Le présent Contrat de traitement des données (le « DPA partenaire ») est intégré au(x) contrat(s) conclu(s) par vous (« Partenaire ») et BROSH, Inc. (« BROSH »), et régit le partage de données entre vous et BROSH (mais à l'exclusion des contrats clients entre le Partenaire et BROSH qui régissent l'achat et l'utilisation par le Partenaire des produits et services BROSH) (« Contrat partenaire »).

Ce DPA partenaire couvre le traitement : (1) des données personnelles que le partenaire télécharge, transfère ou fournit autrement à BROSH dans le cadre d'un accord de partenariat ; et (2) des données personnelles que BROSH (ou ses clients) télécharge, transfère ou fournit autrement au partenaire dans le cadre de l'accord de partenariat.

Collectivement, le présent DPA Partenaire (y compris les SCC, tels que définis ci-dessous) et le Contrat Partenaire sont désignés dans le présent DPA Partenaire par le terme « Contrat ». En cas de conflit ou d'incohérence entre l'une des conditions du Contrat, les dispositions des documents suivants (par ordre de priorité) prévalent : (a) les SCC (b) le présent DPA Partenaire ; et (c) le Contrat Partenaire.

L'objectif de cet accord de partenariat DPA est d'établir un cadre pour traiter les scénarios dans lesquels :

1. BROSH et le Partenaire peuvent, dans le cadre de l'Accord de partenariat, être chacun Contrôleurs (tels que définis ci-dessous) de Données personnelles européennes et, dans certains cas, transférer ces Données personnelles européennes à l'autre partie pour que cette autre partie agisse en tant que Contrôleur de ces Données personnelles européennes ;
2. BROSH et le Partenaire peuvent chacun être Responsables du traitement des Données personnelles européennes et, dans certains cas, transférer ces Données personnelles européennes à l'autre partie pour que cette autre partie fournisse certains services à l'autre partie en tant que Sous-traitant (par exemple, exécuter des services en tant que Partenaire de solutions ou terminer un appel API) ; ou
3. BROSH et le Partenaire peuvent chacun être des sous-traitants des données personnelles européennes d'un client commun et transférer ces données à l'autre partie pour traitement selon les instructions de ce client commun.

1. DÉFINITIONS

Les termes « Entreprise » et « Prestataire de services » auront la signification qui leur est donnée dans le CCPA.

« Informations personnelles de Californie » désigne les données personnelles soumises à la protection du CCPA.

« CCPA » désigne l'article 1798.100 et suivants du Code civil de Californie (également connu sous le nom de California Consumer Privacy Act de 2018).

« Responsable du traitement » désigne la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données à caractère personnel.

« Lois sur la protection des données » désigne l'ensemble des lois ou réglementations internationales applicables en matière de protection des données et de confidentialité qui s'appliquent à la partie concernée dans le cadre du traitement des données personnelles en question en vertu de l'Accord, y compris, sans limitation, les lois européennes sur la protection des données, le CCPA et les lois sur la protection des données et la confidentialité de l'Australie et de Singapour ; dans chaque cas, telles que modifiées, abrogées, consolidées ou remplacées de temps à autre. « Europe » désigne l'Union européenne, l'Espace économique européen et/ou leurs États membres, la Suisse et le Royaume-Uni.

« Lois européennes sur la protection des données » désigne les lois sur la protection des données applicables en Europe, notamment : (i) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) (« RGPD ») ; (ii) la Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ; et (iii) les mises en œuvre nationales applicables de (i) et (ii) ; ou (iii) le RGPD tel qu'il fait partie du droit interne du Royaume-Uni en vertu de l'article 3 de la loi de 2018 sur le retrait de l'Union européenne (« RGPD britannique ») ; et (iv) la loi fédérale suisse sur la protection des données du 19 juin 1992 et son ordonnance (« LPD suisse ») ; dans chaque cas, telles qu'elles peuvent être modifiées, remplacées ou remplacées.

« Données personnelles européennes » désigne les données personnelles dont le partage, conformément au présent accord, est régi par les lois européennes sur la protection des données.

« Client commun » désigne un client du Partenaire et de BROSH.

« Données personnelles du client commun » désigne toutes les données personnelles pour lesquelles un client commun agit en tant que responsable du traitement.

« Données personnelles BROSH » désigne toutes les données personnelles pour lesquelles BROSH agit en tant que responsable du traitement.

