ESET Services – Sommaire

Clauses contractuelles types

ADDENDUM RELATIF AUX CLAUSES CONTRACTUELLES TYPES

(MODULE 4 : Transfert de sous-traitant à responsable du traitement)

  1. Le présent Addendum sur les Clauses contractuelles types (2021/914/UE) (l'« Addendum ») constitue une partie indissociable des Conditions relatives à la prestation de services de sécurité et de services professionnels ESET (les « Conditions »), en vertu desquelles ESET fournit au Client des Services professionnels et de sécurité (les « Services ») et qui renvoient au présent Addendum.
  2. Le présent Addendum s'applique dans le cas où les parties sont tenues de conclure des clauses contractuelles types telles qu'adoptées par la Commission de l'UE conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la Directive 95/46/CE (« RGPD ») et dans la mesure où il y aura un transfert ou un traitement de données à caractère personnel en dehors de l'Espace économique européen ou d'un pays désigné comme sûr par la décision de la Commission européenne, tel que requis dans le cadre de la prestation de Services.
  3. Sauf si une disposition particulière du présent Addendum implique le contraire, la signification de tous les termes en majuscules contenus dans les présentes sera celle définie dans les Conditions et son Complément A - Accord sur le traitement des données (« ATD »).
  4. ESET peut modifier unilatéralement le présent Addendum de temps à autre lorsqu'un tel changement est nécessaire en raison de modifications des lois applicables ou de la décision de la Commission européenne sur les clauses contractuelles types, y compris lorsque de nouvelles clauses types de protection des données seront adoptées par la Commission européenne conformément au RGPD. Dans ce cas, ESET est tenue d'envoyer une notification par e-mail au client au moins trente (30) jours avant l'entrée en vigueur des modifications apportées au présent Addendum et de la publier sur un site web dédié. En outre, ESET peut modifier unilatéralement le présent Addendum dans les mêmes conditions que celles prescrites pour la modification unilatérale des Conditions dans les dispositions pertinentes de celles-ci.
  5. En acceptant les Conditions, ESET et le Client acceptent d'être liés par le présent Addendum incorporant les Clauses contractuelles types de la Commission européenne (2021/914/UE) (les « Clauses contractuelles types ») aux Conditions sans qu'il soit nécessaire de les exécuter à nouveau. Les Clauses contractuelles types font partie intégrante du présent Addendum et s'appliquent sans qu'il soit nécessaire de les signer à nouveau. En cas de conflit entre le présent Addendum et les Conditions, les dispositions du présent Addendum prévalent.
  6. Les parties aux Conditions ont expressément convenu des points suivants en ce qui concerne les Clauses contractuelles types :
    1. Clause 11 – Recours – Le paragraphe facultatif ne sera pas inclus.
    2. Clause 17 – Droit applicable – L'Addendum est régi par le droit slovaque.
    3. C 18 – Choix du for et de la juridiction - Tout litige découlant du présent Addendum sera résolu par les tribunaux de la République slovaque.

PLANIFIER

Clauses contractuelles types

SECTION I

Clause 1 Finalités et champ d'application

(a) Les présentes clauses contractuelles types visent à garantir le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) (1) en cas de transfert de données à caractère personnel vers un pays tiers.

(b) Les Parties :

(i) la ou les personnes physiques ou morales, la ou les autorités publiques, la ou les agences ou autre(s) organisme(s) (ci-après la ou les «entités») qui transfèrent les données à caractère personnel, mentionnés à l’annexe I.A. (ci-après l’«exportateur de données»), et

(ii) la ou les entités d’un pays tiers qui reçoivent les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également partie aux présentes clauses, mentionnées à l’annexe I.A. (ci-après l’«importateur de données»)

sont convenues des présentes clauses contractuelles types (ci-après: les «clauses»).

(c) Les présentes clauses s’appliquent au transfert de données à caractère personnel précisé à l’annexe I.B.

(d) L’appendice aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des présentes clauses.

Clause 2 Effet et invariabilité des clauses

(a) Les présentes clauses établissent des garanties appropriées, notamment des droits opposables pour la personne concernée et des voies de droit effectives, en vertu de l’article 46, paragraphe 1, et de l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données de responsables du traitement à sous-traitants et/ou de sous-traitants à sous-traitants, des clauses contractuelles types en vertu de l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l’appendice. Cela n’empêche pas les parties d’inclure les clauses contractuelles types prévues dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à condition que celles-ci ne contredisent pas, directement ou indirectement, les présentes clauses et qu’elles ne portent pas atteinte aux libertés et droits fondamentaux des personnes concernées.

