Addendum relatif au traitement des données
Dernière mise à jour : 1er juin 2023
Le présent Addendum relatif au traitement des données (« ATD ») fait partie intégrante du contrat (le « Contrat ») conclu entre l’entité RX et l’exposant, le sponsor ou l’autre partie (chacun individuellement, une « Partie ») indiqué(e) dans le Contrat dans lequel le présent ATD est mentionné.
1. Définitions
1.1 « Législation sur la protection des données » désigne toutes les lois, règles, réglementations, décrets, ordonnances et autres exigences gouvernementales applicables en matière de confidentialité et de protection des données.
1.2 Les termes « responsable du traitement », « personne concernée », « données à caractère personnel » et « traitement » ont les mêmes significations que celles qui leur sont attribuées dans la Législation sur la protection des données. Lorsque la Législation sur la protection des données emploie des termes équivalents ou correspondants, tels que « informations personnelles » au lieu de « données à caractère personnel », ces termes s'entendront comme étant identiques.
2. Champ d’application
2.1 Le présent ATD s’applique au traitement des données à caractère personnel que chaque Partie reçoit de l’autre Partie et, le cas échéant, des sociétés affiliées de celles-ci, en vertu du Contrat.
2.2 L’objet du traitement est constitué par les données à caractère personnel fournies dans le cadre du salon et des services connexes conformément au Contrat. La durée du traitement est la durée de la prestation des services déterminée dans le Contrat, jusqu’à l’élimination des données à caractère personnel conformément au Contrat. La nature et la finalité du traitement sont liées à la prestation des services en vertu du Contrat. Les types de données à caractère personnel traitées sont celles qui sont traitées en vertu du Contrat. Les catégories de personnes concernées sont celles dont les données à caractère personnel sont traitées en vertu du Contrat.
3. Rôles et restrictions
3.1 Chaque Partie détermine de manière indépendante les finalités et les moyens de son traitement des données à caractère personnel et, par conséquent, chaque Partie est un responsable du traitement des données à caractère personnel indépendant. Les Parties ne traitent pas et ne traiteront pas les données à caractère personnel en tant que responsables collectifs du traitement.
3.2 Chaque Partie est tenue de respecter ses obligations en vertu de la Législation sur la protection des données, et est individuellement, indépendamment de l'autre Partie, responsable de sa propre conformité. Rien dans le présent ATD ne modifie les restrictions applicables aux droits de l’une ou de l’autre des Parties d’utiliser ou de traiter autrement les données à caractère personnel fournies en vertu du Contrat.
4. Assistance
4.1 Chaque Partie coopère avec l’autre Partie et l’assiste dans la mesure raisonnablement nécessaire pour lui permettre de respecter ses obligations en vertu de la Législation sur la protection des données, en tenant compte de la nature du traitement et des informations à sa disposition.
5. Transfert transfrontalier
5.1 Si une Partie transfère des données à caractère personnel dans un autre pays, elle s'assurera que ce transfert est soumis à des mesures appropriées fournissant un niveau de protection adéquat, conformément à la Législation sur la protection des données.
6. Conditions spécifiques à la juridiction
6.1 Dans la mesure où l’une ou l’autre des Parties traite des données à caractère personnel provenant de l'une des juridictions énumérées ci-dessous ou étant autrement assujetties à leur Législation sur la protection des données, les conditions énoncées dans les présentes concernant la ou les juridictions en question s’appliquent en plus des conditions ci-dessus.
Espace économique européen, Royaume-Uni et Suisse
1. Si l’une ou l’autre des Parties transfère des données à caractère personnel depuis l’Espace économique européen (« EEE »), le Royaume-Uni ou la Suisse à l’autre Partie située en dehors de l’EEE, du Royaume-Uni ou de la Suisse, les Parties sont réputées, à moins qu'elles ne puissent s’appuyer sur un mécanisme ou une base de transfert alternatif(ve) en vertu de la Législation sur la protection des données, avoir accepté les clauses contractuelles types approuvées par la Décision d’exécution (UE) de la Commission européenne. 2021/914 du 4 juin 2021 disponible à l’adresse http://data.europa.eu/eli/dec_impl/2021/914/oj (les « Clauses ») en ce qui concerne ce transfert, où:
a. la Partie destinataire est l’« importateur de données » et l’autre Partie est l'« exportateur de données »;
b. le module un s’applique, les modules deux, trois et quatre, les notes de bas de page, la clause 11, paragraphe a), Option, et la clause 17, Option 2, sont omis, et les annexes applicables sont remplies respectivement avec les informations indiquées dans l'ATD et le Contrat;
c. l’ « autorité de contrôle compétente » est l’autorité de contrôle du pays où l’exportateur de données est établi;
d. les Clauses sont régies par le droit du pays où l’exportateur de données est établi;
e. tout litige découlant des Clauses sera résolu par les tribunaux du pays où l’exportateur de données est établi; et
f. en cas de conflit entre les dispositions du Contrat et les Clauses, les Clauses prévaudront.