« Données personnelles du Partenaire » désigne toutes les Données personnelles pour lesquelles le Partenaire agit en tant que Responsable du traitement.

« Données personnelles » désigne toute information relative à une personne identifiée ou identifiable lorsque ces informations sont contenues dans les données personnelles de BROSH, les données personnelles des partenaires ou les données personnelles des clients communs et sont protégées de la même manière que les données personnelles ou les informations personnellement identifiables en vertu des lois applicables sur la protection des données.

« Violation de données personnelles » désigne toute destruction, perte, altération, divulgation non autorisée ou accès accidentel ou illégal à des données personnelles.

« Traitement » désigne toute opération ou ensemble d'opérations effectuées sur des Données Personnelles, englobant la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la restriction ou l'effacement des Données Personnelles. Les termes « Traiter », « Traite » et « Traité » seront interprétés en conséquence.

« Sous-traitant » désigne une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des Données à caractère personnel pour le compte du Responsable du traitement.

« Clauses Contractuelles Types » ou « CCT » désigne les clauses contractuelles types annexées à la Décision d’exécution 2021/914 de la Commission européenne du 4 juin 2021.

« Sous-traitant » désigne toute entité qui fournit des services de traitement à un sous-traitant.

« Autorité de contrôle » désigne une autorité publique indépendante établie par un État membre de l’Espace économique européen, la Suisse ou le Royaume-Uni.

« Addendum du Royaume-Uni » désigne l'Addendum relatif au transfert international de données (version B.1.0) publié par l'ICO du Royaume-Uni en vertu de l'article 119A de la loi sur la protection des données de 2018, tel qu'il peut être modifié, remplacé ou remplacé.

2. RESPECT DES LOIS

Les parties déclarent et garantissent chacune qu’elles se conformeront à leurs obligations et devoirs respectifs en vertu des lois applicables en matière de protection des données.

3. SCÉNARIOS DE PROCESSEUR CONJOINT

Chaque partie, dans la mesure où elle agit, avec l'autre partie, en tant que sous-traitant concernant les données personnelles du client commun, (i) se conformera aux instructions et restrictions énoncées dans tout accord avec le client commun ; et (ii) coopérera raisonnablement avec l'autre partie pour permettre l'exercice des droits de protection des données tels qu'énoncés dans les lois applicables sur la protection des données. Les parties reconnaissent et conviennent que chaque partie agit en tant que sous-traitant pour le client commun et qu'aucune des parties n'engage l'autre en tant que sous-traitant ultérieur.

4. SCÉNARIOS DE CONTRÔLEUR À CONTRÔLEUR

Chaque partie, dans la mesure où elle agit, avec l’autre partie, en tant que responsable du traitement des données personnelles, coopérera raisonnablement avec l’autre partie pour permettre l’exercice des droits de protection des données tels qu’énoncés dans les lois applicables en matière de protection des données.

Les parties reconnaissent et conviennent que chacune agit indépendamment en tant que responsable du traitement des données personnelles et que les parties ne sont pas des responsables conjoints du traitement au sens des lois européennes sur la protection des données.

5. SCÉNARIOS DE CONTRÔLEUR À SOUS-TRAITANT

A. Relation entre les parties. Les droits, responsabilités et obligations des parties en ce qui concerne les articles 6 à 9 du présent DPA sont les suivants :

Pour les opérations de traitement où BROSH traite des données personnelles pour le compte et selon les instructions du Partenaire, le terme « Sous-traitant » fait référence à BROSH, le terme « Responsable du traitement » fait référence au Partenaire et le terme « Données personnelles » fait référence aux Données personnelles du Partenaire. Pour les opérations de traitement de données où le Partenaire traite des données personnelles pour le compte et selon les instructions de BROSH, le terme « Sous-traitant » fait référence au Partenaire, le terme « Responsable du traitement » fait référence à BROSH et le terme « Données personnelles » fait référence aux Données personnelles de BROSH.

B. Portée du traitement .

Dans le cadre des scénarios décrits à la section 5.a ci-dessus, chaque partie s'engage à traiter les données personnelles uniquement aux fins énoncées dans le contrat de partenariat applicable et/ou dans le(s) contrat(s) du partenaire avec le client commun. Afin d'éviter toute ambiguïté, les catégories de données personnelles traitées et les catégories de personnes concernées par le présent DPA sont décrites à l'annexe A du présent DPA.