(b) Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.

Clause 3 Tiers bénéficiaire

(a) Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que tiers bénéficiaires, contre l’exportateur et/ou l’importateur de données, avec les exceptions suivantes:

clause 1, clause 2, clause 3, clause 6, clause 7;

(ii) clause 8 — module 1: clause 8.5, paragraphe e), et clause 8.9, paragraphe b); module 2: clause 8.1, paragraphe b), clause 8.9, paragraphes a), c), d) et e); module 3: clause 8.1, paragraphes a), c) et d) et clause 8.9, paragraphes a), c), d), e), f) et g); module 4: clause 8.1, paragraphe b), et clause 8.3, paragraphe b);

(iii) clause 9 — module 2: clause 9, paragraphes a), c), d) et e); module 3: clause 9, paragraphes a) c), d) et e);

(iv) clause 12 — module 1: clause 12, paragraphes a) et d); modules 2 et 3: clause 12, paragraphes a), d) et f);

(v) clause 13;

(vi) clause 15.1, paragraphes c), d) et e);

(vii) clause 16, paragraphe e);

(viii) clause 18 — modules 1, 2 et 3: clause 18, paragraphes a) et b); module 4: clause 18.

(b) Le paragraphe a) est sans préjudice des droits des personnes concernées au titre du règlement (UE) 2016/679.

Clause 4 Interprétation

(a) Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ceux-ci ont la même signification que dans ledit règlement.

(b) Les présentes clauses sont lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.

(c) Les présentes clauses ne sont pas interprétées dans un sens contraire aux droits et obligations prévus dans le règlement (UE) 2016/679.

Clause 5 Hiérarchie

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les parties existant au moment où les présentes clauses sont convenues, ou souscrites par la suite, les présentes clauses prévalent.

Clause 6 Description du ou des transferts

Les détails du ou des transferts, en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles le sont, sont précisés à l’annexe I.B.

Clause 7 — Facultative Clause d’adhésion

(a) Une entité qui n’est pas partie aux présentes clauses peut, avec l’accord des parties, y adhérer à tout moment, soit en tant qu’exportateur de données soit en tant qu’importateur de données, en remplissant l’appendice et en signant l’annexe I.A.

(b) Une fois l’appendice rempli et l’annexe I.A. signée, l’entité adhérente devient partie aux présentes clauses et a les droits et obligations d’un exportateur de données ou d’un importateur de données selon sa désignation dans l’annexe I.A.

(c) L’entité adhérente n’a aucun droit ni obligation découlant des présentes clauses pour la période antérieure à son adhésion à celles-ci.

SECTION II — OBLIGATIONS DES PARTIES

Clause 8 Garanties en matière de protection des données

L’exportateur de données garantit qu’il a entrepris des démarches raisonnables pour s’assurer que l’importateur de données est à même, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire aux obligations qui lui incombent en vertu des présentes clauses.

8.1. Instructions

(a) L’exportateur de données ne traite les données à caractère personnel que sur instructions documentées de l’importateur de données agissant en tant que son responsable du traitement.

(b) S’il n’est pas en mesure de suivre ces instructions, notamment si elles constituent une violation du règlement (UE) 2016/679 ou d’autres dispositions législatives de l’Union ou d’un État membre en matière de protection des données, l’exportateur de données en informe immédiatement l’importateur de données.

(c) L’importateur de données s’abstient de tout acte susceptible d’empêcher l’exportateur de données de s’acquitter des obligations qui lui incombent en vertu du règlement (UE) 2016/679, notamment dans le cadre d’une sous-traitance ultérieure ou en ce qui concerne la coopération avec les autorités de contrôle compétentes.

(d) Au terme de la prestation des services de traitement, l’exportateur de données, à la convenance de l’importateur de données, efface toutes les données à caractère personnel traitées pour le compte de ce dernier et lui en apporte la preuve, ou lui restitue toutes les données à caractère personnel traitées pour son compte et efface les copies existantes.

