Addendum sur le Traitement des Données par SHL à l’échelle mondiale
Last Updated: 6 June 2023
Le présent Addendum sur le Traitement des Données à l’échelle mondiale par SHL et ses annexes (l’« ATD ») reflètent l'accord des parties concernant le traitement des données à caractère personnel opéré par nos soins pour votre compte dans le cadre des Produits et Services de SHL conformément aux Conditions Générales de SHL qui nous lient (également désigné dans le présent ATD comme le « Contrat »).
Le présent ATD complète et fait partie intégrante du Contrat, et entre en vigueur dès son incorporation au Contrat, ce qui peut être spécifié dans celui-ci, une Commande ou un avenant au Contrat. En cas de conflit ou d’incompatibilité avec les termes du Contrat, le présent ATD prévaudra sur les termes du Contrat dans la limite de ce conflit ou de cette incompatibilité.
Le terme du présent ATD suivra le terme du Contrat. Les termes qui ne sont pas autrement définis dans le présent ATD ont la signification qui leur est donnée dans le Contrat. Aux fins du présent ATD, la Société sera désignée par le terme " vous " et SHL sera désignée par le terme " nous ".
1. Definitions
« CCPA » désigne la section 1798.100 et suivantes du code civil californien (également connue sous le nom de California Consumer Privacy Act of 2018).
« Clauses contractuelles types » désignent les clauses contractuelles types pour les Sous-traitants approuvées conformément à la décision (UE) 2021/914 de la Commission européenne du 4 juin 2021, sous la forme présentée à l'adresse www.shl.com/legal/terms-and-conditions/shl-pre-signed-european-standard-contractual-clauses ; telles qu'elles peuvent être modifiées, supplantées ou remplacées.
« Consommateur », « Entreprise », « Vendre » et « Prestataire de Services » auront les significations qui leur sont données dans le CCPA.
« Données Européennes » désignent les Données à Caractère Personnel qui sont soumises à la protection des Lois Européennes sur la Protection des Données.
« Données à Caractère Personnel » désigne toute donnée ou information que vous nous fournissez, ou que nous collectons dans le cadre de la fourniture des Produits et/ou Services, qui se rapporte à une personne physique vivante pouvant être identifiée à partir de ces données, mais exclut les Données de Recherche Agrégées et le Benchmarking.
« Données Personnelles Californiennes » désignent les données personnelles qui sont soumises à la protection du CCPA.
« Données personnelles PIPL » signifie les informations personnelles qui sont soumises à la protection de PIPL.
« Données personnelles POPIA » signifie les informations personnelles qui sont soumises à la protection de la POPIA.
« Europe » désigne l'Union européenne, l'Espace Économique Européen et/ou leurs États membres, la Suisse et le Royaume-Uni.
« Instructions » signifie les instructions écrites et documentées émises par un Responsable de traitement à un Sous-traitant, et lui ordonnant d'effectuer une action spécifique ou générale concernant les Données à caractère personnel (y compris, mais sans s'y limiter, la dépersonnalisation, le blocage, la suppression, la mise à disposition).
« Lois Européennes sur la Protection Des Données » désigne les lois sur la protection des données applicables en Europe, notamment : (i) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général Sur La Protection Des Données) (« RGPD ») ; (ii) la Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ; et (iii) les mises en œuvre nationales applicables de (i) et (ii) ; ou (iii) en ce qui concerne le Royaume-Uni, toute législation nationale applicable qui remplace ou convertit en droit interne le RGPD ou toute autre loi relative aux données et à la vie privée en conséquence de la sortie du Royaume-Uni de l'Union européenne ; et (iv) la Loi Fédérale Suisse sur la Protection des Données du 19 juin 1992 et son Ordonnance ; dans chaque cas, telle qu'elle peut être modifiée, annulée ou remplacée.
« Lois sur la Protection des Données » signifient toute la législation mondiale relative à la protection des données et à la vie privée qui s'applique à la partie concernée dans le rôle du Traitement des Données Personnelles en question dans le cadre du Contrat, y compris, sans limitation, les Lois Européennes sur la Protection des Données ; dans chaque cas, telles que dernièrement modifiées, abrogées, consolidées ou remplacées.