6. OBLIGATIONS DU RESPONSABLE DU TRAITEMENT

Les parties, en leur qualité de Responsable du traitement, conviennent de :

A. Fournir des instructions au Sous-traitant et déterminer les finalités et les moyens du traitement des Données personnelles par le Sous-traitant conformément à l'Accord ; et

B. Se conformer à ses obligations en matière de protection, de sécurité et autres obligations concernant les Données Personnelles prescrites par les Lois applicables en matière de Protection des Données pour un Responsable du Traitement en : (i) établissant et maintenant une procédure pour l'exercice des droits des personnes dont les Données Personnelles sont traitées pour le compte du Responsable du Traitement ; (ii) en traitant uniquement les données qui ont été collectées légalement et valablement et en veillant à ce que ces données soient pertinentes et proportionnées aux utilisations respectives ; et (iii) en garantissant le respect des dispositions du présent DPA par son personnel ou par tout tiers accédant ou utilisant des Données Personnelles en son nom.

7. OBLIGATIONS DU SOUS-TRAITANT
A. Exigences relatives au traitement . Les parties, en leur qualité de sous-traitant, conviennent de :

a. Traiter les Données personnelles (i) uniquement dans le but de fournir, de soutenir et d'améliorer les produits et services du Sous-traitant (y compris pour fournir des informations et d'autres rapports), en utilisant des mesures de sécurité techniques et organisationnelles appropriées ; et (ii) conformément aux instructions reçues du Responsable du traitement. Le Sous-traitant n'utilisera ni ne traitera les Données personnelles à d'autres fins. Le Sous-traitant informera rapidement le Responsable du traitement par écrit s'il ne peut pas se conformer aux exigences des sections 6 à 9 du présent DPA, auquel cas le Responsable du traitement peut résilier le Contrat et tout Contrat de partenariat applicable, ou prendre toute autre mesure raisonnable, y compris la suspension des opérations de traitement des données ;

b. Informer le Responsable du traitement rapidement et sans retard injustifié si, de l'avis du Sous-traitant, une instruction du Responsable du traitement viole les lois applicables en matière de protection des données ;

c. Si le sous-traitant collecte des données personnelles auprès de personnes physiques pour le compte du responsable du traitement, suivre les instructions du responsable du traitement concernant cette collecte de données personnelles ;

d. Prendre des mesures commercialement raisonnables pour garantir que (i) les personnes employées par elle et (ii) les autres personnes engagées pour agir au nom du Sous-traitant se conforment aux termes de l'Accord et des Accords de Partenaire applicables ;

e. Déclarer et garantir que ses employés, ses agents autorisés et tous les sous-traitants sont soumis à un devoir strict de confidentialité (qu'il s'agisse d'une obligation contractuelle ou légale) et ne permettront à aucune personne de traiter les données personnelles qui n'est pas soumise à un tel devoir de confidentialité ;

f. Si elle a l'intention d'engager des sous-traitants secondaires pour l'aider à satisfaire à ses obligations conformément au présent DPA ou de déléguer tout ou partie des activités de traitement à ces sous-traitants secondaires, (i) fournir au responsable du traitement une liste des sous-traitants secondaires actuellement engagés par le sous-traitant (cette liste pour BROSH est disponible en ligne à l'adresse https://www.brosh.io/pagex/fr-FR/sub-processors-page.html ), et informer le responsable du traitement de l'engagement de tout nouveau sous-traitant secondaire au moins 30 jours à l'avance, en donnant au responsable du traitement la possibilité de s'y opposer ; (ii) rester responsable envers le responsable du traitement des actes et omissions des sous-traitants secondaires en matière de protection des données lorsque ces sous-traitants agissent sur les instructions du sous-traitant ; et (iii) conclure des accords contractuels avec ces sous-traitants les obligeant à fournir le même niveau de protection des données et de sécurité des informations que celui prévu dans les présentes ;

g. Sur demande, fournir au Responsable du traitement les politiques de confidentialité et de sécurité du Sous-traitant ; et

h. Informer le Responsable du traitement si le Sous-traitant entreprend un examen de sécurité indépendant.

