Skip to Main

Avenant relatif au traitement des données LexisNexis (LexisNexis Data Processing Addendum)

Dernière mise à jour : 27 septembre 2021

1. CHAMP D'APPLICATION ET DÉFINITIONS

1.1. Cet Avenant relatif au traitement des données personnelles (ci-après désigné l’« Avenant ») fait partie du contrat (ci-après désigné le «Contrat ») conclu entre le client (« Client », vous », « votre ») et l'entité LexisNexis (« LexisNexis », « LN »« nous », « notre ») dans le cadre de la fourniture de solutions et de services associés (ci-après désignés les « Services ») au Client ou le cas échéant à ses filiales et dans lequel cet « Avenant » est référencé. Le présent Avenant s'applique aux traitements de données à caractère personnel mis en œuvre par LexisNexis et ceux réalisés pour le compte du Client en vertu du Contrat.

1.2. « Les lois relatives à la protection des données » désignent toutes les lois, règles, réglementations, décrets, ordonnances et autres exigences gouvernementales applicables en matière de confidentialité et de protection des données. Les termes « personne concernée », « données personnelles », « violation de données personnelles », « traitement » et « sous-traitant » auront la signification qui leur est attribuée dans les lois relatives à la protection des données, et lorsque ces lois utilisent des termes équivalent ou correspondant à « informations personnelles » au lieu de « données personnelles », ils seront lus comme tels dans le présent document.

2. TRAITEMENT

2.1. Nous mettons en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences des lois applicables relatives à la protection des données et qu’il garantisse que la protection des droits de la personne concernée, ainsi que le niveau de protection soient au moins d’un même niveau de protection requis en vertu des lois relatives à la protection des données.

2.2. Nous n'engageons pas un autre sous-traitant sans votre autorisation écrite spécifique ou générale préalable. Dans le cas d'une autorisation écrite générale, nous vous informerons de tout changement prévu concernant l'ajout ou le remplacement d'autres sous-traitants, vous donnant ainsi la possibilité de vous opposer à de tels changements comme indiqué ci-dessous.

2.3. Notre traitement de données personnelles en qualité de « sous-traitant » au sens du RGPD est régi par cet Avenant. Nous nous engageons notamment à :

  1. ne traiter, consulter ces données à caractère personnel que dans le cadre des instructions du Client, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu des lois applicables; dans ce cas, nous vous informerons de cette obligation avant le traitement, sauf si la loi interdit une telle information pour des motifs importants d'intérêt public ;
  2. S’assurer que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée ;
  3. prendre toutes les mesures de sécurité requises en vertu des lois relatives à la protection des données ;
  4. respecter les conditions visées aux paragraphes 2.2 et 2.4 pour engager un autre sous-traitant ;
  5. compte tenu de la nature du traitement, vous assister en prenant les mesures techniques et organisationnelles appropriées, décrites ci-dessous, dans la mesure du possible, pour remplir votre obligation de réponse à des demandes d'exercice des droits de la personne concernée énumérés par les lois relatives à la protection des données ;
  6. à votre demande, supprimer ou vous restituer toutes les données personnelles après la fin de la fourniture de Services relatifs au traitement et supprimer les copies existantes à moins que le droit applicable n'exige le stockage des données personnelles ;
  7. mettre à votre disposition toutes les informations nécessaires pour démontrer le respect des obligations énumérées par les lois relatives à la protection des données et permettre et contribuer aux audits, y compris les inspections, menés par vous ou un autre auditeur que vous mandatez.
  8. mettre à votre disposition toutes les informations nécessaires pour démontrer le respect des obligations énumérées à l'article 28 du RGPD et permettre et contribuer aux audits, y compris les inspections, menés par vous ou un autre auditeur que vous mandatez.

Nous vous informerons, rapidement si, à notre avis, une instruction de votre part à notre égard enfreint les lois relatives à la protection des données. Dans cette hypothèse, l’instruction concernée sera suspendue le temps pour les Parties de trouver un accord par écrit.

2.4. Lorsque nous engageons un autre sous-traitant pour effectuer des activités de traitement spécifiques en votre nom, les mêmes obligations de protection des données que celles énoncées dans le présent Avenant, en substance, seront imposées à cet autre sous-traitant par le biais d'un contrat ou d'un autre acte juridique en vertu des lois applicables, en particulier en fournissant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences des lois relatives à la protection des données. Si cet autre sous-traitant ne remplit pas ces obligations de protection des données, nous restons (sous réserve des conditions du présent Avenant et du Contrat) entièrement responsables envers vous de l'exécution des obligations de cet autre sous-traitant.

2.5. L’objet de notre traitement est le traitement de données personnelles fournies dans le cadre des Services en vertu du Contrat. La durée du traitement est la durée de la fourniture des Services en vertu du Contrat, jusqu'à suppression des données à caractère personnel conformément au Contrat. La nature et le but du traitement sont liés à la fourniture des Services en vertu du Contrat . Les types de données personnelles traitées sont liées à la fourniture des Services. Les catégories de personnes concernées sont celles soumises aux Services.