« Personne Concernée » signifie la personne physique à laquelle se rapportent les Données à Caractère Personnel.
« PIPL » désigne la Loi sur la Protection des Informations Personnelles de la République Populaire de Chine prenant effet le 1er novembre 2021 et toute autre loi ou réglementation applicable relative au traitement des informations personnelles et à la vie privée, et telle que cette législation sera amendée, révisée ou remplacée.
« POPIA » signifie la loi sud-africaine sur la protection des informations personnelles de 2013 (loi 4 de 2013) et toute autre loi ou réglementation applicable relative au traitement des informations personnelles et à la vie privée, et telle que cette législation sera dernièrement amendée, révisée ou remplacée.
« Responsable de Traitement » désigne la personne, l'entité ou tout autre organisme qui détermine les objectifs et les moyens du Traitement des Données à Caractère Personnel, pour l'Afrique du Sud, cela inclut la partie responsable en vertu du POPIA et en République populaire de Chine, le Responsable de traitement désigne le gestionnaire de données tel que défini en vertu de PIPL.
« Sociétés Affiliées Autorisées » désignent toute Société qui vous est affiliée et qui (i) est autorisé à utiliser les Produits et/ou Services conformément au Contrat, mais qui n'a pas signé son propre contrat distinct avec nous, (ii) est qualifié de Responsable de Traitement des Données que nous traitons, et (iii) est soumise aux Lois Européennes sur la Protection des Données.
« Sociétés Affiliées autorisées de SHL » désignent les Sociétés Affiliées de SHL qui sont autorisées à traiter les Données à Caractère Personnel, telles que déterminées par l'emplacement de la Plateforme que vous sélectionnez lorsque vous utilisez les Services SHL. Le tableau des Sociétés Affiliées Autorisées de SHL est disponible ici : https://www.shl.com/legal/shl-permitted-affiliates/
« Sous-traitant » signifie la personne, l'entité ou tout autre organisme (autre qu'un employé du Responsable de Traitement) qui Traite les Données à Caractère Personnel pour le compte du Responsable de traitement, pour l'Afrique du Sud, cela inclut l'Opérateur en vertu du POPIA et en République populaire de Chine, le Responsable de traitement signifie la partie en charge telle que définie en vertu du PIPL.
« Sous-traitant tiers » désigne tout Sous-traitant engagé par nous ou nos sociétés affiliées pour nous aider à remplir nos obligations relatives à la fourniture des produits et/ou découlant du contrat. La liste actuelle des Sous-Traitants tiers est disponible ici : https://www.shl.com/legal/security-and-compliance/platforms-sub-processors/
« Traitement » signifie toute opération ou ensemble d'opérations effectuées sur des Données à Caractère Personnel, englobant la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre mise à disposition, le rapprochement ou la combinaison, la restriction ou l'effacement des Données à caractère personnel. Les termes « Traiter », « Traitements » et « Traités » seront interprétés en conséquence.
« Violation de Données à Caractère Personnel » désigne une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal à des Données à Caractère Personnel transmises, stockées ou Traitées de toute autre manière par nous et/ou nos Sous-Traitants dans le cadre de la fourniture des Produits et/ou Services. « Violation des Données à Caractère Personnel » n'inclura pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des Données à Caractère Personnel, y compris les tentatives infructueuses de connexion, les pings, les scans de port, les attaques par déni de service et autres attaques de réseau sur les pares-feux ou les systèmes en réseau.