8.2. Sécurité du traitement

(a) Les parties mettent en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité des données, notamment pendant la transmission, et pour les protéger d’une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé (ci-après la «violation de données à caractère personnel»). Lors de l’évaluation du niveau de sécurité approprié, elles tiennent dûment compte de l’état des connaissances, des coûts de mise en œuvre, de la nature des données à caractère personnel (2), de la nature, de la portée, du contexte et de la ou des finalités du traitement ainsi que des risques inhérents au traitement pour les personnes concernées, et envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, notamment pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière.

(b) L’exportateur de données aide l’importateur de données à garantir une sécurité appropriée des données conformément au paragraphe a). En cas de violation de données à caractère personnel concernant les données à caractère personnel traitées par l’exportateur de données au titre des présentes clauses, ce dernier en informe l’importateur de données dans les meilleurs délais après avoir eu connaissance de la violation et l’aide à y remédier.

(c) L’exportateur de données veille à ce que les personnes autorisées à traiter les données à caractère personnel s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

8.3. Documentation et conformité

(a) Les parties sont en mesure de démontrer le respect des présentes clauses.

(b) L’exportateur de données met à la disposition de l’importateur de données toutes les informations nécessaires pour démontrer le respect des obligations qui lui incombent au titre des présentes clauses et pour permettre la réalisation d’audits et y contribuer.

Clause 9 Recours à des sous-traitants ultérieurs

Sans objet pour le module concerné et la nature du transfert.

Clause 10 Droits des personnes concernées

Les parties se prêtent mutuellement assistance pour répondre aux demandes de renseignements et aux autres demandes formulées par les personnes concernées en vertu de la législation locale applicable à l’importateur de données ou, en cas de traitement par l’exportateur de données dans l’Union, en vertu du règlement (UE) 2016/679.

Clause 11 Voies de recours

(a) L’importateur de données informe les personnes concernées, sous une forme transparente et aisément accessible, au moyen d’une notification individuelle ou sur son site web, d’un point de contact autorisé à traiter les réclamations. Il traite sans délai toute réclamation reçue d’une personne concernée.

Clause 12 Responsabilité

(a) Chaque partie est responsable envers la ou les autres parties de tout dommage qu’elle cause à l’autre ou aux autres parties du fait d’un manquement aux présentes clauses.

(b) Chaque partie est responsable à l’égard de la personne concernée, et la personne concernée a le droit d’obtenir réparation de tout dommage matériel ou moral qui lui est causé par une partie du fait d’une violation des droits du tiers bénéficiaire prévus par les présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données en vertu du règlement (UE) 2016/679.

(c) Lorsque plusieurs parties sont responsables d’un dommage causé à la personne concernée du fait d’une violation des présentes clauses, toutes les parties responsables le sont conjointement et solidairement et la personne concernée a le droit d’intenter une action en justice contre n’importe laquelle de ces parties.

(d) Les parties conviennent que, si la responsabilité d’une d’entre elles est reconnue en vertu du paragraphe c), celle-ci est en droit de réclamer auprès de l’autre ou des autres parties la part de la réparation correspondant à sa/leur part de responsabilité dans le dommage.

(e) L’importateur de données ne peut invoquer le comportement d’un sous-traitant ou d’un sous-traitant ultérieur pour échapper à sa propre responsabilité.

Clause 13 Supervision

Sans objet pour le module concerné.

SECTION III — LÉGISLATIONS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS DES AUTORITÉS PUBLIQUES

Clause 14 Législations et pratiques locales ayant une incidence sur le respect des clauses

MODULE 4 : Transfert de sous-traitant à responsable du traitement (lorsque le sous-traitant de l’Union combine les données à caractère personnel reçues du responsable du traitement du pays tiers et des données à caractère personnel qu’il a collectées dans l’Union)

(a) Les parties garantissent qu’elles n’ont aucune raison de croire que la législation et les pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, notamment les exigences en matière de divulgation de données à caractère personnel ou les mesures autorisant l’accès des autorités publiques à ces données, empêchent l’importateur de données de s’acquitter des obligations qui lui incombent en vertu des présentes clauses. Cette disposition repose sur l’idée que les législations et les pratiques qui respectent l’essence des libertés et droits fondamentaux et qui n’excèdent pas ce qui est nécessaire et proportionné dans une société démocratique pour préserver un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes clauses.

