Skip to main content
Sujets d'actualité :
L'éthique IFS EMDR Thérapie par le jeu
Voir tous les sujets sur la santé mentale

Conditions propres à la juridiction

1. Argentine

1.1. Applicabilité

Lorsque le traitement en vertu du présent Addenda relève de la Loi 25.326 sur la protection des données personnelles de la République argentine, du Décret réglementaire 1558/2001 ou de tout autre décret, règlement ou directive correspondant régissant le Traitement des données personnelles en Argentine (collectivement, les « Lois argentines sur la protection des données »), les dispositions du présent Addenda et de la présente section s’appliquent à ce Traitement.

1.2. Transferts restreints

En ce qui concerne tout transfert restreint soumis aux lois argentines sur la protection des données entre les parties, l’un des mécanismes de transfert suivants s’appliquera dans l’ordre de priorité suivant :

  1. une décision d’adéquation valide adoptée par le Bureau national argentin de protection des données personnelles (« NBPDP »);
  2. les clauses contractuelles types appropriées, telles qu’elles sont promulguées de temps à autre par le NPDPD; ou
  3. tout autre mécanisme de transfert de données légal, tel que prévu par les lois argentines sur la protection des données.

1.3. Clauses contractuelles types

  1. Lorsque cela est nécessaire, le présent addenda incorpore par renvoi les clauses contractuelles types. Les parties sont réputées avoir accepté, exécuté et signé les clauses contractuelles types lorsque cela est nécessaire dans leur intégralité.
  2. Les parties conviennent que toute référence aux annexes dans la présente section sera réputée être la même que la référence apparentée et correspondante dans toute clause contractuelle type appropriée et mise à jour qui pourrait être applicable de temps à autre conformément à l’addenda.
  3. Aux fins des annexes à l’annexe II des causes contractuelles types promulguées par le NPDPD dans sa disposition 60-E/2016 (« CSC argentines ») et de toute CSC essentiellement similaire qui pourrait être adoptée par les autorités compétentes à l’avenir, le contenu de l’annexe A des CSC argentines est énoncé à la pièce A.
  4. Dans les cas où l’annexe II des clauses contractuelles types s’applique et qu’il y a un conflit entre les conditions du présent addenda et les conditions des clauses contractuelles types, les conditions des clauses contractuelles types prévaudront en ce qui concerne le transfert restreint en question.

1.4. Résiliation

À la résiliation de l’entente, le fournisseur de services détruira toutes les données personnelles qu’il a traitées au nom de PESI après la fin de la prestation des services liés au traitement et détruire toutes les copies des données personnelles, sauf si la loi applicable exige ou autorise le stockage de ces données personnelles.

2. Australie

S’il y a lieu, le traitement des PESI Les données personnelles doivent être conformes aux principes australiens de protection de la vie privée, à la loi australienne sur la protection de la vie privée (1988) ou à toute autre loi, réglementation ou décret applicable de l’Australie relative à la protection de ces informations.

3. Brésil

S’il y a lieu, le traitement des PESI Les données personnelles doivent être conformes à la Lei Geral de Proteção de Dados du Brésil, à la loi n° 13.709 du 14 août 2018 et à tous les décrets, règlements ou directives correspondants.

4. Bulgarie

4.1. Applicabilité

Lorsque le traitement en vertu du présent addenda relève du champ d’application de la loi bulgare sur la protection des données personnelles (telle que modifiée en novembre 2019), de la loi sur les communications électroniques ou de tout autre décret, règlement ou directive correspondant, les dispositions du présent addenda et de la présente section s’appliquent à ce traitement.

4.2. Généralités

  1. Le fournisseur de services doit retourner à PESI toute donnée personnelle traitée en vertu du présent addenda dans un délai d’un mois après avoir pris connaissance de toute donnée personnelle qui a été divulguée :
    1. sans base légale en vertu de l’article 6(1) du RGPD; ou
    2. contraire aux principes énoncés à l’article 5 du RGPD; ou, si cela est impossible ou impliquerait des efforts disproportionnés, effacer ou détruire les données personnelles; et
  2. Si les données personnelles sont effacées ou détruites conformément à l’article 4.2(a) des présentes conditions spécifiques à la juridiction ci-dessus, documentez cet effacement et cette destruction.

