Skip to Main

Avenant relatif au traitement des données LexisNexis

1. CHAMP D'APPLICATION ET DÉFINITIONS

1.1. Cet Avenant relatif au traitement des données personnelles (ci-après désigné l’« Avenant ») fait partie du contrat (ci-après désigné le « Contrat ») conclu entre le client (« Client », « vous », « votre ») et l'entité LexisNexis (« LexisNexis », « nous », « notre ») dans le cadre de la fourniture de solutions et de services associés (ci-après désigné les « Services ») au Client ou le cas échéant à ses filiales et dans lequel cet « Avenant » est référencé. Le présent Avenant s'applique aux traitements de données à caractère personnel mis en œuvre par LexisNexis et ceux réalisés pour le compte du Client en vertu du Contrat.

1.2. « Les lois relatives à la protection des données » désignent toutes les lois, réglementations, ordonnances et autres exigences gouvernementales applicables en matière de confidentialité et de protection des données, y compris celles de l'Union européenne (« Union »), du Royaume-Uni (« Royaume-Uni ») et des États-Unis. « RGPD » désigne le règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement Général sur la Protection des Données). Les termes « personne concernée », « données personnelles », « violation de données personnelles », « traitement » et « sous-traitant » auront la signification qui leur est attribuée dans les lois relatives à la protection des données, et lorsque ces lois utilisent le terme « informations personnelles », il doit être lu comme une donnée à caractère personnel.

2. TRAITEMENT

2.1. Nous mettrons en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences des lois applicables relatives à la protection des données et garantisse que la protection des droits de la personne concernée et le niveau de protection sera au moins comparable à la protection requise en vertu les lois applicables à la protection des données.

2.2. Nous n'engagerons pas un autre sous-traitant sans votre autorisation écrite spécifique ou générale préalable. Dans le cas d'une autorisation écrite générale prévu au Contrat, nous vous informerons de tout changement prévu concernant l'ajout ou le remplacement de sous-traitants, vous donnant ainsi la possibilité de vous opposer à de tels changements comme indiqué ci-dessous.

2.3. Notre traitement de données personnelles en qualité de « sous-traitant » au sens du RGPD sera régi par cet Avenant. Nous nous engageons notamment à:

  1. ne traiter, consulter ces données à caractère personnel que dans le cadre des instructions du Client, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu du droit de l'Union européenne, Le Royaume Uni ou un Etat membre de l’Union; dans ce cas, nous vous informerons de cette obligation avant le traitement, sauf si la loi interdit une telle information pour des motifs importants d'intérêt public;
  2. S’assurer que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée;
  3. prendre toutes les mesures requises en vertu de l’article 32 du RGPD;
  4. respecter les conditions visées aux paragraphes 2.2 et 2.4 pour engager un autre sous-traitant;
  5. compte tenu de la nature du traitement, vous assister en prenant les mesures techniques et organisationnelles appropriées, décrites ci-dessous, dans la mesure du possible, pour remplir votre obligation de répondre aux demandes d'exercice des droits de la personne concernée énumérés au chapitre III du RGPD;
  6. vous aidez à assurer le respect des obligations en vertu des articles 32 à 36 du RGPD compte tenu de la nature du traitement et des informations dont nous disposons;
  7. à votre demande, supprimer ou vous restituer toutes les données personnelles après la fin de la fourniture de Services relatifs au traitement et supprimer les copies existantes à moins que le droit de l'Union, du Royaume-Uni ou des États membres n'exige le stockage des données personnelles;
  8. mettre à votre disposition toutes les informations nécessaires pour démontrer le respect des obligations énumérées à l'article 28 du RGPD et permettre et contribuer aux audits, y compris les inspections, menés par vous ou un autre auditeur que vous mandatez.

Nous vous informerons, dans les plus brefs délais, si, à notre avis, une instruction de votre part à notre égard enfreint les lois relatives à la protection des données. Dans cette hypothèse, l’instruction concernée sera suspendue le temps pour les Parties de trouver un accord par écrit.