(b) Les parties déclarent qu’en fournissant la garantie mentionnée au paragraphe a), elles ont dûment tenu compte, en particulier, des éléments suivants:

(i) des circonstances particulières du transfert, parmi lesquelles la longueur de la chaîne de traitement, le nombre d’acteurs concernés et les canaux de transmission utilisés; les transferts ultérieurs prévus; le type de destinataire; la finalité du traitement; les catégories et le format des données à caractère personnel transférées; le secteur économique dans lequel le transfert a lieu et le lieu de stockage des données transférées;

(ii) des législations et des pratiques du pays tiers de destination – notamment celles qui exigent la divulgation de données aux autorités publiques ou qui autorisent l’accès de ces dernières aux données – pertinentes au regard des circonstances particulières du transfert, ainsi que des limitations et des garanties applicables (3);

(iii) de toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.

(c) L’importateur de données garantit que, lors de l’évaluation au titre du paragraphe b), il a déployé tous les efforts possibles pour fournir des informations pertinentes à l’exportateur de données et convient qu’il continuera à coopérer avec ce dernier pour garantir le respect des présentes clauses.

(d) Les parties conviennent de conserver une trace documentaire de l’évaluation au titre du paragraphe b) et de mettre cette évaluation à la disposition de l’autorité de contrôle compétente si celle-ci en fait la demande.

(a) L’importateur de données accepte d’informer sans délai l’exportateur de données si, après avoir souscrit aux présentes clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à une législation ou à des pratiques qui ne sont pas conformes aux exigences du paragraphe a), notamment à la suite d’une modification de la législation du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application pratique de cette législation qui n’est pas conforme aux exigences du paragraphe a).

(f) À la suite d’une notification au titre du paragraphe e), ou si l’exportateur de données a d’autres raisons de croire que l’importateur de données ne peut plus s’acquitter des obligations qui lui incombent en vertu des présentes clauses, l’exportateur de données définit sans délai les mesures appropriées (par exemple des mesures techniques ou organisationnelles visant à garantir la sécurité et la confidentialité) qu’il doit adopter et/ou qui doivent être adoptées par l’importateur de données pour remédier à la situation. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée ne peut être fournie pour ce transfert ou si l’autorité de contrôle compétente lui en donne l’instruction. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement. Lorsque le contrat est résilié en vertu de la présente clause, la clause 16, paragraphes d) et e), s’applique.

Clause 15 Obligations de l’importateur de données en cas d’accès des autorités publiques

MODULE 4 : Transfert de sous-traitant à responsable du traitement (lorsque le sous-traitant de l’Union combine les données à caractère personnel reçues du responsable du traitement du pays tiers et des données à caractère personnel qu’il a collectées dans l’Union)

15.1. Notification

(a) L’importateur de données convient d’informer sans délai l’exportateur de données et, si possible, la personne concernée (si nécessaire avec l’aide de l’exportateur de données):

(i) s’il reçoit une demande juridiquement contraignante d’une autorité publique, y compris judiciaire, en vertu de la législation du pays de destination en vue de la divulgation de données à caractère personnel transférées au titre des présentes clauses; cette notification comprend des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie; ou

(ii) s’il a connaissance d’un quelconque accès direct des autorités publiques aux données à caractère personnel transférées au titre des présentes clauses en vertu de la législation du pays de destination; cette notification comprend toutes les informations dont l’importateur de données dispose.

(b) Si la législation du pays de destination interdit à l’importateur de données d’informer l’exportateur de données et/ou la personne concernée, l’importateur de données convient de tout mettre en œuvre pour obtenir une levée de cette interdiction, en vue de communiquer autant d’informations que possible, dans les meilleurs délais. L’importateur de données accepte de garder une trace documentaire des efforts qu’il a déployés afin de pouvoir en apporter la preuve à l’exportateur de données, si celui-ci lui en fait la demande.

(c) Lorsque la législation du pays de destination le permet, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations utiles que possible sur les demandes reçues (notamment le nombre de demandes, le type de données demandées, la ou les autorités requérantes, la contestation ou non des demandes et l’issue de ces contestations, etc.).

(d) L’importateur de données accepte de conserver les informations mentionnées aux paragraphes a) à c) pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.