5. Le Canada

S’il y a lieu, le traitement des PESI Les données personnelles doivent être conformes à la Loi fédérale canadienne sur la protection des renseignements personnels et les documents électroniques et à toute autre loi canadienne applicable en matière de protection de la vie privée ou des données.

6. Colombie

6.1. Applicabilité

Lorsque le Traitement en vertu du présent Addendum relève du champ d’application de la Loi colombienne sur la protection des données n° 1581 de 2012 (« Loi n° 1581 sur la protection des données »), du Décret sur la protection des données n° 1377 de 2013 (« Décret sur la protection des données ») et de tout décret, règlement ou orientation correspondant (collectivement les « Lois colombiennes sur la protection des données »), les dispositions du présent Addendum et de la présente section s’appliquent à ce Traitement.

6.2. Généralités

Le fournisseur de services doit se conformer à toutes les exigences applicables aux sous-traitants en vertu des lois colombiennes sur la protection des données, y compris, mais sans s’y limiter, les obligations en vertu de l’article 18 de la loi n° 1581 sur la protection des données et des articles 11, 23 et 25 du décret sur la protection des données. Le fournisseur de services doit également se conformer à la PESI, le cas échéant.

6.3. Éléments contractuels

Cet addenda énonce les éléments contractuels supplémentaires requis en vertu de l’article 25 du décret sur la protection des données, tels que l’étendue du traitement, les activités que le fournisseur de services est autorisé à effectuer PESI, les obligations du fournisseur de services relatives à PESI et les obligations des personnes concernées et du fournisseur de services de protéger la sécurité et la confidentialité des données personnelles.

7. Espace économique européen

7.1. Définitions

  1. « EEE » désigne l’Espace économique européen, composé des États membres de l’UE, de l’Islande, du Liechtenstein et de la Norvège.
  2. « Lois sur la protection des données de l’EEE » désigne le RGPD de l’UE et toutes les lois et réglementations de l’UE et des pays de l’EEE applicables au traitement des PESI Données personnelles.
  3. « RGPD de l’UE » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, tel que modifié de temps à autre.
  4. « clauses contractuelles types UE 2021 » désigne les clauses contractuelles adoptées par la décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil.

7.2. Transferts restreints

En ce qui concerne tout transfert restreint soumis aux lois sur la protection des données de l’EEE, l’un des mécanismes de transfert suivants s’appliquera, dans l’ordre de priorité suivant :

  1. Une décision d’adéquation valide adoptée par la Commission européenne sur la base de l’article 45 du RGPD de l’UE;
  2. Les clauses contractuelles types appropriées adoptées par la Commission européenne de temps à autre; ou
  3. Tout autre mécanisme de transfert de données légal, tel que prévu dans les lois sur la protection des données de l’EEE, selon le cas.

7.3. Clauses contractuelles types

  1. Le présent addenda incorpore par renvoi les clauses contractuelles types. Les parties sont réputées avoir accepté, signé et signé les clauses contractuelles types lorsque cela est nécessaire dans leur intégralité (y compris les annexes à celles-ci).
  2. Les parties conviennent que toute référence aux clauses, annexes, modules et choix dans les clauses contractuelles types sera réputée être la même que les références apparentées et correspondantes dans toute clause contractuelle type appropriée et mise à jour qui peut être applicable de temps à autre conformément au présent addenda.
  3. Aux fins des clauses contractuelles types de l’UE 2021 et de toute clause contractuelle type substantiellement similaire qui pourrait être adoptée par les autorités compétentes à l’avenir :
    1. Les parties conviennent d’appliquer les modules suivants :
      1. le deuxième module en ce qui concerne les transferts restreints de contrôleur à sous-traitant;
      2. le module quatre en ce qui concerne les transferts restreints de processeur à contrôleur;
    2. Article 7 : Les parties choisissent de ne pas inclure la clause d’amarrage facultative.
    3. Alinéa 9a) : Les parties choisissent l’option 2, « Autorisation écrite générale », et le délai prévu à l’article 6.3 du présent addenda. Les procédures de désignation et d’avis des nouveaux transformateurs contractuels sont énoncées plus en détail à la section 6 du présent addenda.
    4. Article 11 : Les parties choisissent de ne pas inclure le libellé facultatif relatif au recours à un organisme indépendant de règlement des différends.
    5. Article 13 (annexe I.C) : L’autorité de contrôle compétente est la Commission de protection des données d’Irlande.
    6. Article 17 : Les clauses sont régies par les lois de la République d’Irlande.
    7. Article 18 : Les parties conviennent que tout litige découlant des clauses contractuelles types sera résolu par les tribunaux de la République d’Irlande.
    8. Annexe I(A et B) : Le contenu de l’annexe I(A) est énoncé dans la partie A de la pièce A.
    9. Annexe II : Le contenu de l’annexe II est énoncé à l’annexe I de la pièce A.
    10. Annexe III : Le contenu de l’annexe III est énoncé à l’annexe II de la pièce A.