B. Avis au Responsable du traitement . Le Sous-traitant informera immédiatement et sans retard injustifié le Responsable du traitement s'il prend connaissance :

a. Tout non-respect par le Sous-traitant ou ses employés des articles 6 à 9 du présent DPA ou des lois applicables en matière de protection des données relatives à la protection des données personnelles traitées en vertu du présent DPA ;

b. Toute demande juridiquement contraignante de divulgation de Données à caractère personnel émanant d'une autorité chargée de l'application de la loi ou d'une autorité gouvernementale, à moins que la loi n'interdise au Sous-traitant d'informer le Responsable du traitement, par exemple pour préserver la confidentialité d'une enquête menée par les autorités chargées de l'application de la loi ;

c. Toute notification, demande ou investigation d'une autorité de contrôle concernant des données personnelles ; ou

d. Toute réclamation ou demande (notamment les demandes d'accès, de rectification ou de blocage des Données personnelles) reçue directement des personnes concernées du Responsable du traitement. Le Sous-traitant ne répondra à aucune de ces demandes sans l'autorisation écrite préalable du Responsable du traitement.

C. Assistance au Responsable du traitement. Le Sous-traitant fournira une assistance opportune et raisonnable au Responsable du traitement concernant :

a. Répondre à toute demande d'un individu visant à exercer ses droits en vertu des lois applicables en matière de protection des données (y compris ses droits d'accès, de rectification, d'opposition, d'effacement et de portabilité des données, le cas échéant) et le Sous-traitant s'engage à informer rapidement le Responsable du traitement si une telle demande est reçue directement ;

b. L'enquête sur les violations de données à caractère personnel et la notification à l'autorité de contrôle et au responsable du traitement des personnes concernées concernant ces violations de données à caractère personnel ; et

c. le cas échéant, la préparation d’analyses d’impact relatives à la protection des données et, si nécessaire, la réalisation de consultations avec toute autorité de contrôle.

D. Traitement requis.

Si le Sous-traitant est tenu par les lois sur la protection des données de traiter des Données personnelles pour une raison autre que celle liée à l'Accord, le Sous-traitant informera le Responsable du traitement de cette exigence avant tout traitement, à moins que le Sous-traitant ne soit légalement interdit d'informer le Responsable du traitement d'un tel traitement (par exemple, en raison d'exigences de confidentialité qui peuvent exister en vertu des lois applicables des États membres de l'UE).

E. Sécurité . Le sous-traitant :

a. Maintenir des mesures de sécurité organisationnelles et techniques appropriées (notamment en ce qui concerne le personnel, les installations, le matériel et les logiciels, le stockage et les réseaux, les contrôles d'accès, la surveillance et la journalisation, la détection des vulnérabilités et des violations, la réponse aux incidents, le cryptage des données personnelles en transit et au repos) pour se protéger contre tout accès non autorisé ou accidentel, toute perte, toute altération, toute divulgation ou toute destruction des données personnelles ;

b. Être responsable de la suffisance des mesures de sécurité, de confidentialité et de protection de la vie privée de l'ensemble du personnel du Sous-traitant en ce qui concerne les Données personnelles et être responsable de tout manquement de ce personnel du Sous-traitant aux conditions du présent DPA ;

c. Prendre les mesures appropriées pour confirmer que l'ensemble du personnel du sous-traitant protège la sécurité, la confidentialité et la confidentialité des données personnelles conformément aux exigences du présent DPA ; et

d. Notifier au Responsable du traitement toute violation de données personnelles par le sous-traitant, ses sous-traitants ultérieurs ou tout autre tiers agissant au nom du sous-traitant sans retard injustifié et en tout état de cause dans les 48 heures suivant la prise de connaissance d'une violation de données personnelles.

F. Dispositions supplémentaires relatives aux informations personnelles en Californie .

Lorsque le sous-traitant traite les informations personnelles de Californie conformément aux instructions reçues du responsable du traitement, les parties reconnaissent et conviennent que le responsable du traitement est une entreprise et que le sous-traitant est un prestataire de services aux fins du CCPA. Les parties conviennent que le sous-traitant traitera les informations personnelles de Californie en tant que prestataire de services strictement dans le but de fournir, de soutenir et d'améliorer les services du sous-traitant (y compris pour fournir des informations et d'autres rapports) (le « but commercial ») ou comme autrement autorisé par le CCPA.

8. AUDIT, CERTIFICATION

A. Audit de l'autorité de surveillance .

Si une autorité de contrôle exige un audit des installations de traitement des données à partir desquelles le sous-traitant traite les données personnelles afin de vérifier ou de contrôler le respect des lois sur la protection des données, le sous-traitant coopérera à cet audit. Le responsable du traitement remboursera au sous-traitant les dépenses raisonnables engagées pour coopérer à l'audit, à moins que cet audit ne révèle le non-respect par le sous-traitant du présent DPA.