2. Responsabilités de l'entreprise
a. Respect des lois. Dans le cadre du Contrat et de votre utilisation des Produits et/ou Services, vous serez responsable du respect de toutes les exigences qui vous sont applicables en vertu des Lois sur la protection des données en vigueur et des Instructions que vous nous donnez. En particulier, mais sans préjudice de la généralité de ce qui précède, vous reconnaissez et acceptez que vous serez seul responsable de : (i) l'exactitude, la qualité et la légalité des Actifs de la Société et des moyens par lesquels vous avez acquis les Données à Caractère Personnel; (ii) du respect de toutes les exigences de transparence et de légalité nécessaires en vertu des Lois sur la Protection des Données applicables pour la collecte et l'utilisation des Données à Caractère Personnel, y compris l'obtention de tous les consentements et autorisations nécessaires ; (iii) vous assurer que vous avez le droit de nous transférer les Données à Caractère Personnel, ou d'y donner accès, en vue de leur Traitement conformément aux dispositions du Contrat (y compris le présent ATD) ; (iv) vous assurer que les instructions que vous nous donnez concernant le traitement des Données à Caractère Personnel sont conformes aux lois applicables, y compris les Lois sur la Protection des Données ; et (v) vous conformer à toutes les lois applicables (y compris les Lois sur la Protection des Données). Si vous n’êtes pas en mesure de vous conformer à vos responsabilités en vertu de la présente sous-section (a), vous nous en informerez sans délai excessif.
b. Instructions du Responsable de traitement. Les parties conviennent que le Contrat (y compris le présent ATD), ainsi que votre utilisation des Produits et/ou Services conformément au Contrat, constituent vos Instructions complètes et définitives à notre égard en ce qui concerne le Traitement des Données à Caractère Personnel, et que des instructions supplémentaires en dehors du champ d'application des Instructions nécessiteront un accord écrit préalable entre vous et nous.
3. Obligations de SHL
a. Respect des instructions. Nous ne traiterons les Données à Caractère Personnel qu'aux fins décrites dans le présent ATD ou comme convenu par ailleurs dans le cadre de vos instructions légales, sauf si et dans la mesure où la loi applicable l'exige. Nous ne sommes pas responsables du respect des Lois sur la Protection des Données qui vous sont applicables ainsi qu’à votre secteur d'activité mais qui ne nous sont pas applicables. Nous coopérerons avec toute demande de votre part concernant les Données à Caractère Personnel que vous nous avez fournies directement ou qui nous ont été fournies par votre intermédiaire à condition que cette demande ne viole pas les termes du Contrat.
b. Conflit de lois. Si nous apprenons que nous ne pouvons pas traiter les Données à Caractère Personnel conformément à vos Instructions en raison d'une exigence légale en vertu de toute loi applicable, nous (i) vous informerons rapidement de cette exigence légale uniquement dans le cadre et dans la mesure de la loi applicable ; et (ii) si nécessaire, nous cesserons tout Traitement (autre que le simple stockage et le maintien de la sécurité des Données à Caractère Personnel concernées) jusqu'à ce que vous émettiez de nouvelles Instructions auxquelles nous seront en mesure de nous conformer. Si cette disposition est invoquée, nous ne serons pas responsables envers vous en vertu du Contrat pour tout manquement à fournir et/ou exécuter les Produits et/ou Services applicables jusqu'à ce que vous émettiez de nouvelles Instructions juridiquement valables pour le Traitement.
c. Sécurité. Nous mettrons en œuvre et maintiendrons un programme d'information efficace sur la sécurité qui : (i) comprend des mesures de protection administratives, techniques et physiques et (ii) comporte des mesures techniques et organisationnelles appropriées pour protéger les Données à caractère personnel contre les violations de Données à Caractère Personnel, comme décrit à l'Annexe 2 du présent ATD (« Mesures de sécurité »). Les Mesures de Sécurité sont adéquates pour assurer la sécurité et la confidentialité des Données à caractère personnel et protègent contre : (1) les menaces ou dangers anticipés pour la sécurité ou l'intégrité des Données à Caractère Personnel, (2) l'accès ou l'utilisation non autorisés des Données à Caractère Personnel, (3) le traitement illégal ou le traitement non conforme au Contrat, et (4) la perte, la destruction, l'endommagement, l'altération ou la divulgation accidentels des Données à Caractère Personnel. Les Mesures de Sécurité comprennent (au minimum) : (i) la mise en œuvre des mesures prescrites par les Lois sur la Protection des Données, et/ou le Contrat ; (ii) la prise de mesures raisonnables pour assurer la fiabilité du personnel ayant accès aux Données à Caractère Personnel ; et (iii) la mise en œuvre et le maintien de mesures d'élimination raisonnables et la formation du personnel ayant accès aux Données à Caractère Personnel. Nonobstant toute disposition contraire, nous pouvons modifier ou mettre à jour les Mesures de Sécurité à notre discrétion, à condition que cette modification ou mise à jour n'entraîne pas une dégradation matérielle de la protection offerte par les Mesures de Sécurité.