(e) Les paragraphes a) à c) sont sans préjudice de l’obligation incombant à l’importateur de données, en vertu de la clause 14, paragraphe e), et de la clause 16, d’informer sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses.

15.2. Contrôle de la légalité et minimisation des données

(a) L’importateur de données accepte de contrôler la légalité de la demande de divulgation, en particulier de vérifier si elle s’inscrit dans les limites des pouvoirs conférés à l’autorité publique requérante, et de la contester si, après une évaluation minutieuse, il conclut qu’il existe des motifs raisonnables de considérer qu’elle est illégale en vertu de la législation du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données exerce les possibilités d’appel ultérieures dans les mêmes conditions. Lorsqu’il conteste une demande, l’importateur de données demande des mesures provisoires visant à suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente se prononce sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’est pas obligé de le faire en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations incombant à l’importateur de données en vertu de la clause 14, paragraphe e).

(b) L’importateur de données accepte de garder une trace documentaire de son évaluation juridique ainsi que de toute contestation de la demande de divulgation et, dans la mesure où la législation du pays de destination le permet, de mettre les documents concernés à la disposition de l’exportateur de données. Il les met également à la disposition de l’autorité de contrôle compétente si celle-ci lui en fait la demande.

(c) L’importateur de données accepte de fournir le minimum d’informations autorisé lorsqu’il répond à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.

SECTION IV — DISPOSITIONS FINALES

Clause 16 Non-respect des clauses et résiliation

(a) L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses, quelle qu’en soit la raison.

(b) Dans le cas où l’importateur de données enfreint les présentes clauses ou n’est pas en mesure de les respecter, l’exportateur de données suspend le transfert de données à caractère personnel à l’importateur de données jusqu’à ce que le respect des présentes clauses soit à nouveau garanti ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14, paragraphe f).

(c) L’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel au titre des présentes clauses, lorsque:

(i) l’exportateur de données a suspendu le transfert de données à caractère personnel à l’importateur de données en vertu du paragraphe b) et que le respect des présentes clauses n’est pas rétabli dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension;

(ii) l’importateur de données enfreint gravement ou de manière persistante les présentes clauses; ou

(iii) l’importateur de données ne se conforme pas à une décision contraignante d’une juridiction ou d’une autorité de contrôle compétente concernant les obligations qui lui incombent au titre des présentes clauses.

Dans ces cas, il informe l’autorité de contrôle compétente de ce non-respect. Si le contrat concerne plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, à moins que les parties n’en soient convenues autrement.

Les données à caractère personnel collectées par l’exportateur de données dans l’Union qui ont été transférées avant la résiliation du contrat au titre du paragraphe c), ainsi que toute copie de celles-ci, sont immédiatement effacées dans leur intégralité. L'importateur de données certifie la suppression des données à l'exportateur de données. Jusqu’à ce que les données soient effacées ou restituées, l’importateur de données continue de veiller au respect des présentes clauses. Lorsque la législation locale applicable à l’importateur de données interdit la restitution ou l’effacement des données à caractère personnel transférées, ce dernier garantit qu’il continuera à respecter les présentes clauses et qu’il ne traitera les données que dans la mesure où et aussi longtemps que cette législation locale l’exige.

(e) Chaque partie peut révoquer son consentement à être liée par les présentes clauses i) si la Commission européenne adopte une décision en vertu de l’article 45, paragraphe 3, du règlement (UE) 2016/679 qui couvre le transfert de données à caractère personnel auquel les présentes clauses s’appliquent; ou ii) si le règlement (UE) 2016/679 est intégré dans le cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations qui s’appliquent au traitement en question en vertu du règlement (UE) 2016/679.

Clause 17 Droit applicable

Les présentes clauses sont régies par le droit d’un pays qui reconnaît des droits au tiers bénéficiaire. Les Parties conviennent que cette législation sera celle de la République slovaque.

Clause 18 Élection de for et juridiction

Tout litige survenant du fait des présentes Clauses est tranché par les tribunaux de la République slovaque.

APPENDICE

ANNEXE I

A. Liste des Parties

Exportateur de données – L'exportateur de données est ESET, comme spécifié dans les Conditions.

Importateur de données – L'importateur de données est le Client (et ses entités affiliées, le cas échéant) comme spécifié dans les Conditions.

