appendice 1.
 

Clause 1

Définitions

Au sens des clauses :

(a)          « Données à caractère personnel », « catégories particulières de données », « traiter/traitement », « responsable du traitement », « sous-traitant », « personne concernée » et « autorité de contrôle » ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données[1] ;

(b)          l’« exportateur de données » est le responsable du traitement qui transfère les données à caractère personnel ;

(c)           l’« importateur de données » est le sous-traitant qui accepte de recevoir de l’exportateur de données des données à caractère personnel destinées à être traitées pour le compte de ce dernier après le transfert conformément à ses instructions et aux termes des présentes clauses et qui n’est pas soumis au mécanisme d’un pays tiers assurant une protection adéquate au sens de l’article 25, paragraphe 1, de la directive 95/46/CE ;

(d)          le « sous-traitant ultérieur » est le sous-traitant engagé par l’importateur de données ou par tout autre sous-traitant ultérieur de celui-ci, qui accepte de recevoir de l’importateur de données ou de tout autre sous-traitant ultérieur de celui-ci des données à caractère personnel exclusivement destinées à des activités de traitement à effectuer pour le compte de l’exportateur de données après le transfert conformément aux instructions de ce dernier, aux conditions énoncées dans les présentes clauses et selon les termes du contrat de sous-traitance écrit ;

(e)          le « droit applicable à la protection des données » est la législation protégeant les libertés et les droits fondamentaux des personnes, notamment le droit à la vie privée à l’égard du traitement des données à caractère personnel, et s’appliquant à un responsable du traitement dans l’État membre où l’exportateur de données est établi ;

(f)           les « mesures techniques et d’organisation liées à la sécurité » sont les mesures destinées à protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement.
 

Clause 2

Détails du transfert

Les détails du transfert et, notamment, le cas échéant, les catégories particulières de données à caractère personnel, sont spécifiés dans l’appendice 1 qui fait partie intégrante des présentes clauses.
 

Clause 3

Clause du tiers bénéficiaire

1.          La personne concernée peut faire appliquer contre l’exportateur de données la présente clause, ainsi que la clause 4, points b) à i), la clause 5, points a) à e) et points g) à j), la clause 6, paragraphes 1 et 2, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 en tant que tiers bénéficiaire.

2.          La personne concernée peut faire appliquer contre l’importateur de données la présente clause, ainsi que la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 dans les cas où l’exportateur de données a matériellement disparu ou a cessé d’exister en droit, à moins que l’ensemble de ses obligations juridiques n’ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, à laquelle reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre laquelle la personne concernée peut donc faire appliquer lesdites clauses.

3.          La personne concernée peut faire appliquer contre le sous-traitant ultérieur la présente clause, ainsi que la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, mais uniquement dans les cas où l’exportateur de données et l’importateur de données ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, à moins que l’ensemble des obligations juridiques de l’exportateur de données n’ait été transféré, par contrat ou par effet de la loi, au successeur légal, auquel reviennent par conséquent les droits et les obligations de l’exportateur de données, et contre lequel la personne concernée peut donc faire appliquer lesdites clauses. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.

4.          Les parties ne s’opposent pas à ce que la personne concernée soit représentée par une association ou un autre organisme si elle en exprime le souhait et si le droit national l’autorise.
 

Clause 4

Obligations de l’exportateur de données

L’exportateur de données accepte et garantit ce qui suit :

a)          le traitement, y compris le transfert proprement dit des données à caractère personnel, a été et continuera d’être effectué conformément aux dispositions pertinentes du droit applicable à la protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l’État membre dans lequel l’exportateur de données est établi) et n’enfreint pas les dispositions pertinentes dudit État ;

b)          il a chargé, et chargera pendant toute la durée des services de traitement de données à caractère personnel, l’importateur de données de traiter les données à caractère personnel transférées pour le compte exclusif de l’exportateur de données et conformément au droit applicable à la protection des données et aux présentes clauses ;

c)          l’importateur de données offrira suffisamment de garanties en ce qui concerne les mesures techniques et d’organisation liées à la sécurité spécifiées dans l’appendice 2 du présent contrat ;

d)          après l’évaluation des exigences du droit applicable à la protection des données, les mesures de sécurité sont adéquates pour protéger les données à caractère personnel contre une destruction fortuite ou illicite, une perte fortuite, une altération, une divulgation ou un accès non autorisé, notamment lorsque le traitement suppose la transmission de données par réseau, et contre toute autre forme illicite de traitement et elles assurent un niveau de sécurité adapté aux risques liés au traitement et à la nature des données à protéger, eu égard au niveau technologique et au coût de mise en œuvre ;