B. Certification du processeur .

Le sous-traitant doit, sur demande du responsable du traitement (sans dépasser une demande par année civile) par courrier électronique (lorsque BROSH est le sous-traitant, ces courriers électroniques doivent être envoyés à privacy@brosh.io ; lorsque le partenaire est le sous-traitant, le partenaire doit établir et fournir à BROSH sur demande un point de contact unique pour la correspondance par courrier électronique concernant la protection des données), certifier par écrit le respect du présent DPA.

9. RETOUR ET SUPPRESSION DES DONNÉES

Les parties conviennent qu'à la fin des services de traitement des données ou à la demande raisonnable du Responsable du traitement, le Sous-traitant doit prendre des mesures raisonnables pour obliger tout Sous-traitant ultérieur, au choix du Responsable du traitement, à restituer toutes les Données personnelles européennes et les copies de ces données au Responsable du traitement ou à les détruire de manière sécurisée et à démontrer à la satisfaction du Responsable du traitement qu'il a pris ces mesures, à moins que les lois sur la protection des données n'empêchent le Sous-traitant de restituer ou de détruire tout ou partie des Données personnelles européennes divulguées. Dans ce cas, le Sous-traitant s'engage à préserver la confidentialité des Données personnelles européennes qu'il conserve et à ne traiter activement ces Données personnelles européennes qu'après cette date afin de se conformer aux lois applicables.

10. TRANSFERTS DE DONNÉES

Chaque fois que des données personnelles sont transférées en dehors de leur pays d’origine, chaque partie veillera à ce que ces transferts soient effectués conformément aux exigences des lois sur la protection des données.

a. Données personnelles du Partenaire . Pour les transferts de Données personnelles européennes du Partenaire à BROSH en vue d'un traitement par BROSH dans une juridiction hors d'Europe qui n'offre pas un niveau de protection adéquat des Données personnelles (au sens des lois européennes applicables en matière de protection des données), les parties conviennent que :

(i) Clauses contractuelles types : Les parties conviennent de respecter et de traiter les données européennes conformément aux SCC telles qu'incorporées à la section 10(c) ci-dessous.

(ii) Privacy Shield : Bien que BROSH, Inc. ne s'appuie pas sur le Privacy Shield UE-États-Unis comme base juridique pour les transferts de données personnelles à la lumière de l'arrêt de la Cour de justice de l'UE dans l'affaire C-311/18, tant que BROSH, Inc. est auto-certifiée au Privacy Shield, BROSH Inc. traitera les données personnelles européennes conformément aux principes du Privacy Shield et informera le partenaire s'il n'est pas en mesure de se conformer à cette exigence.

Les parties conviennent que les personnes concernées pour lesquelles une entité BROSH traite des Données personnelles européennes sont des bénéficiaires tiers en vertu des SCC. Si BROSH n'est pas en mesure ou devient incapable de se conformer à ces exigences, les Données personnelles européennes seront traitées et utilisées exclusivement sur le territoire d'un État membre de l'Union européenne et tout mouvement de Données personnelles européennes vers un pays tiers nécessite le consentement écrit préalable du Partenaire concernant les Données personnelles européennes. BROSH doit informer rapidement le Partenaire de toute incapacité de BROSH à se conformer aux dispositions de la présente Section 10(a).

b. Données personnelles de BROSH. Pour les transferts de données personnelles européennes de BROSH au partenaire en vue de leur traitement par le partenaire dans une juridiction hors d'Europe qui n'offre pas un niveau de protection adéquat des données personnelles (au sens des lois européennes applicables en matière de protection des données), les parties conviennent que :

(i) Clauses contractuelles types : Les parties conviennent de respecter et de traiter les données européennes conformément aux SCC telles qu'incorporées à la section 10(c) ci-dessous.

(ii) Privacy Shield : Tant que BROSH, Inc. est auto-certifiée au Privacy Shield, le Partenaire traitera les Données personnelles européennes conformément aux principes du Privacy Shield et informera BROSH s'il n'est pas en mesure de se conformer à cette exigence.