2. En ce qui concerne les transferts de données à caractère personnel depuis le Royaume-Uni, les Clauses telles qu'énoncées au point 1 ci-dessus s’appliquent sous réserve des modifications suivantes:
a. les Clauses sont modifiées comme précisé dans la Partie 2 de l’addendum international de transfert de données aux clauses contractuelles types de la Commission européenne, publié à l’Article 119A de la Loi britannique sur la protection des données de 2018, dans sa version en vigueur (l’ « Addendum britannique »);
b. les tableaux 1 à 3 de la Partie 1 de l’Addendum britannique sont remplis respectivement avec les informations énoncées dans l'ATD et le Contrat; et
c. le tableau 4 de la Partie 1 de l’Addendum britannique est rempli en sélectionnant « aucune des parties ».
3. En ce qui concerne les transferts de données à caractère personnel depuis la Suisse, les Clauses telles qu'énoncées au point 1 ci-dessus s’appliquent sous réserve des modifications suivantes:
a. les références au « Règlement (UE) 2016/679 » doivent être interprétées comme des références à la Loi fédérale suisse sur la protection des données (« FADP »);
b. les références aux articles spécifiques du « Règlement (UE) 2016/679 » seront remplacées par l’article ou la section équivalent(e) de la FADP;
c. les références à « l’UE », « l’Union », « un État membre » et « droit de l’État membre » seront remplacées par des références à « la Suisse » ou « au droit suisse », selon le cas;
d. le terme « État membre » ne doit pas être interprété de manière à exclure les personnes concernées en Suisse de la possibilité d’exercer leurs droits;
e. la clause 13, paragraphe a) et la Partie C de l’Annexe I ne sont pas utilisées et l’ « autorité de contrôle compétente » est le Commissaire fédéral suisse à la protection des données;
f. les Clauses sont régies par le droit suisse; et
g. tout litige découlant des Clauses sera résolu par les tribunaux suisses.
États-Unis d’Amérique
1. Si l’une ou l’autre des Parties vend ou partage avec l’autre Partie des informations personnelles relevant du champ d’application de la loi californienne sur la protection de la vie privée des consommateurs et de ses règlements d’application (« CCPA »):
a. les finalités pour lesquelles les informations personnelles sont mises à la disposition de la Partie destinataire sont telles que définies dans le Contrat et soumises à sa politique de confidentialité;
b. les informations personnelles sont mises à la disposition de la Partie destinataire uniquement aux fins limitées et spécifiées dans le Contrat et doivent être utilisées uniquement à ces fins limitées et spécifiées;
c. la Partie destinataire est tenue de respecter les articles applicables de la CCPA, notamment, en ce qui concerne les informations personnelles mises à la disposition de la Partie destinataire, en fournissant le même niveau de protection de la confidentialité des données que celui que la CCPA exige des entreprise ;
d. la Partie divulgatrice a le droit, en ce qui concerne les informations personnelles qu'elle transmet, de prendre des mesures raisonnables et appropriées pour s’assurer que la Partie destinataire les utilise conformément aux obligations que la CCPA impose à la Partie divulgatrice;
e. la Partie divulgatrice a le droit, sur notification, de prendre des mesures raisonnables et appropriées pour faire cesser l’utilisation non autorisée des informations personnelles mises à la disposition de la Partie destinataire et d'y remédier; et
f. si la Partie destinataire ne peut plus remplir ses obligations en vertu de la CCPA, elle est tenue de le notifier à l’autre Partie.
Brésil
1. Chaque Partie s’engage à:
a. respecter les obligations que lui impose la Loi générale brésilienne sur la protection des données, nº 13.709 de 2018 (Lei Geral de Proteção Dados Pessoais) (LGPD);
b. tenir un registre des opérations de traitement de données à caractère personnel qu’elle effectue;
c. nommer un délégué à la protection des données; et
d. adopter des mesures de sécurité, techniques et administratives capables de protéger les données à caractère personnel contre tout accès non autorisé et contre toute destruction accidentelle ou illicite, perte, altération, communication ou toute forme de traitement inapproprié ou illégal, et à adopter les normes techniques minimales applicables fixées par l’autorité nationale.
2. Si l’une ou l’autre des Parties transfère des informations personnelles depuis le Brésil à l’autre Partie située en dehors du Brésil, la Partie destinataire respectera les principes et les droits de la personne concernée ainsi que le régime de protection des données prévu par la LGPD.