d. Confidentialité. Nous veillerons à ce que tout personnel que nous autorisons à Traiter des Données à Caractère Personnel en notre nom soit soumis à des obligations de confidentialité appropriées (qu'il s'agisse d'une obligation contractuelle ou légale) concernant ces Données à Caractère Personnel.
e. Violation de Données à Caractère Personnel. Nous (i) vous informerons sans retard injustifié, et au plus tard dans les 48 heures, après avoir pris connaissance de toute Violation de Données à Caractère Personnel et nous vous fournirons en temps utile des informations relatives à la violation de Données à Caractère Personnel dès qu'elles seront connues ou raisonnablement demandées par vous ; et (ii) nous n'informerons aucun tiers de l'implication des Données à Caractère Personnel de la Société dans la violation de celles-ci sans l'autorisation préalable de la Société, qui ne devra pas être refusée de manière injustifiée. Nous enquêterons immédiatement et prendrons les mesures correctives appropriées pour atténuer les effets de la Violation de Données à Caractère Personnel conformément aux lois, réglementations et normes de l’industrie applicables. À votre demande, nous (i) vous fournirons rapidement l'assistance raisonnablement nécessaire pour vous permettre de notifier les Violations de Données à Caractère Personnel pertinentes aux autorités compétentes et/ou aux Personnes Concernées affectées, si vous êtes tenu de le faire en vertu des Lois sur la Protection des Données ; et (ii) vous fournirons un rapport succinct de nos activités d'enquête et de remédiation.
f. Suppression ou restitution des Données à caractère personnel. Nous supprimerons ou restituerons tous les Actifs de la Société, y compris les Données à Caractère Personnel (dont les copies de celles-ci) traitées conformément au présent ATD, sur instruction écrite de votre part, sauf lorsque cette exigence ne s'applique pas dans la mesure où nous sommes tenus par la loi applicable de conserver tout ou partie des Actifs de la Société, ou aux Actifs de la Société que nous avons archivés sur des systèmes de sauvegarde, données que nous isolerons et protégerons de manière sécurisée de tout Traitement ultérieur et supprimerons conformément à nos pratiques de suppression.
4. Demandes de la Personne Concernée
Sur demande écrite de votre part, nous vous fournirons une assistance raisonnable pour que vous puissiez répondre aux demandes des Personnes Concernées ou aux demandes des autorités de protection des données concernant le Traitement des Données à caractère personnel dans le cadre du Contrat. Vous nous rembourserez les coûts commercialement raisonnables découlant de cette assistance. Si une demande d’une Personne Concernée ou toute autre communication concernant le Traitement des Données à Caractère Personnel en vertu du Contrat nous est adressée directement, nous fournirons à la Personne Concernée nos réponses types qui lui conseilleront de vous soumettre sa demande. Vous serez seul responsable de la réponse substantielle à ces demandes ou communications concernant des Données à Caractère Personnel.