2.6. Le Contrat, y compris cet Avenant, ainsi que votre utilisation et votre configuration des Services, constituent vos instructions documentées complètes et finales pour le traitement des données personnelles. Des instructions supplémentaires ou alternatives doivent être convenues séparément par les Parties par voie d’avenant au Contrat. Nous nous assurerons que notre personnel engagé dans le traitement des données personnelles traitera ces données uniquement sur vos instructions documentées, sauf si cela est requis autrement par la loi applicable.

2.7. À l'expiration ou à la résiliation du Contrat, nous supprimerons ou vous restituerons les données personnelles conformément aux conditions et délais énoncés dans le Contrat, à moins que toute loi applicable exige le stockage continu des données personnelles.

3. SOUS-TRAITANTS

3.1. Par cet Avenant, vous nous donnez votre consentement général pour le recrutement d'autres sous-traitants à des fins de traitement des données à caractère personnel contenus dans notre liste de ces sous-traitants sur https://www.lexisnexis.com/global/privacy/fr/subprocessor-lnf.page, que nous pouvons mettre à jour à tout moment. Nous vous informerons de tout changement en mettant à jour la liste sur notre site Web, au moins 14 jours en avance. Vous pouvez vous opposer par écrit au changement en nous avisant dans les 14 jours suivant la mise à jour de la liste en décrivant vos raisons de vous y opposer. Sans préjudice de tout droit de remboursement ou de résiliation applicable que vous avez en vertu du Contrat, nous déploierons tous les efforts raisonnables pour éviter de traiter les données personnelles par ce nouveau sous-traitant auquel vous vous opposez raisonnablement. En cas d’impossibilité pour LexisNexis de traiter les données personnelles sans ce nouveau sous-traitant, le Contrat sera résilié pour convenance entre les Parties dans un délai de 15 jours calendaires à compter de la réception de la notification d’opposition du Client.

4. DROITS DES PERSONNES

4.1. Conformément à la réglementation applicable en matière de protection des données personnelles, nous vous informerons rapidement de toute demande de personne concernée que nous recevons et coopérerons raisonnablement avec vous pour remplir vos obligations en vertu des lois applicables relatives à la protection des données en relation avec ces demandes. Le Client supportera tous frais raisonnables découlant de l'assistance que LexisNexis fournira au regard du respect de telles obligations.

5. TRANSFERT

5.1. Nous veillons à ce que, dans la mesure où des données personnelles provenant de votre pays sont transférées vers un autre pays, ce transfert soit soumis à des mécanismes et protections appropriés conformément aux lois sur la protection des données.

6. SÉCURITÉ DU TRAITEMENT

LexisNexis s’engage à établir, maintenir et fournir à première demande la description des mesures mis en œuvre pour protéger les données personnelles (étant rappelé que le Client est seul responsable de la sécurité, des modalités d’accès et de la protection des données personnelles sur son propre système d’information).

Compte tenu de l'état de la connaissance, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques dont le degré de probabilité et de gravité varie, les parties mettront en œuvre des mesures techniques et des mesures organisationnelles pour assurer un niveau de sécurité adapté au risque, incluant notamment, selon les besoins:

  1. la pseudonymisation et le chiffrement des données à caractère personnel ;
  2. des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement ;
  3. des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à ces dernières en temps utile en cas d'incident physique ou technique ; et
  4. une procédure permettant de tester, d'analyser et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles, afin d'assurer la sécurité du traitement.

6.2. Lors de l'évaluation du niveau de sécurité approprié, il conviendra de tenir compte en particulier des risques que présente le traitement, liés notamment à la destruction, à la perte, à l'altération, à la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou à l'accès à de telles données et ce, de manière accidentelle ou illicite.

6.3. Les Parties prendront des mesures raisonnables pour garantir que toute personne physique agissant sous l'autorité de l'une ou l'autre Partie et ayant accès aux données à caractère personnel les traite uniquement sur instruction de votre part, sauf si elle est tenue de les traiter autrement par le droit applicable.

7. VIOLATION DE DONNÉES PERSONNELLES

7.1. Nous vous informerons, dans les meilleurs délais, après avoir pris connaissance d'une violation de données personnelles et répondrons raisonnablement à vos demandes d'informations complémentaires pour vous aider à remplir vos obligations en vertu des lois sur la protection des données.

8. REGISTRES DES ACTIVITÉS DE TRAITEMENT

8.1. Nous conservons tous les registres requis par les lois applicables relatives à la protection des données et, dans la mesure où ils sont liés au traitement des données personnelles fait en votre nom, les mettons à votre disposition sur demande.