e)          il veillera au respect des mesures de sécurité ;

f)          si le transfert porte sur des catégories particulières de données, la personne concernée a été informée ou sera informée avant le transfert ou dès que possible après le transfert que ses données pourraient être transmises à un pays tiers n’offrant pas un niveau de protection adéquat au sens de la directive 95/46/CE ;

g)          il transmettra toute notification reçue de l’importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5, point b), et à la clause 8, paragraphe 3), à l’autorité de contrôle de la protection des données s’il décide de poursuivre le transfert ou de lever sa suspension ;

h)          il mettra à la disposition des personnes concernées, si elles le demandent, une copie des présentes clauses, à l’exception de l’appendice 2, et une description sommaire des mesures de sécurité, ainsi qu’une copie de tout contrat de sous-traitance ultérieure ayant été conclu conformément aux présentes clauses, à moins que les clauses ou le contrat ne contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations ;

i)          en cas de sous-traitance ultérieure, l’activité de traitement est effectuée conformément à la clause 11 par un sous-traitant ultérieur offrant au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l’importateur de données conformément aux présentes clauses ; et

j)          il veillera au respect de la clause 4, points a) à i).
 

Clause 5

Obligations de l’importateur de données[2]

L’importateur de données accepte et garantit ce qui suit :

a)          il traitera les données à caractère personnel pour le compte exclusif de l’exportateur de données et conformément aux instructions de ce dernier et aux présentes clauses ; s’il est dans l’incapacité de s’y conformer pour quelque raison que ce soit, il accepte d’informer dans les meilleurs délais l’exportateur de données de son incapacité, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat ;

b)          il n’a aucune raison de croire que la législation le concernant l’empêche de remplir les instructions données par l’exportateur de données et les obligations qui lui incombent conformément au contrat, et si ladite législation fait l’objet d’une modification susceptible d’avoir des conséquences négatives importantes pour les garanties et les obligations offertes par les clauses, il communiquera la modification à l’exportateur de données sans retard après en avoir eu connaissance, auquel cas ce dernier a le droit de suspendre le transfert de données et/ou de résilier le contrat ;

c)          il a mis en œuvre les mesures techniques et d’organisation liées à la sécurité spécifiées dans l’appendice 2 avant de traiter les données à caractère personnel transférées ;

d)          il communiquera sans retard à l’exportateur de données :

i)          toute demande contraignante de divulgation des données à caractère personnel émanant d’une autorité de maintien de l’ordre, sauf disposition contraire, telle qu’une interdiction de caractère pénal visant à préserver le secret d’une enquête policière ;

ii)          tout accès fortuit ou non autorisé ; et

iii)          toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu’il n’ait été autorisé à le faire ;

e)          il traitera rapidement et comme il se doit toutes les demandes de renseignements émanant de l’exportateur de données relatives à son traitement des données à caractère personnel qui font l’objet du transfert et se rangera à l’avis de l’autorité de contrôle en ce qui concerne le traitement des données transférées ;

f)          à la demande de l’exportateur de données, il soumettra ses moyens de traitement de données à une vérification des activités de traitement couvertes par les présentes clauses qui sera effectuée par l’exportateur de données ou un organe de contrôle composé de membres indépendants possédant les qualifications professionnelles requises, soumis à une obligation de secret et choisis par l’exportateur de données, le cas échéant, avec l’accord de l’autorité de contrôle ;

g)          il mettra à la disposition de la personne concernée, si elle le demande, une copie des présentes clauses, ou tout contrat de sous-traitance ultérieure existant, à moins que les clauses ou le contrat ne contienne(nt) des informations commerciales, auquel cas il pourra retirer ces informations, à l’exception de l’appendice 2, qui sera remplacé par une description sommaire des mesures de sécurité, lorsque la personne concernée n’est pas en mesure d’obtenir une copie de l’exportateur de données ;

h)          en cas de sous-traitance ultérieure, il veillera au préalable à informer l’exportateur de données et à obtenir l’accord écrit de ce dernier ;

i)          les services de traitement fournis par le sous-traitant ultérieur seront conformes à la clause 11 ;

j)          il enverra dans les meilleurs délais une copie de tout accord de sous-traitance ultérieure conclu par lui en vertu des présentes clauses à l’exportateur de données.
 