7.4. Modalités de la pièce C

Les modalités contenues dans la pièce C du présent addenda complètent les clauses contractuelles types.

7.5. Résolution des conflits

Dans les cas où les clauses contractuelles types s’appliquent et qu’il y a un conflit entre les conditions du présent addenda et les conditions des clauses contractuelles types, les conditions des clauses contractuelles types prévaudront en ce qui concerne le transfert restreint en question.

8. Israël

8.1. Applicabilité

Lorsque le traitement en vertu du présent addenda relève de la loi israélienne de 1981 sur la protection de la vie privée, du règlement sur la protection de la vie privée (sécurité des données) 5777-2017 et de tous les décrets, règlements ou directives correspondants (collectivement les « lois israéliennes sur la protection des données »), les dispositions du présent addenda et de la présente section s’appliquent à ce traitement.

8.2. Suppression ou retour des données personnelles

Après avoir retourné ou supprimé PESI Données personnelles conformément à l’article 10 de l’addenda, le fournisseur de services doit fournir PESI avec confirmation écrite qu’il n’en possède plus PESI Données personnelles.

8.3. Généralités

Le fournisseur de services doit aviser : PESI, au moins une fois par année (et dans un format convenu par les parties), sur la façon dont le fournisseur de services a mis en œuvre ses obligations dans l’addenda.

9. Singapour

9.1. Applicabilité

Lorsque le traitement en vertu de l’addenda relève de la loi de 2012 sur la protection des données personnelles de Singapour, du projet de loi de 2020 sur la protection des données personnelles, du règlement de 2021 sur la protection des données personnelles et de tout décret, règlement ou directive correspondant, les dispositions de l’addenda et de la présente section s’appliquent à ce traitement.

9.2. Conservation des données personnelles

Le fournisseur de services ne doit pas retenir : PESI Données personnelles (ou tout document ou dossier contenant PESI Données personnelles, électroniques ou autres) pour une période plus longue que nécessaire pour servir les objectifs de l’Entente.

9.3. Suppression ou retour des données personnelles

Après avoir retourné ou supprimé PESI Données personnelles conformément à l’article 10 de l’addenda, le fournisseur de services doit fournir PESI avec confirmation écrite qu’il n’en possède plus PESI Données personnelles.

10. Suisse

10.1 Définitions

  1. « PFPDT » désigne le commissaire fédéral suisse à la protection des données et à la transparence.
  2. Les « lois suisses sur la protection des données » comprennent la loi fédérale sur la protection des données telle que modifiée (« LPD ») et l’ordonnance relative à la loi fédérale sur la protection des données.

10.2 Transferts restreints

En ce qui concerne tout transfert restreint soumis aux lois suisses sur la protection des données entre les parties, l’un des mécanismes de transfert suivants s’appliquera, dans l’ordre de priorité suivant :

  1. Une décision d’adéquation valide adoptée par le PFPDT sur la base de l’article 6 du LPD;
  2. les clauses contractuelles types adoptées par le PFPDT; ou
  3. Tout autre mécanisme de transfert légal, tel que prévu par les lois suisses sur la protection des données.