B. DESCRIPTION DU TRANSFERT

Catégories des personnes concernées

L'importateur de données, en tant que Responsable du traitement sur la base de l'ATD, peut, dans le cadre des Services, soumettre au traitement les données à caractère personnel de toute personne concernée, à sa seule discrétion. Ces données à caractère personnel peuvent principalement concerner les utilisateurs autorisés des appareils de l'importateur de données et/ou les employés ou les sous-traitants de l'importateur de données (et, le cas échéant, de ses entités affiliées). Par ailleurs, il peut également s'agir de toute personne dont les données sont traitées par l'importateur de données ou sur ses appareils et fournies à l'exportateur de données ou mises à sa disposition dans le cadre de l'exécution des Services.

Catégories de données à caractère personnel transférées :

Les Données à caractère personnel traitées dans le cadre de la prestation des Services peuvent comprendre toute Donnée à caractère personnel fournie ou mise à disposition par l'importateur de données pendant la prestation des Services et à sa seule discrétion, en particulier toutes les données à caractère personnel soumises dans les demandes d'assistance ou pendant les processus de traitement de toute demande de Service, ou toutes les données à caractère personnel susceptibles d'être accessibles ou disponibles pour l'exportateur de données si celui-ci a accordé un accès temporaire ou permanent à ses Produits ou appareils pendant l'exécution des Services.

Catégories particulières de données

L'importateur de données, en tant que Responsable du traitement sur la base de l'ATD, peut soumettre des catégories spéciales de données dans le cadre de la prestation des Services, dont l'étendue est déterminée et contrôlée par l'importateur de données à sa seule discrétion.

Fréquence du transfert : base continue.

Nature du traitement : Automatisé.

Finalité(s) du transfert et du traitement ultérieur des données : Fourniture du Service tel que défini dans les annexes des Conditions.

Durée de conservation des données à caractère personnel : Telle que définie dans l'ATD.

Références :

(1) Si l’exportateur de données est un sous-traitant soumis au règlement (UE) 2016/679 agissant pour le compte d’une institution ou d’un organe de l’Union en tant que responsable du traitement, le recours aux présentes clauses lors du recrutement d’un autre sous-traitant (sous-traitance ultérieure) qui n’est pas soumis au règlement (UE) 2016/679 garantit également le respect de l’article 29, paragraphe 4, du règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39), dans la mesure où les présentes clauses et les obligations en matière de protection des données fixées dans le contrat ou un autre acte juridique entre le responsable du traitement et le sous-traitant conformément à l’article 29, paragraphe 3, du règlement (UE) 2018/1725 sont alignées. Ce sera en particulier le cas lorsque le responsable du traitement et le sous-traitant se fondent sur les clauses contractuelles types qui figurent dans la décision 2021/915.

(2) Il s’agit notamment de savoir si le transfert et le traitement ultérieur portent sur des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales ou à des infractions.

(3) En ce qui concerne l’incidence de ces législations et pratiques sur le respect des présentes clauses, différents éléments peuvent être considérés comme faisant partie d’une évaluation globale. Ces éléments peuvent inclure une expérience concrète, documentée et pertinente de cas antérieurs de demandes de divulgation émanant d’autorités publiques, ou l’absence de telles demandes, couvrant un laps de temps suffisamment représentatif. Il peut s’agir de registres internes ou d’autres documents établis de manière continue conformément au principe de diligence raisonnable et certifiés à un niveau hiérarchique élevé, pour autant que ces informations puissent être partagées légalement avec des tiers. Lorsque cette expérience pratique est invoquée pour conclure que l’importateur de données ne sera pas empêché de respecter les présentes clauses, il y a lieu de l’étayer par d’autres éléments pertinents et objectifs, et il appartient aux parties d’examiner avec soin si ces éléments, pris dans leur ensemble, ont un poids suffisant, du point de vue de leur fiabilité et de leur représentativité, pour soutenir cette conclusion. En particulier, les parties doivent s’assurer que leur expérience pratique est corroborée et non contredite par des informations fiables accessibles au public ou disponibles d’une autre manière sur l’existence ou l’absence de demandes dans le même secteur et/ou sur l’application pratique du droit, comme la jurisprudence et les rapports d’organes de contrôle indépendants.