Annexe Traitement des Données

Pièce B

Annexe Traitement des Données

La présente Annexe concerne les obligations détaillées dans le RGPD (défini ci-dessous) et s’applique aux organisations qui sont soit établies en Europe, soit offrent des biens et services à des particuliers en Europe, soit surveillent le comportement d’individus en Europe, en utilisant les services de SHL fournis à la Société selon une Commande. La présente Annexe fait partie du Contrat. Dans la mesure où une Commande a des dispositions incompatibles avec la présente Annexe, la présente Annexe prévaut.

« La Législation sur la protection des données » désigne la loi Informatique et libertés n°78-17 du 6 janvier 1978 et la directive 95/46/CE et toute autre loi ou réglementation applicable au traitement des données à caractère personnel et à la vie privée, telle que modifiée, révisée ou remplacée de temps à autre, notamment par l’application du Règlement Général sur la Protection des Données (UE) 2016/679 (“RGPD“).

A. Traitement de données conformément à l’article 28 (Sous-traitant) du RGPD

1. Article 28(1) – Mesures techniques et organisationnelles appropriées

Ceci est traité dans la section 3.3 des Conditions Générales comme suit :

En tant que Sous-traitant, SHL : (i) traitera les Données Personnelles conformément aux instructions raisonnables de la Société ou autrement ainsi qu’autorisé par le Contrat, et (ii) mettra en œuvre les contrôles de sécurité administratifs, techniques et physiques appropriés pour protéger les Données Personnelles contre tout accès, utilisation, divulgation ou modification non autorisées, ou destruction illégale ou perte accidentelle. SHL Group coopérera avec toute demande de Données Personnelles fournies par ou par l’intermédiaire de la Société à SHL Group, le cas échéant, sous réserve que cette demande ne viole pas les termes du Contrat.

2. Article 28(2) – Autorisation de sous-traitance de deuxième rang

Ceci est traité dans les sections 3.4 et 10.5 des Conditions Générales comme indiqué dans les clauses (a) et (b) respectivement ci-dessous :

(a) SHL ou ses Sociétés Affiliées peuvent divulguer des Données Personnelles à des Tiers (tel que défini ci-dessous) dans les circonstances limitées suivantes: (i) si SHL ou ses Sociétés Affiliées concernées achètent ou vendent des actifs commerciaux (ceci n’inclut pas les listes marketing ou toute destination marketing), (ii) si SHL ou une Société Affiliée conclut des contrats avec des Tiers pour exécuter ou fournir certains services au nom de SHL ou de l’une de ses Sociétés Affiliées, ou (iii) si SHL ou une de ses Sociétés Affiliées est tenu de divulguer ou de partager des Données Personnelles pour se conformer à toute obligation légale. SHL ou la Société Affiliée concernée exigera contractuellement que tout acheteur d’actifs de SHL ou de sa Société Affiliée incluant des Données Personnelles, ou tout Tiers fournissant des services au nom de SHL, fournisse le même niveau de protection pour les Données Personnelles que celui requis selon le Contrat et selon toute Loi applicable concernant la protection des données. Aux fins de la présente section, « Tiers » désigne toute personne ou entité autre que la Société, SHL Group, le Responsable du Traitement des données ou le Sous-Traitant ou toute autre personne habilitée à traiter des données pour le Responsable du Traitement des Données.

(b) Aux fins de l’exécution de ses obligations en application du Contrat, SHL peut utiliser ses Sociétés Affiliées, ou des sous-traitants qualifiés, et dans ce cas, ces Sociétés Affiliées ne seront pas considérées comme des sous-traitants et SHL demeurera responsable en tout temps.

(c) Afin d’éviter toute ambiguïté et aux fins du paragraphe 2. (b) ci-dessus, SHL demeurera en tout temps responsable de toutes ses Sociétés Affiliés et sous-traitants qualifiés.

3. Article 28(3)(a) – Instructions du Responsable de Traitement

SHL accepte de traiter les Données Personnelles uniquement conformément aux termes du Contrat, d’une Commande applicable et des instructions écrites raisonnables de la Société, sauf s’il en est autrement prévu par les lois applicables. Dans un tel cas, SHL informera la Société dans les plus brefs délais de l’obligation légale avant de traiter les Données Personnelles, à moins que cette loi n’interdise une telle information pour des motifs importants d’intérêt public.

4. Article 28(3)(b) – Confidentialité

SHL convient qu’elle veillera à ce que le personnel autorisé à traiter les Données Personnelles de la Société soit soumis à une obligation de confidentialité à l’égard de ces Données Personnelles.