5. Sous-Traitants
Vous acceptez que nous puissions engager des Sous-Traitants Tiers et des Sociétés Affiliées Autorisées de SHL (ensemble, les « Sous-Traitants Ultérieurs ») pour traiter des Données à Caractère Personnel pour votre compte. Vous serez informés avant tout ajout ou retrait de Sous-Traitants Ultérieurs, si vous choisissez de recevoir de telles notifications par e-mail en remplissant le formulaire disponible sur https://www.shl.com/legal/security-and-compliance/. Lorsque nous engageons des Sous-Traitants Ultérieurs, nous imposerons des conditions de protection des données qui fournissent au moins le même niveau de protection des Données à Caractère Personnel que celles du présent ATD (y compris, le cas échéant, les Clauses Contractuelles Types), dans la mesure applicable à la nature des services fournis par ces Sous-Traitants. Nous resterons responsables du respect par chaque Sous-Traitant Ultérieur des obligations du présent ATD et de tout acte ou omission de ce Sous-Traitant Ultérieur qui nous amènerait à violer l'une de ses obligations au titre du présent ATD.
6. Transferts de données
Vous reconnaissez et acceptez que nous puissions accéder et traiter les Données à Caractère Personnel sur une base mondiale si nécessaire pour fournir les Produits et/ou Services conformément au Contrat, et en particulier que les Données à Caractère Personnel soient transférées et Traitées par SHL dans d'autres juridictions où les Sous-Traitants Ultérieurs opèrent. Nous veillerons à ce que ces transferts soient effectués en conformité avec les exigences des Lois sur la Protection des Données.
7. Dispositions supplémentaires pour les Données Européennes
a. Champ d'application de la section 7. La présente section « Dispositions Supplémentaires pour les Données Européennes » s'applique uniquement aux Données Européennes.
b. Rôles des parties. Lors du Traitement des Données Européennes conformément à vos Instructions, les parties reconnaissent et conviennent que vous êtes le Responsable des Données Européennes et que nous sommes le Sous-Traitant.
c. Instructions. Si nous pensons que votre Instruction enfreint les Lois Européennes sur la Protection des Données (s’il y a lieu), nous vous en informerons sans délai, uniquement dans le cadre et dans la mesure autorisée par celles-ci.
d. Notification et objection aux nouveaux Sous-Traitants Ultérieurs. Nous vous informerons de tout changement de Sous-Traitant Ultérieur au moyen du mécanisme de notification prévu à l'article 5 du présent ATD et vous donnerons la possibilité de vous opposer à l'engagement du nouveau Sous-traitant Ultérieur pour des motifs raisonnables concernant la protection des Données à Caractère Personnel dans les 30 jours suivant cette notification. Si vous nous notifiez une telle objection, les parties discuteront de bonne foi de vos préoccupations en vue de parvenir à une solution commercialement raisonnable. Si aucune solution n’est trouvée, nous pourrons, à notre seule discrétion, soit ne pas nommer le nouveau Sous-Traitant Ultérieur, soit vous permettre de suspendre ou de résilier les Produits et/ou le Service concernés conformément aux dispositions de résiliation du Contrat sans engager la responsabilité de l'une ou de l'autre des parties (mais sans préjudice de tous les frais encourus par vous avant la suspension ou la résiliation).
e. Analyse d'Impact relative à la Protection des Données et consultation des Autorités de Contrôle. Dans la mesure où les informations requises nous sont raisonnablement disponibles, et que vous n'y avez pas autrement accès, nous vous fournirons une assistance raisonnable, et dans les délais raisonnables que vous aurez demandé, pour toutes Analyses d'Impact relatives à la Protection des Données, et les consultations préalables avec les Autorités de Contrôle ou autres autorités compétentes en matière de confidentialité des données dans la mesure requise par les Lois Européennes sur la Protection des Données.
f. Mécanismes de Transfert pour les Transferts de Données.
(A) SHL ne transférera pas de Données européennes vers un pays ou un destinataire qui n'est pas reconnu comme offrant un niveau de protection adéquat des Données à Caractère Personnel (au sens des Lois Européennes sur la Protection des Données qui sont applicables), à moins qu'elle ne prenne d'abord toutes les mesures nécessaires pour s'assurer que le transfert est conforme aux Lois Européennes sur la Protection des Données. Ces mesures peuvent comprendre (sans s’y limiter) le transfert de ces données à un destinataire qui est couvert par un cadre approprié ou un autre mécanisme de transfert juridiquement adéquat reconnu par les autorités ou les tribunaux compétents comme fournissant un niveau adéquat de protection des Données à Caractère Personnel, à un destinataire qui est tenu par des règles d’entreprise contraignantes en vertu des Lois Européenne sur la Protection des Données, ou à un destinataire qui a signé des Clauses Contractuelles Types appropriées dans chaque cas, telles qu’adoptées ou approuvées par les Lois européennes applicables en matière de Protection des Données.