Les parties conviennent que les personnes concernées pour lesquelles le Partenaire traite des Données personnelles européennes sont des bénéficiaires tiers en vertu des SCC. Si le Partenaire n'est pas en mesure ou devient incapable de se conformer à ces exigences, les Données personnelles européennes seront traitées et utilisées exclusivement sur le territoire d'un État membre de l'Union européenne et tout transfert de Données personnelles européennes vers un pays non membre de l'UE nécessite le consentement écrit préalable de BROSH concernant les Données personnelles. Le Partenaire doit informer rapidement BROSH de toute incapacité du Partenaire à se conformer aux dispositions de la présente Section 10(b).

c. Clauses contractuelles types. Les parties reconnaissent et conviennent qu'aux fins des CCT : (i) en ce qui concerne les données personnelles des partenaires, l'« exportateur de données » sera le partenaire et l'« importateur de données » sera BROSH (agissant en son nom et au nom de ses sociétés affiliées) ; (ii) en ce qui concerne les données personnelles de BROSH, l'« exportateur de données » sera BROSH (agissant en son nom et au nom de ses sociétés affiliées) et l'« importateur de données » sera le partenaire ; (iii) les conditions du module 1 s'appliqueront lorsque les deux parties sont des responsables du traitement et les conditions du module 2 s'appliqueront lorsque la partie recevant des données personnelles en vertu des CCT agit en tant que sous-traitant pour le compte de l'autre partie en tant que responsable du traitement ; (iv) dans la clause 7, la clause d'arrimage facultative s'appliquera ; (v) dans la clause 9, l'option 2 du module 2 s'appliquera et le sous-traitant obtiendra l'autorisation des sous-traitants conformément à l'article 7(a) du présent DPA ; (vi) dans la clause 11, la langue facultative sera supprimée ; (vii) dans la clause 17 et la clause 18(b), les SCC seront régis par les lois et les litiges seront résolus devant les tribunaux de la République d'Irlande ou de l'État membre de l'EEE dans lequel l'entité juridique BROSH qui a conclu l'Accord est établie ou, si cette BROSH n'est pas établie dans l'EEE, la République d'Irlande ; (viii) dans l'annexe I des SCC, les coordonnées des parties sont énoncées dans l'Accord ; et (ix) les informations restantes dans l'annexe I et l'annexe II des SCC seront réputées complétées par les informations énoncées dans l'annexe A du présent DPA.

d. Transferts au Royaume-Uni. En ce qui concerne les données personnelles soumises au RGPD du Royaume-Uni, les SCC s'appliqueront conformément à la section 10(c) ci-dessus et aux modifications supplémentaires suivantes : (i) les SCC seront modifiées comme spécifié par l'addendum du Royaume-Uni, qui sera incorporé par référence ; (ii) les tableaux 1 à 3 de la partie 1 de l'addendum du Royaume-Uni seront renseignés avec les informations pertinentes énoncées à l'annexe A du présent DPA ; (iii) le tableau 4 de la partie 1 de l'addendum du Royaume-Uni sera réputé complété en sélectionnant « ni l'un ni l'autre » ; et (iv) tout conflit entre les SCC et l'addendum du Royaume-Uni sera résolu conformément à la section 10 et à la section 11 de l'addendum du Royaume-Uni.

e. Transferts suisses. En ce qui concerne les données personnelles soumises à la LPD suisse, les SCC s'appliquent conformément à la section 10(c) ci-dessus et aux modifications supplémentaires suivantes : (i) les références au « Règlement (UE) 2016/679 » et aux articles spécifiques qui y figurent doivent être interprétées comme des références à la LPD suisse et aux articles ou sections équivalents qui y figurent ; (ii) les références à « UE », « Union » et « État membre » doivent être remplacées par des références à la « Suisse » ; (iii) les références à « l'autorité de contrôle compétente » et aux « tribunaux compétents » doivent être remplacées par des références au « Préposé fédéral suisse à la protection des données » et aux « tribunaux compétents de la Suisse » ; et (iv) dans la clause 17 et la clause 18(b), les SCC sont régies par les lois de la Suisse et les litiges doivent être résolus devant les tribunaux de la Suisse.

11. DURÉE

Le présent DPA restera en vigueur tant que l'une ou l'autre des parties effectuera des opérations de traitement de données personnelles sur les données personnelles téléchargées ou autrement fournies par l'autre partie conformément à l'accord de partenariat.