9. AUDIT

9.1. Les audits du Client concernant les présentes seront effectuées, le cas échéant:

  1. sous réserve de l'exécution d'un accord de confidentialité ou de non-divulgation entre l’audité et l’auditeur;
  2. pas plus d’une fois par an, à moins que ne soit démontré le non-respect du présent Avenant, moyennant un préavis écrit de trente (30) jours et après avoir fourni un plan d’audit ; et
  3. à un moment, un lieu et une manière convenus d'un commun accord écrit

10. CONFLIT

10.1. En cas de conflit entre les termes de cet Avenant et le Contrat, les termes de cet Avenant prévalent dans la mesure requise par la loi.

11. CONDITIONS SPÉCIFIQUES AUX JURIDICTIONS

11.1 Dans la mesure où nous traitons des données personnelles provenant de, ou autrement, soumises aux lois sur la protection des données de l'une des juridictions énumérées dans l'annexe au présent Avenant, les conditions qui y sont spécifiées en ce qui concerne la ou les juridictions applicables s'appliquent en plus des conditions précédentes.

ANNEXE

Conditions spécifiques à certaines juridictions

Dernière mise à jour : 27 septembre 2021

1. Espace économique européen et Suisse

1.1 Dans l’hypothèse où vous transférez des données personnelles pour les Services de l'Espace économique européen (« EEE ») ou de la Suisse à LN situé en dehors de l'EEE ou de la Suisse, à moins que les Parties ne puissent se fonder sur un autre mécanisme ou base de transfert en vertu des lois sur la protection des données, les Parties seront réputées avoir conclu les clauses contractuelles types approuvées par la décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 disponible à l'adresse https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj (« CCT de l’UE 2021 ») en ce qui concerne ce transfert, dans lequel vous êtes l' « exportateur de données », LN est l'« importateur de données », l'« autorité de contrôle compétente » est celle du pays où l'exportateur de données est établi, les notes de bas de page, la Clause 9(a) Option 1, la Clause 11(a) Option et la Clause 17 Option 1 sont omises, le délai dans la Clause 9(a) Option 2 est de 14 jours, le contenu des annexes applicables correspond au contenu respectif du DPA et de l'Accord, et (i) dans la mesure où vous agissez en tant que contrôleur et que LN agit en tant que sous-traitant, le module deux s'applique et les modules un, trois et quatre sont omis et (ii) dans la mesure où chaque partie agit en tant que sous-traitant, le module trois s'applique et les modules un, deux et quatre sont omis.

1.2 Les CCT de l’UE 2021 sont régies par la loi du pays où l'exportateur de données est établi.

1.3 Pour ces données, Tout litige découlant des CCT de l’UE 2021 sera résolu par les tribunaux du pays où l'exportateur de données est établi.

1.4 En cas de conflit entre les termes de l'Accord et les CCT de l’UE 2021, les CCT de l’UE 2021 prévaudront.

2. Royaume-Uni

2.1 Dans l’hypothèse où vous transférez des données à caractère personnel pour les Services du Royaume-Uni (« Royaume-Uni ») à LN situé en dehors du Royaume-Uni, à moins que les Parties ne puissent se fonder sur un autre mécanisme ou base de transfert en vertu des lois sur la protection des données, les Parties seront réputées avoir conclu les clauses contractuelles types approuvées par la décision 2010/87/CE de la Commission européenne du 5 février 2010, disponible sur https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A32010D0087 (« Clauses ») en ce qui concerne ce transfert, dans lesquelles vous êtes « l'exportateur de données », LN est « l'importateur de données », les clauses facultatives sont omises et le contenu des annexes correspond au contenu respectif du Contrat.

2.2 Pour ces données, les Clauses sont régies par les lois de l'Angleterre et du Pays de Galles. Toutes les références dans les Clauses à « Union », « UE », « État membre » et leurs lois sont remplacées par « Royaume-Uni » et les lois britanniques équivalentes.

2.3 Tout litige découlant des Clauses sera résolu par les tribunaux d'Angleterre et du Pays de Galles.

2.4 En cas de conflit entre les termes du Contrat et les Clauses, les Clauses prévaudront.

3. Californie, États-Unis

3.1 Dans l’hypothèse où LN traite des informations personnelles pour les Services dans le cadre de la loi californienne de 2018 sur la protection de la vie privée des consommateurs (CCPA) en votre nom, il est interdit à LN de conserver, d'utiliser ou de divulguer les informations personnelles à des fins autres que l'objectif spécifique d'exécution des Services spécifiés dans le Contrat pour vous, ou comme autrement autorisé par la CCPA, y compris la conservation, l'utilisation ou la divulgation des informations personnelles à des fins commerciales (comme ce terme est défini dans la CCPA) autres que la fourniture des services spécifiés dans le Contrat.

4. Afrique du Sud

Dans l’hypothèse où LN traite des informations personnelles pour les Services dans le cadre de la loi sud-africaine sur la protection des informations personnelles n° 4 de 2013 (POPIA) pour le Client, LN établira et maintiendra les mesures de sécurité mentionnées dans la section 19 de la POPIA. LN informera immédiatement le Client lorsqu'il existe des motifs raisonnables de croire que les informations personnelles d'une personne concernée ont été consultées ou acquises par une personne non autorisée.