(B) Les parties reconnaissent et conviennent de ce qui suit :
(i) Clauses Contractuelles Types : SHL accepte de respecter et de traiter les Données Européennes conformément aux Clauses Contractuelles Types. Le Groupe SHL a conclu un Accord Intragroupe qui inclut les Clauses Contractuelles Types pour le Traitement des Données à Caractère Personnel en dehors de l'EEE. À la demande de la Société, SHL et les Sociétés Affiliées Autorisées de SHL concluront des Clauses Contractuelles Types en tant qu'agent au nom de la Société pour le transfert de Données à Caractère Personnel en dehors de l'EEE.
(ii) Les parties conviennent que (i) aux seules fins des descriptions figurant dans les Clauses Contractuelles Types, SHL sera considérée comme l' « importateur de données » et la Société sera considérée comme l' « exportateur de données » (nonobstant le fait que vous puissiez vous-même être situé en dehors de l'Europe et/ou agir en tant que Sous-Traitant pour le compte de responsables tiers) ; et (ii) dans la mesure où les Clauses Contractuelles Types (le cas échéant) entrent en conflit avec toute disposition du présent ATD, les Clauses Contractuelles Types prévaudront dans la mesure de ce conflit.
g. Démonstration de la conformité. Nous fournirons toutes les informations raisonnablement nécessaires pour démontrer la conformité aux obligations de l'article 29 (Sous-Traitant) du RGPD. Vous reconnaissez et acceptez que notre certification ISO 27001 alors en vigueur sera utilisée pour satisfaire toute demande d'audit ou d'inspection de votre part ou en votre nom, et nous mettrons ces rapports à votre disposition sur demande. En outre, à votre demande écrite, nous fournirons des réponses écrites (sur une base confidentielle) à toutes les demandes raisonnables d'informations que vous nous adresserez et qui sont nécessaires pour approuver notre conformité au présent ATD, à condition que vous n'exerciez pas ce droit plus d'une fois par année civile.
8. Dispositions supplémentaires concernant les informations personnelles de la Californie
a. Portée de la section 8. La section « Dispositions supplémentaires relatives aux Informations Personnelles Californiennes » de l’ATD s'applique uniquement aux Informations Personnelles Californiennes.
b. Rôles des parties. Lors du traitement Des Informations Personnelles Californiennes conformément à vos Instructions, les parties reconnaissent et conviennent que vous êtes une Entreprise et que nous sommes un Prestataire de Services aux fins du CCPA.
c. Responsabilités. Les parties conviennent que nous traiterons les Informations Personnelles Californiennes en tant que Prestataire de Services dans le seul cadre de la fourniture des Produits et/ou des Services prévus par le Contrat (l' « Objectif Commercial ») ou dans la mesure où cela est autorisé par le CCPA.
9. Dispositions supplémentaires concernant les informations personnelles du POPIA
a. Portée de la section 9. La section « Dispositions supplémentaires relatives aux Données Personnelles POPIA » de l’ATD s'applique uniquement aux Données Personnelles POPIA.
b. Rôles des Parties. Lorsqu'elles traitent des Données Personnelles POPIA conformément à vos Instructions, les parties reconnaissent et conviennent que vous êtes la Partie Responsable et que SHL est l'Opérateur aux fins du POPIA.
c. Responsabilités. Les parties conviennent que SHL traitera les informations personnelles POPIA en tant qu’Opérateur dans le seul cadre de la fourniture des Produits et/ou Services prévus par le Contrat (l' « Objectif Commercial ») ou tel que permis par le POPIA.