12. INDEMNITÉ

Chaque partie défendra, indemnisera et dégagera de toute responsabilité l'autre partie et ses filiales, sociétés affiliées et ses dirigeants, administrateurs, employés et agents respectifs contre toutes pertes, dommages, responsabilités, manquements, actions, jugements, intérêts, récompenses, pénalités, amendes, coûts ou dépenses de quelque nature que ce soit, y compris les honoraires d'avocat raisonnables, les frais de mise en œuvre de tout droit à indemnisation en vertu des présentes et les frais de poursuite de tout assureur, découlant ou résultant de toute réclamation d'un tiers contre l'autre découlant ou résultant du non-respect par la partie contrevenante de l'une de ses obligations en vertu du présent DPA ou des lois, réglementations ou principes applicables contenus dans les lois européennes sur la protection des données. La responsabilité de chaque partie sera soumise à la limitation de responsabilité prévue dans l'accord de partenariat applicable.

ANNEXE A

ANNEXE A – DESCRIPTION DU TRANSFERT

1. Catégories de personnes concernées . Les données à caractère personnel transférées concernent les catégories de personnes concernées suivantes, en fonction de l'accord entre l'importateur et l'exportateur de données :

Membres de BROSH ; clients et employés potentiels et actuels de l'exportateur de données ; prospects commerciaux et marketing de l'exportateur de données ; et tiers qui ont, ou peuvent avoir, une relation commerciale avec l'exportateur de données (par exemple, annonceurs, clients, abonnés d'entreprise, sous-traitants et utilisateurs de produits).

2. Catégories de données personnelles . Les données personnelles transférées concernent les catégories de données suivantes :

Les données transférées sont les données personnelles fournies par l'exportateur de données à l'importateur de données dans le cadre du contrat de partenariat. Ces données personnelles peuvent inclure le prénom, le nom, l'adresse e-mail, les coordonnées, la formation et l'historique professionnel et d'autres informations fournies dans les profils des membres BROSH, les CV, les données CRM concernant les prospects et les listes de clients, toutes les notes fournies par l'exportateur de données concernant les activités susmentionnées et d'autres activités des membres BROSH prises sur la plateforme BROSH.

1. Données sensibles (le cas échéant) . Les données personnelles transférées peuvent concerner les catégories particulières de données suivantes :
   Aucun.
2. Fréquence de transfert .
   Les données personnelles sont transférées en continu.
3. Nature et finalité du traitement . Le transfert est effectué aux fins suivantes :
   Le transfert est destiné à permettre la relation entre les parties envisagée par l'accord de partenariat. L'« accord de partenariat » désigne l'accord ou les accords conclus par l'importateur de données et l'exportateur de données qui régissent le partage de données entre ces parties (à l'exclusion toutefois des accords clients entre le partenaire et BROSH qui régissent l'achat par le partenaire de produits et services BROSH).
4. Durée de conservation des données personnelles :
   Les données personnelles transférées entre les parties ne peuvent être conservées que pendant la durée autorisée par le Contrat de partenariat. Les parties conviennent que chaque partie, dans la mesure où elle agit avec l'autre partie en tant que Responsable du traitement des données personnelles, coopérera raisonnablement avec l'autre partie pour permettre l'exercice des droits de protection des données tels qu'énoncés dans les lois sur la protection des données.
5. Objet, nature et durée du traitement .
   L'objet, la nature et la durée du traitement sont tels que décrits dans l'Accord, y compris le présent DPA.
6. Autorité de contrôle compétente . Aux fins des clauses contractuelles types, l'autorité de contrôle compétente est l'autorité de l'État membre de l'EEE dans lequel le Partenaire ou le représentant du Partenaire dans l'EEE est établi (en ce qui concerne les données personnelles du Partenaire) ou le [Commissaire irlandais à la protection des données] (en ce qui concerne les données personnelles de BROSH). Aux fins des transferts au Royaume-Uni et en Suisse, l'autorité de contrôle compétente est le Commissaire à l'information du Royaume-Uni ou le Commissaire fédéral à l'information et à la protection des données de la Suisse (selon le cas).

ANNEXE B – MESURES DE SÉCURITÉ

Nous utilisons diverses technologies et procédures de sécurité pour protéger vos données personnelles. Toutes les données personnelles sont protégées à l'aide de mesures physiques, techniques et organisationnelles appropriées. Pour en savoir plus sur la sécurité chez BROSH, veuillez consulter https://www.brosh.io/pagex/fr-FR/Security-Policy.html .