2.4. Lorsque nous engageons un autre sous-traitant pour effectuer des activités de traitement spécifiques en votre nom, les mêmes obligations de protection des données que celles énoncées dans le présent Avenant seront imposées à cet autre sous-traitant par le biais d'un contrat ou d'un autre acte juridique en vertu du droit de l'Union, du Royaume-Uni ou d'un État membre, en particulier en fournissant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Si cet autre sous-traitant ne remplit pas ces obligations de protection des données, nous resterons (sous réserve des conditions du présent Avenant et du Contrat) entièrement responsables envers vous de l'exécution des obligations de cet autre sous-traitant.

2.5 L’objet de notre traitement est le traitement des données personnelles fournies dans le cadre des Services en vertu du Contrat. La durée du traitement prévue est celle de la fourniture des Services dans le cadre du Contrat. La nature et le but du traitement sont liés à la fourniture des Services en vertu du Contrat. En notre qualité de « sous-traitant », il nous est interdit de conserver, d'utiliser ou de divulguer les données personnelles à des fins autres que dans le but spécifique de l'exécution des Services en vertu du Contrat, ou dans la mesure permise par la loi applicable, y compris la conservation, l'utilisation ou la divulgation des données personnelles à des fins commerciales autre que la fourniture des Services. Les types de données personnelles traitées sont notamment les noms et prénoms, coordonnées de contact et / ou d'autres types de données personnelles liées à la fourniture des Services (données de connexion et de traçabilité, etc..). Les catégories de personnes concernées sont vos représentants, utilisateurs des Services et / ou clients, prospects, fournisseurs, partenaires commerciaux et autres dont les données personnelles peuvent être soumises aux Services.

2.6. Le Contrat, y compris cet Avenant, ainsi que votre utilisation et votre configuration des Services, constituent vos instructions documentées complètes et finales pour le traitement des données personnelles. Des instructions supplémentaires ou alternatives doivent être convenues séparément par les Parties par voie d’avenant. Nous nous assurerons que notre personnel engagé dans le traitement des données personnelles traitera ces données uniquement sur vos instructions documentées, sauf si cela est requis par l'Union, le Royaume-Uni, l'État membre ou toute autre loi applicable.

2.7 À l'expiration ou à la résiliation du Contrat, nous supprimerons ou vous restituerons vos données personnelles conformément aux conditions et délais énoncés dans le Contrat, à moins que l'Union, le Royaume-Uni, l'État membre ou toute autre loi applicable exige le stockage continu des données personnelles.

3. SOUS-TRAITANTS

3.1. Par cet Avenant, vous nous donnez votre consentement général pour le recrutement d'autres sous-traitants à des fins de traitement des données à caractère personnel. Nous maintiendrons une liste de ces sous-traitants à l’adresse suivante https://www.lexisnexis.com/global/privacy/fr/subprocessor-lnf.page, que nous pouvons mettre à jour à tout moment. Au moins 14 jours avant d'autoriser un nouveau sous-traitant à traiter des données personnelles, nous mettrons à jour la liste à la page indiquée et LexisNexis fournira un mécanisme permettant au Client d'être avertis de cette mise à jour. Vous pouvez vous opposer par écrit au changement en nous avisant dans les 14 jours suivant la mise à jour du site Web et en décrivant vos raisons de vous y opposer. Sans préjudice de tout droit de remboursement ou de résiliation applicable que vous avez en vertu du Contrat, nous déploierons tous les efforts raisonnables pour éviter de traiter les données personnelles par ce nouveau sous-traitant auquel vous vous opposez raisonnablement. En cas d’impossibilité pour LexisNexis de traiter les données personnelles sans ce nouveau sous-traitant, le Contrat sera résilié pour convenance entre les Parties dans un délai de 15 jours calendaires à compter de la réception de la notification d’opposition du Client.

4. DROITS DES PERSONNES

4.1. Conformément à la réglementation applicable en matière de protection des données personnelles, nous vous informerons dans les meilleurs délais de toute demande de personne concernée que nous recevons et coopérerons raisonnablement avec vous pour remplir vos obligations en vertu des lois applicables relatives à la protection des données en relation avec ces demandes. Le Client supportera tous frais raisonnables découlant de l'assistance que LexisNexis fournira au regard du respect de telles obligations.