10. Dispositions supplémentaires concernant les informations personnelles des LIPP
a. Portée de la Section 10. La section « Dispositions supplémentaires relatives aux Données Personnelles PIPL » de l’ATD s'applique uniquement aux Données Personnelles de PIPL.
b. Rôles des parties. Lors du traitement des Données Personnelles PIPL conformément à vos Instructions, les parties reconnaissent et conviennent que vous êtes le Responsable de Traitement et que SHL est la partie en charge aux fins du PIPL.
c. Responsabilités. Les parties conviennent que SHL traitera les Données Personnelles PIPL en tant que partie en charge dans le seul cadre de la fourniture des Produits et/ou Services prévus par le Contrat (l’ « Objectif Commercial ») ou comme autrement autorisé par le PIPL.
11. Dispositions générales
a. Modifications. Nonobstant toute autre disposition contraire dans le Contrat et sans préjudice des sections « Respect des instructions » ou « Sécurité » du présent ATD, nous nous réservons le droit d'y apporter des mises à jour et des modifications.
b. Divisibilité. Si certaines dispositions du présent ATD sont jugées non valables ou inapplicables, la validité et l'applicabilité des autres dispositions ne seront pas affectées.
c. Limitation de la responsabilité. Sous réserve du Contrat, la responsabilité totale agrégée de SHL résultant de son manquement à ses obligations en tant que Sous-traitant en vertu du présent ATD sera limitée au montant directement attribué aux actions ou au non-respect du présent ATD par SHL dans le cadre de la fourniture des Produits et/ou de l'exécution des Services. Les dommages suivants seront considérés comme des dommages directs indemnisables en vertu du Contrat dans la mesure où ils résultent directement de la violation du présent ATD par SHL : (i) tous les coûts et dépenses que vous avez engagé pour enquêter et réparer les dommages aux Données à Caractère Personnel ; (ii) tous les frais que vous avez engagés relativement aux notifications exigées par la loi ; (iii) les amendes, pénalités et intérêts qui vous sont imposés en conséquence de la violation ; et (iv) les honoraires d’avocats raisonnables.
d. Droit applicable. Le présent ATD sera régi et interprété conformément aux lois et à la juridiction énoncées dans le Contrat, à moins que les Lois Sur La Protection Des Données n'en disposent autrement.
12. Parties au présent ATD
a. Sociétés Affiliées Autorisées. En signant le Contrat, vous concluez le présent ATD en votre nom et, dans la mesure requise par les Lois sur la Protection des Données, au nom et pour le compte de vos Sociétés Affiliées Autorisées, établissant ainsi un ATD distinct entre nous et chacune de ces Sociétés Affiliées Autorisées, sous réserve du Contrat et des sections « Dispositions générales » et « Parties au présent ATD » du présent ATD. Chaque Société Affiliée Autorisée accepte d'être liée par les obligations prévues par le présent ATD et, dans la mesure où cela est applicable, par le Contrat. Aux fins du présent ATD uniquement, et sauf indication contraire, les termes « Société », « vous » et « votre » vous incluront ainsi que vos Sociétés Affiliées Autorisées.
b. Autorisation. La personne morale qui accepte le présent ATD en tant que Société déclare qu'elle est autorisée à accepter et à conclure le présent ATD pour et en son nom et, le cas échéant, pour chacun de ses Affiliés Autorisés.
c. Recours. À l'exception des cas où les lois applicables sur la Protection des Données exigent qu'une Société Affiliée Autorisée exerce un droit ou demande un recours en vertu du présent ATD contre nous et directement par elle-même, les parties conviennent que (i) seule la Société qui est partie au Contrat exercera tout droit ou cherchera à obtenir tout recours qu'une Société Affiliée Autorisée peut avoir en vertu du présent ATD pour le compte de ses Sociétés Affiliées, et (ii) la Société qui est partie au Contrat exercera ces droits en vertu du présent ATD non pas de manière séparée pour chaque Société Affiliée Autorisée, mais de manière combinée pour elle-même et toutes ses Sociétés Affiliées Autorisées ensemble. La Société qui est partie au Contrat est responsable de la coordination de toutes les communications avec nous dans le cadre de l’ATD et sera autorisée à faire et à recevoir toute communication liée à cet ATD au nom de ses Sociétés Affiliées Autorisées.