Clause 6

Responsabilité

1.          Les parties conviennent que toute personne concernée ayant subi un dommage du fait d’un manquement aux obligations visées à la clause 3 ou à la clause 11 par une des parties ou par un sous-traitant ultérieur a le droit d’obtenir de l’exportateur de données réparation du préjudice subi.

2.          Si une personne concernée est empêchée d’intenter l’action en réparation visée au paragraphe 1 contre l’exportateur de données pour manquement par l’importateur de données ou par son sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données a matériellement disparu, a cessé d’exister en droit ou est devenu insolvable, l’importateur de données accepte que la personne concernée puisse déposer une plainte à son encontre comme s’il était l’exportateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données n’ait été transféré, par contrat ou par effet de la loi, à l’entité qui lui succède, contre laquelle la personne concernée peut alors faire valoir ses droits.

L’importateur de données ne peut invoquer un manquement par un sous-traitant ultérieur à ses obligations pour échapper à ses propres responsabilités.

3.          Si une personne concernée est empêchée d’intenter l’action visée aux paragraphes 1 et 2 contre l’exportateur de données ou l’importateur de données pour manquement par le sous-traitant ultérieur à l’une ou l’autre de ses obligations visées à la clause 3 ou à la clause 11, parce que l’exportateur de données et l’importateur de données ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, le sous-traitant ultérieur accepte que la personne concernée puisse déposer une plainte à son encontre en ce qui concerne ses propres activités de traitement conformément aux présentes clauses comme s’il était l’exportateur de données ou l’importateur de données, à moins que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n’ait été transféré, par contrat ou par effet de la loi, au successeur légal, contre lequel la personne concernée peut alors faire valoir ses droits. La responsabilité du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.
 

Clause 7

Médiation et juridiction

1.          L’importateur de données convient que si, en vertu des clauses, la personne concernée invoque à son encontre le droit du tiers bénéficiaire et/ou demande réparation du préjudice subi, il acceptera la décision de la personne concernée :

a)          de soumettre le litige à la médiation d’une personne indépendante ou, le cas échéant, de l’autorité de contrôle ;

b)          de porter le litige devant les tribunaux de l’État membre où l’exportateur de données est établi.

2.          Les parties conviennent que le choix effectué par la personne concernée ne remettra pas en cause le droit procédural ou matériel de cette dernière d’obtenir réparation conformément à d’autres dispositions du droit national ou international.
 

Clause 8

Coopération avec les autorités de contrôle

1.          L’exportateur de données convient de déposer une copie du présent contrat auprès de l’autorité de contrôle si celle-ci l’exige ou si ce dépôt est prévu par le droit applicable à la protection des données.

2.          Les parties conviennent que l’autorité de contrôle a le droit d’effectuer des vérifications chez l’importateur de données et chez tout sous-traitant ultérieur dans la même mesure et dans les mêmes conditions qu’en cas de vérifications opérées chez l’exportateur de données conformément au droit applicable à la protection des données.

3.          L’importateur de données informe l’exportateur de données, dans les meilleurs délais, de l’existence d’une législation le concernant ou concernant tout sous-traitant ultérieur faisant obstacle à ce que des vérifications soient effectuées chez lui ou chez tout sous-traitant ultérieur conformément au paragraphe 2. Dans ce cas, l’exportateur de données a le droit de prendre les mesures prévues par la clause 5, point b).
 

Clause 9

Droit applicable

Les clauses sont régies par le droit de l’État membre où l’exportateur de données est établi, à savoir ………………………………………………………..
 

Clause 10

Modification du contrat

Les parties s’engagent à ne pas modifier les présentes clauses. Les parties restent libres d’inclure d’autres clauses à caractère commercial qu’elles jugent nécessaires, à condition qu’elles ne contredisent pas les présentes clauses.
 

Clause 11

Sous-traitance ultérieure

1.          L’importateur de données ne sous-traite aucune de ses activités de traitement effectuées pour le compte de l’exportateur de données conformément aux présentes clauses sans l’accord écrit préalable de l’exportateur de données. L’importateur de données ne sous-traite les obligations qui lui incombent conformément aux présentes clauses, avec l’accord de l’exportateur de données, qu’au moyen d’un accord écrit conclu avec le sous-traitant ultérieur, imposant à ce dernier les mêmes obligations que celles qui incombent à l’importateur de données conformément aux présentes clauses. En cas de manquement, par le sous-traitant ultérieur, aux obligations en matière de protection des données qui lui incombent conformément audit accord écrit, l’importateur de données reste pleinement responsable du respect de ces obligations envers l’exportateur de données.