10.3 Clauses contractuelles types

  1. Le présent addenda incorpore par renvoi les clauses contractuelles types de l’UE 2021, qui ont été adoptées pour utilisation par le PFPDT avec certaines modifications. Les parties sont réputées avoir accepté, signé et signé les clauses contractuelles types de l’UE 2021, le cas échéant, dans leur intégralité (y compris leurs annexes).
  2. Les parties intègrent et adoptent les clauses contractuelles types de l’UE 2021 pour les transferts restreints soumis aux lois suisses sur la protection des données de la même manière que celle énoncée à l’article 7.3 des présentes conditions spécifiques à la juridiction, sous réserve de ce qui suit :
    1. Article 13 (annexe I.C) : L’autorité compétente est le PFPDT. Rien dans la désignation de l’autorité de contrôle compétente par les parties ne doit être interprété comme empêchant les personnes concernées en Suisse de demander une réparation au PFPDT.
    2. Article 17 : Les clauses sont régies par les lois de la Suisse.
    3. Article 18 : Les parties conviennent que tout litige découlant des clauses contractuelles types sera résolu par les tribunaux suisses. Le choix du for par les parties ne peut être interprété comme interdisant aux personnes concernées ayant leur résidence habituelle en Suisse d’intenter une action en justice pour leurs droits en Suisse.
    4. Les références au « Règlement (UE) 2016/679 » et à ses articles spécifiques sont remplacées par des références à la LPD et à ses articles ou sections équivalents, dans la mesure où il existe des transferts restreints soumis à la législation suisse sur la protection des données.

10.4 Résolution des conflits

Dans les cas où les clauses contractuelles types s’appliquent et qu’il y a un conflit entre les conditions du présent addenda et les conditions des clauses contractuelles types, les conditions des clauses contractuelles types prévaudront en ce qui concerne le transfert restreint en question.

11. Royaume-Uni

11.1. Définitions

  1. Les « lois britanniques sur la protection des données » (telles qu’elles sont utilisées dans cette section) comprennent la loi sur la protection des données de 2018 et le RGPD britannique (tel que défini ci-dessous).
  2. « RGPD du Royaume-Uni » (tel qu’utilisé dans la présente section) désigne le règlement général sur la protection des données du Royaume-Uni, tel qu’il fait partie du droit de l’Angleterre et du Pays de Galles, de l’Écosse et de l’Irlande du Nord en vertu de l’article 3 de la loi de 2018 sur le retrait de l’Union européenne.
  3. « ICO du Royaume-Uni » (tel qu’utilisé dans la présente section) désigne le bureau du commissaire à l’information du Royaume-Uni.
  4. « IDTA du Royaume-Uni » (tel qu’utilisé dans la présente section) désigne l’accord international de transfert de données émis en vertu de l’article 119A(1) de la loi de 2018 sur la protection des données et approuvé par le Parlement du Royaume-Uni.

11.2 Transferts restreints

En ce qui concerne tout transfert restreint soumis aux lois britanniques sur la protection des données, l’un des mécanismes de transfert suivants s’appliquera, dans l’ordre de priorité suivant :

  1. Une décision d’adéquation valide adoptée en vertu de l’article 45 du RGPD du Royaume-Uni;
  2. L’IDTA du Royaume-Uni; ou
  3. Tout autre mécanisme de transfert de données légal, tel que prévu par les lois britanniques sur la protection des données, selon le cas.

11.3. IDTA du Royaume-Uni

  1. Le présent addenda incorpore par renvoi l’IDTA du Royaume-Uni. Les parties sont réputées avoir accepté, signé et signé l’IDTA du Royaume-Uni, le cas échéant, dans son intégralité.
  2. Aux fins des tableaux de l’IDTA du Royaume-Uni :
    1. Tableau 1 : Les renseignements exigés par le tableau 1 figurent à la partie A de la pièce A.
    2. Tableau 2 :
      • L’IDTA du Royaume-Uni est régie par les lois de l’Angleterre et du Pays de Galles.
      • Les parties conviennent que tout différend découlant de l’IDTA du Royaume-Uni sera résolu par les tribunaux d’Angleterre et du Pays de Galles.
      • Les rôles des parties en matière de contrôle et de transfert de données sont énoncés à la partie A de la pièce A.
      • Le RGPD du Royaume-Uni s’applique au traitement des données personnelles par l’importateur de données.
      • Le présent addenda et l’entente établissent les instructions pour le traitement des données personnelles.
      • L’importateur de données doit traiter les données personnelles pendant la période indiquée à la partie B de la pièce A. Les parties conviennent qu’aucune des parties ne peut résilier l’IDTA du Royaume-Uni avant la fin de cette période.
      • L’importateur de données ne peut transférer les données personnelles qu’à des sous-traitants contractuels autorisés (le cas échéant), tel qu’énoncé à l’article 6 du présent addenda, ou à des tiers que l’exportateur de données autorise par écrit ou dans le cadre de l’entente.
      • Chaque partie doit examiner cet addenda à intervalles réguliers, afin de s’assurer qu’il reste exact et à jour et continue d’offrir des mesures de protection appropriées aux données personnelles. Chaque partie effectuera ces Avis aussi souvent qu’il y a un changement aux données personnelles, aux fins du traitement, aux informations de l’importateur de données ou à l’évaluation des risques ou plus tôt.
    3. Tableau 3 : Le contenu du tableau 3 est énoncé à la partie B de la pièce A et peut être mis à jour conformément à la section 3.3 du présent addenda.
    4. Tableau 4 : Le contenu du tableau 4 est présenté à l’annexe I de la pièce A et peut être mis à jour conformément à la section 3.3 du présent addenda.
  3. La partie 2 (clauses de protection supplémentaire) et la partie 3 (clauses commerciales) de l’IDTA du Royaume-Uni sont mentionnées tout au long du présent addenda.
  4. Les termes contenus dans la pièce C du présent addenda complètent l’IDTA du Royaume-Uni.
  5. Dans les cas où l’IDTA du Royaume-Uni s’applique et qu’il y a un conflit entre les conditions du présent addenda et les conditions de l’IDTA du Royaume-Uni, les conditions de l’IDTA du Royaume-Uni prévaudront.