5. Article 28(3)(c) – Mesures requises en application de l’Article 32

(a) SHL convient qu’elle a et doit maintenir un programme efficace de sécurité de l’information qui: (i) comprend des garanties administratives, techniques et physiques; et (ii) dispose de mesures techniques et organisationnelles appropriées; et dans chaque cas, est suffisant pour assurer la sécurité et la confidentialité des Données Personnelles, protéger contre toute menace ou danger anticipé pour la sécurité ou l’intégrité des Données Personnelles, protéger contre l’accès ou l’utilisation non autorisés des Données Personnelles, protéger les Données Personnelles contre toute utilisation illégale ou traitement non conforme aux dispositions du Contrat, et protéger les Données Personnelles contre leur perte, leur destruction, leur endommagement, leur modification ou leur divulgation.

(b) Sans préjudice de ce qui précède, ces sauvegardes et mesures doivent être appropriées pour protéger contre le préjudice résultant d’un traitement, d’une utilisation ou d’une divulgation non autorisée ou illégale, d’une perte accidentelle, d’une destruction ou de dommages aux ou causé par les Données Personnelles et leur nature, et doit inclure (au minimum): (i) la mise en œuvre des mesures prescrites par la législation sur la protection des données, et / ou toutes autres conditions ou dispositions pertinentes du Contrat ou de la Commande; (ii) la prise de mesures raisonnables pour assurer la fiabilité des employés ayant accès aux Données Personnelles; et (iii) la mise en œuvre et le maintien de mesures d’élimination raisonnables et la formation du personnel de SHL accédant aux Données Personnelles.

6. Article 28 (3)(d) – Engager un sous-traitant de deuxième rang

SHL s’engage à ce que, sauf dans les cas prévus par le Contrat, elle ne sous-traitera aucun traitement des Données Personnelles de la Société sans le consentement écrit préalable de la Société.

7. Article 28 (3)(e) – Mesures techniques et organisationnelles appropriées au regard des droits des personnes concernées

SHL convient qu’elle aidera la Société, dans la mesure du possible, à remplir les obligations de la Société de répondre aux demandes d’un Candidat relatives à l’exercice des droits individuels du Candidat, telles qu’énoncées au Chapitre III du RGPD.

8. Article 28 (3)(f) – Conformité avec les Articles 32 à 36

SHL convient de fournir les informations et l’assistance raisonnablement demandées par la Société, et dans les délais raisonnablement spécifiés par la Société, pour permettre à la Société de se conformer à ses obligations en application de la Législation applicable en matière de protection des Données, y compris dans la mesure du possible, à assister la Société à : (i) se conformer aux obligations de la Société de s’assurer que les Données Personnelles sont traitées et stockées en toute sécurité ; (ii) se conformer aux obligations de la Société d’informer les Candidats des violations graves des Données Personnelles ; (iii) réaliser des études d’impact sur la protection des Données et auditer le respect des études d’impact de la protection des données ; et (iv) consulter l’autorité de surveillance compétente, si nécessaire, à la suite d’une étude d’impact sur la protection des Données.

9. Article 28 (3)(g) – Suppression des données

SHL convient qu’elle devra, sur instruction écrite de la Société, rapidement et en toute sécurité soit : (i) retourner les Données Personnelles à la Société ; ou (ii) (à moins que son stockage continu par SHL ne soit requis par la loi applicable) supprimer les Données Personnelles.

10. Article 28 (3) (h) – Audit

(a) SHL mettra à la disposition de la Société toutes les informations nécessaires pour démontrer le respect des obligations énoncées à l’article 28 (Sous-traitance) du Règlement Général sur la Protection des Données (UE) 2016/679. La Société convient que la certification ISO 27001 actuelle de SHL sera utilisée pour satisfaire toute demande d’audit ou d’inspection par ou pour le compte de la Société, et SHL mettra ces rapports à la disposition de la Société.

(b) SHL informera immédiatement la Société si, de l’avis de SHL, une instruction donnée par la Société en application du paragraphe A.10 (a) enfreint toute disposition de la Législation sur la Protection des Données.

B. Responsabilité

1. Responsabilité pour les violations du RGPD

Sous réserve des Sections 5.1 et 5.3 des Conditions Générales, la responsabilité totale agrégée de SHL résultant directement du manquement de SHL à ses obligations en tant que Sous-Traitant selon le RGPD sera limitée au montant directement attribué aux actions de SHL ou à sa défaillance à se conformer au RGPD dans l’exécution de ses services. Les dommages suivants seront considérés comme des dommages directs recouvrables en application du Contrat et aucune des parties ne pourra prétendre ou affirmer que ces dommages sont indirects, spéciaux, accessoires, consécutifs ou punitifs ou autrement irrécupérables dans la mesure où ils résultent d’une violation du RGPD : ( i) tous les coûts et dépenses encourus par la Société pour enquêter et réparer les dommages causés aux données de la Société ; (ii) tous les coûts encourus par la Société dans le cadre de la notification légale à des tiers (y compris les personnes concernées) de l’accès non autorisé ou de l’utilisation des données de la Société relatives à ces personnes ; (iii) les amendes, pénalités et intérêts imposés à la Société à la suite de la violation ; et (iv) les honoraires raisonnables d’avocats.

C. Résumé du Traitement

1. Les Parties conviennent que les informations suivantes sont requises par le RGPD