2.          Le contrat écrit préalable entre l’importateur de données et le sous-traitant ultérieur prévoit également une clause du tiers bénéficiaire telle qu’énoncée à la clause 3 pour les cas où la personne concernée est empêchée d’intenter l’action en réparation visée à la clause 6, paragraphe 1, contre l’exportateur de données ou l’importateur de données parce que ceux-ci ont matériellement disparu, ont cessé d’exister en droit ou sont devenus insolvables, et que l’ensemble des obligations juridiques de l’exportateur de données ou de l’importateur de données n’a pas été transféré, par contrat ou par effet de la loi, à une autre entité leur ayant succédé. Cette responsabilité civile du sous-traitant ultérieur doit être limitée à ses propres activités de traitement conformément aux présentes clauses.

3.          Les dispositions relatives aux aspects de la sous-traitance ultérieure liés à la protection des données du contrat visé au paragraphe 1 sont régies par le droit de l’État membre où l’exportateur de données est établi, à savoir ……………………………………………………………………………………………………………………………

4.          L’exportateur de données tient une liste des accords de sous-traitance ultérieure conclus en vertu des présentes clauses et notifiés par l’importateur de données conformément à la clause 5, point j), qui sera mise à jour au moins une fois par an. Cette liste est mise à la disposition de l’autorité de contrôle de la protection des données de l’exportateur de données.
 

Clause 12

Obligation après la résiliation des services de traitement des données à caractère personnel

1.          Les parties conviennent qu’au terme des services de traitement des données, l’importateur de données et le sous-traitant ultérieur restitueront à l’exportateur de données, et à la convenance de celui-ci, l’ensemble des données à caractère personnel transférées ainsi que les copies, ou détruiront l’ensemble de ces données et en apporteront la preuve à l’exportateur de données, à moins que la législation imposée à l’importateur de données ne l’empêche de restituer ou de détruire la totalité ou une partie des données à caractère personnel transférées. Dans ce cas, l’importateur de données garantit qu’il assurera la confidentialité des données à caractère personnel transférées et qu’il ne traitera plus activement ces données.

2.          L’importateur de données et le sous-traitant ultérieur garantissent que si l’exportateur de données et/ou l’autorité de contrôle le demandent, ils soumettront leurs moyens de traitement de données à une vérification des mesures visées au paragraphe 1.

Pour l’exportateur de données :
Nom (écrit en toutes lettres) :
Fonction :
Adresse :
Autres informations nécessaires pour la validité du contrat (le cas échéant) :

Signature……………………………………….
(cachet de l’organisation)

Pour l’importateur de données :
Nom (écrit en toutes lettres) :
Fonction :
Adresse :
Autres informations nécessaires pour la validité du contrat (le cas échéant) :

Signature……………………………………….
(cachet de l’organisation)

 
 

APPENDIX 1 DES CLAUSES CONTRACTUELLES TYPES

Le présent appendice fait partie des clauses et doit être rempli et signé par les parties.
Les États membres peuvent compléter ou préciser, selon leurs procédures nationales, toute information supplémentaire devant éventuellement être incluse dans le présent appendice.

Exportateur de données

L’exportateur de données est (veuillez préciser brièvement vos activités qui présentent un intérêt pour le transfert) :
CLIENT

………………………………………………………………………………………………………………………………………………………………………………………………

Importateur de données

L’importateur de données est (veuillez préciser brièvement vos activités qui présentent un intérêt pour le transfert) :
CrowdStrike aux fins énoncées dans l’Accord principal et le présent APD.

………………………………………………………………………………………………………………………………………………………………………………………………

Personnes concernées

Les données à caractère personnel transférées sont relatives aux catégories suivantes de personnes concernées (veuillez préciser) :
Les personnes concernées, telles que les utilisateurs du système informatique du Responsable du Traitement ou d’autres personnes dont le Responsable du Traitement des Données à Caractère personnel est responsable et dont les Données à Caractère personnel sont traitées dans le cadre des Offres.