5. TRANSFERT

5.1. Nous veillerons à ce que, dans la mesure où des données personnelles provenant de votre pays sont transférées vers un autre pays, ce transfert soit soumis à des mécanismes et protections appropriés conformément aux lois sur la protection des données (y compris le chapitre V du GDPR).

5.2 Dans la mesure où vous nous transférez des données à caractère personnel du Royaume-Uni, de la Suisse ou de l'EEE dans un pays ou un territoire situé en dehors de l'EEE qui n'a pas reçu une décision contraignante d'adéquation de la part de la Commission européenne ou d'une autorité nationale compétente en matière de protection des données, les Parties seront réputées avoir conclu les clauses contractuelles types de l'UE (sous-traitants) en ce qui concerne ce transfert, où vous êtes l'"exportateur de données", nous sommes l'"importateur de données", la clause facultative est supprimée et le contenu des annexes correspond au contenu respectif du présent Avenant et du Contrat, à moins que les parties ne puissent se prévaloir d'autres garanties appropriées en vertu des lois sur la protection des données (notamment l'article 46 du GDPR).

6. SÉCURITÉ DU TRAITEMENT

6.1. LexisNexis s’engage à établir, maintenir et fournir à première demande la description des mesures mis en œuvre pour protéger les données personnelles (étant rappelé que le Client est seul responsable de la sécurité, des modalités d’accès et de la protection des données personnelles sur son propre système d’information).

Au sens de l’article 32 du RGPD, Compte tenu de l'état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques dont le degré de probabilité et de gravité varie, les parties mettront en œuvre des mesures techniques et des mesures organisationnelles pour assurer un niveau de sécurité adapté au risque, incluant notamment, selon les besoins:

  1. pseudonymisation et le chiffrement des données à caractère personnel;
  2. des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement;
  3. des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à ces dernières en temps utile en cas d'incident physique ou technique; et
  4. une procédure permettant de tester, d'analyser et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles, afin d'assurer la sécurité du traitement.

6.2. Lors de l'évaluation du niveau de sécurité approprié, il conviendra de tenir compte en particulier des risques que présente le traitement, liés notamment à la destruction, à la perte, à l'altération, à la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou à l'accès à de telles données et ce, de manière accidentelle ou illicite.

6.3 Les Parties prendront des mesures raisonnables pour garantir que toute personne physique agissant sous l'autorité de l'une ou l'autre Partie et ayant accès aux données à caractère personnel les traite uniquement sur instruction de votre part, sauf si elle est tenue de les traiter par le droit de l'Union ou d'un État membre.

7. VIOLATION DE DONNÉES PERSONNELLES

7.1. Nous vous informerons dans les meilleur délais après avoir pris connaissance d'une violation de données personnelles et répondrons raisonnablement à vos demandes d'informations complémentaires pour vous aider à remplir vos obligations en vertu des lois sur la protection des données (y compris les articles 33 et 34 du RGPD).

8. REGISTRES DES ACTIVITÉS DE TRAITEMENT

8.1. Nous tenons et maintenons à jour tous les registres requis et dont le contenu est prévu par les lois applicables relatives à la protection des données (y compris l'article 30, paragraphe 2, du RGPD) et, dans la mesure où ils sont liés au traitement des données personnelles fait en votre nom, les mettrons à votre disposition sur demande.

9. AUDIT

9.1. Les audits doivent effectuées:

  1. sous réserve de l'exécution d'un accord de confidentialité ou de non-divulgation entre l’audité et l’auditeur;
  2. pas plus d’une fois par an, à moins que ne soit démontré le non-respect du présent avenant,, moyennant un préavis écrit de trente (30) jours et après avoir fourni un plan d’audit; et
  3. le plan d’audit précisant un moment, un lieu et une manière convenu d'un commun accord

10. CONFLIT

10.1. En cas de conflit ou d'incohérence entre les termes de cet Avenant et le Contrat, les termes de cet Avenant prévaudront dans la mesure requise par la loi.

Date d'entrée en vigueur: 25 mai 2018
Dernière mise à jour: 3 février 2021