d. Autres droits. Les parties conviennent que, lors de l'examen de notre conformité au présent ATD conformément à la section « Démonstration de conformité », vous prendrez toutes les mesures raisonnables pour limiter l’impact sur nous et nos Sociétés Affiliées en combinant plusieurs demandes d'audit effectuées au nom de la Société, et de ses Sociétés Affiliées Autorisées, en un seul audit.
Annexe 1 à l’ATD - Détails du Traitement
La présente annexe fait partie de l’ATD.
A : Objet du traitement
Les produits et services de SHL, à savoir les services d'évaluation des talents.
B : Nature et finalité du traitement
Nous Traiterons les Données à Caractère Personnel dans la mesure où cela est nécessaire pour fournir les Produits et/ou Services conformément au Contrat, comme spécifié plus en détail dans le Bon de Commande, et selon les instructions supplémentaires que vous nous donnerez dans le cadre de votre utilisation des Produits et/ou Services.
La Personne concernée passera l'évaluation en utilisant les systèmes d'évaluation en ligne de SHL. Les réponses à l'évaluation seront évaluées pour produire un rapport d'évaluation avec les résultats, que SHL fournira à la Société. SHL peut effectuer des enquêtes ou d'autres opérations de traitement à la demande de la Société. La Société aura accès aux données des candidats, y compris aux résultats des évaluations, et à l'interface de la plateforme.
C : Durée du traitement
Sous réserve de la section « Suppression ou Restitution des Données à Caractère Personnel » du présent ATD, nous traiterons les Données à Caractère Personnel pendant la durée du Contrat, sauf accord écrit contraire.
D : Catégories de personnes concernées
Vous et vos utilisateurs finaux pouvez remettre des Données à Caractère Personnel lors de l'utilisation des Produits et/ou Services, dont l'étendue est déterminée et contrôlée par vous/eux à votre/leur seule discrétion, et qui peuvent inclure, sans s'y limiter, des Données à Caractère Personnel relatives aux catégories de Personnes concernées suivantes :
Les candidats à un emploi et/ou les employés de la Société.
E : Catégories de Données à Caractère Personnel
Vous et vos utilisateurs finaux pouvez remettre des Données à Caractère Personnel lors de l'utilisation des Produits et/ou Services, dont l'étendue est déterminée et contrôlée par vous/eux à votre/leur seule discrétion, et qui peuvent inclure, sans s'y limiter, les catégories suivantes de Données à Caractère Personnel :
- Nom, adresse électronique, sexe, langue, numéro d'identification de la société, renseignements démographiques sur l’employé, réponses aux évaluations ou aux sondages, enregistrements audio, images visuelles.
- Toute autre Données à Caractère Personnel demandée par, soumise par, envoyée à, ou reçue par vous, ou vos utilisateurs finaux, lors de l'utilisation des Produits et/ou Services.
F : Catégories spéciales de données (le cas échéant)
Les parties ne prévoient pas le transfert de catégories particulières de données.
G : Opérations de traitement
a. Les Données à Caractère Personnel seront traitées conformément au Contrat (y compris le présent ATD) et peuvent faire l'objet des activités de Traitement suivantes :
b. Stockage et autre Traitement nécessaire pour fournir, maintenir et améliorer les Produits et/ou Services qui vous sont fournis ; et/ou
Divulgation conformément au Contrat (y compris le présent ATD) et/ou si les lois applicables l'exigent.
Annexe 2 de l’ATD- Mesures de sécurité
Nous respectons actuellement les mesures de sécurité décrites dans la politique de sécurité informatique de SHL, disponible ici : https://www.shl.com/legal/security-and-compliance/information-security/.