………………………………………………………………………………………………………………………………………………………………………………………………

Catégories de données

Les données à caractère personnel transférées concernent les catégories suivantes de données (veuillez préciser) :
Selon les Offres, les conventions d’appellation et l’environnement du Responsable du Traitement, les données à caractère personnel, telles que celles éventuellement présentes dans un nom d’ordinateur, un nom d’utilisateur ou un nom de fichier ou les artefacts techniques envisagés dans les buts décrits dans l’APD.

………………………………………………………………………………………………………………………………………………………………………………………………

Catégories particulières de données (le cas échéant)

Les données à caractère personnel transférées concernent les catégories particulières suivantes de données (veuillez préciser) :
S/O

………………………………………………………………………………………………………………………………………………………………………………………………

Traitement

Les données à caractère personnel transférées seront soumises aux activités de traitement de base suivantes (veuillez préciser) :

Fourniture/Utilisation des Offres. Les Données à Caractère personnel peuvent être recueillies et utilisées pendant la fourniture et l’utilisation des Offres afin de livrer, soutenir et améliorer les Offres, administrer l’Accord et promouvoir la relation commerciale entre vous et CrowdStrike, se conformer à la loi, agir conformément à vos instructions écrites, ou conformément au présent Accord.

Les Données à Caractère personnel associées à la fourniture et à l’exploitation des Offres comprennent les données incluses dans les données relatives aux événements machine, les données d’acteurs de menace et les données soumises par le Responsable du Traitement traitées pour protéger ses dispositifs de l’activité néfaste et pour fournir des applications, modules, fonctionnalités et services supplémentaires sélectionnés par le Responsable du Traitement

Services professionnels. Les données à caractère personnel recueillies dans le cadre des Services professionnels, par exemple dans le cadre de l’imagerie informatique, des diagnostics et des mesures correctives dans le cadre de l’intervention en cas d’incident ou d’autres services professionnels à vocation médico-légale.

Analyse de dossiers/documents. Les Données à Caractère personnel qui se trouvent dans des dossiers ou documents inconnus ou suspects qui sont soumis aux Offres à des fins d’analyse d’activité néfaste ou de vulnérabilités. Ces dossiers inconnus ou suspects et d’autres informations connexes sont utilisés à des fins d’analyse de sécurité et de réponse ou, lors de la soumission de rapports d’accident, pour rendre le produit plus fiable et/ou améliorer les produits et services de CrowdStrike ou améliorer la cybersécurité.

Assistance ; Informations sur le Compte. Les noms et coordonnées de vos employés peuvent être reçus dans le cadre de l’assistance technique des Offres, de l’administration de votre compte et de l’amélioration de votre expérience.

EXPORTATEUR DE DONNEES
Nom :……………………………………………………
Signature autorisée :…………………………………

IMPORTATEUR DE DONNEES
Nom :……………………………………………………
Signature autorisée :…………………………………
 
 

Appendice 2 des clauses contractuelles types

Le présent appendice fait partie des clauses et doit être rempli et signé par les parties.
Description des mesures techniques et d’organisation liées à la sécurité mises en œuvre par l’importateur de données conformément à la clause 4, point d), et à la clause 5, point c) (ou document/législation jointe) :

Les mesures techniques et d’organisation liées à la sécurité se trouvent dans l’Accord principal.
 
 
 

Notes de bas de Page

1. Les parties peuvent reprendre, dans la présente clause, les définitions et les significations de la directive 95/46/CE si elles estiment qu’il est préférable que le contrat soit autonome.

2. Les exigences impératives de la législation nationale le concernant et qui ne vont pas au-delà de celles qui sont nécessaires dans une société démocratique pour l’un des intérêts énoncés à l’article 13, paragraphe 1, de la directive 95/46/CE, c’est-à-dire si elles constituent une mesure nécessaire pour sauvegarder la sûreté de l’État ; la défense ; la sécurité publique ; la prévention, la recherche, la détection et la poursuite d’infractions pénales ou de manquements à la déontologie dans le cas de professions réglementées ; un intérêt économique ou financier important d’un État ou la protection de la personne concernée ou des droits et libertés d’autrui, ne vont pas à l’encontre des clauses contractuelles types. Parmi les exemples de ces exigences impératives qui ne vont pas au-delà de celles qui sont nécessaires dans une société démocratique figurent, notamment, les sanctions reconnues sur le plan international, les obligations de déclaration fiscale et les obligations de déclaration de lutte contre le blanchiment des capitaux.