12. États-Unis d’Amérique

12.1. Applicabilité

Lorsque le traitement en vertu de l’addenda relève du champ d’application des lois américaines sur la protection des données (définies ci-dessous), les dispositions de l’addenda et de la présente section s’appliquent à ce traitement.

12.2. Définitions

  1. « Lois américaines sur la protection des données » incluent, individuellement et collectivement, les lois, lois et règlements étatiques et fédéraux adoptés par les États-Unis d’Amérique qui s’appliquent au traitement des données personnelles, tels que modifiés de temps à autre. Ces lois comprennent, sans s’y limiter :
    • la California Consumer Privacy Act de 2018, telle que modifiée, y compris la California Privacy Rights Act de 2020 (Cal. Civ. Code § 1798.100 et suivants), et la California Consumer Privacy Act Regulations, ainsi que tous les règlements d’application;
    • la Loi sur la protection de la vie privée du Colorado, Colo. Rev. Stat. § 6-1-1301 et suivants, ainsi que tous les règlements d’application;
    • la loi du Connecticut concernant la confidentialité des données et la surveillance en ligne, loi publique n° 22015;
    • la Loi sur la protection de la vie privée des consommateurs de l’Utah, Utah Code Ann. S 13-61-101 et suivants; et
    • la Virginia Consumer Data Protection Act, Va. Code Ann. § 59.1-571 et suivants.
  2. La « violation des données personnelles » (telle qu’utilisée dans l’addenda) comprend la « violation de la sécurité » et la « violation de la sécurité du système » telles que définies dans les lois applicables sur la protection des données des États-Unis.
  3. Les termes « Objectif commercial », « Objectif commercial », « Vendre » et « Partager » ont la même signification qu’en vertu des lois applicables sur la protection des données des États-Unis, et leurs termes apparentés et correspondants doivent être interprétés en conséquence.

12.3. Traitement des PESI Données personnelles

  1. PESI divulgue PESI Données personnelles au fournisseur de services uniquement pour : (i) des fins commerciales valides; et (ii) pour permettre au fournisseur de services d’exécuter les services.
  2. Le fournisseur de services ne doit pas :
    • Vendre ou partager PESI Données personnelles;
    • conserver, utiliser ou divulguer PESI les données personnelles à des fins commerciales autres que la fourniture des services spécifiés dans l’entente ou autrement autorisées par les lois américaines sur la protection des données;
    • conserver, utiliser ou divulguer PESI Données personnelles, sauf lorsque l’entente le permet; ou
    • Moissonneuse-batteuse PESI Données personnelles avec d’autres informations que le fournisseur de services traite pour le compte d’autres personnes ou que le fournisseur de services recueille directement auprès de la personne concernée, à l’exception du traitement à des fins commerciales. Le fournisseur de services certifie qu’il comprend ces interdictions et accepte de les respecter.

12.4. Résiliation

À la résiliation de l’entente, le fournisseur de services détruira, dès que possible, toutes les données personnelles qu’il a traitées au nom de PESI après la fin de la prestation des services liés au traitement et détruire toutes les copies des données personnelles, sauf si la loi applicable exige ou autorise le stockage de ces données personnelles.