1. Introduction

Cet addendum sur la protection des données («Addenda") est convenu entre Portant PTY LTD., une société de NSW, Australie ("Portant»), et le Client, à compter de la date à laquelle le Client est dûment inscrit pour utiliser les services fournis par Portant. Cet Addendum régit le traitement des données personnelles du client par Portant conformément à l'accord signé entre Portant et le client concernant la fourniture des services de Portant (le «Conditions générales»).

2. Terminologie

Dans le contexte de la présente annexe, les définitions ci-dessous s'appliquent. Tous les termes en majuscules utilisés mais non définis dans les présentes auront la signification qui leur est attribuée dans les Conditions générales.
2.1. "Entité associée» fait référence à toute entité ayant un contrôle direct ou indirect sur, étant contrôlée par ou sous un contrôle commun avec l'entité de référence, où « contrôle » signifie le pouvoir de guider ou d'influencer la gestion de l'entité de référence, soit par la propriété d'actions avec droit de vote, par contrat ou autrement.
2.2. "CCPA» désigne la California Consumer Privacy Act de 2018, sous réserve de modifications.
2.3. "Données personnelles du client» encapsule toutes les données client (telles que définies dans les conditions générales) qui sont considérées comme des données personnelles. Dans cet Addendum, les données personnelles du client excluent les détails personnels des employés ou représentants du client engagés dans des interactions commerciales directes avec Portant.
2.4. "Législation sur la confidentialité» comprend, pour chaque partie, toutes les lois et réglementations en matière de confidentialité, de protection des données et de sécurité des informations applicables au traitement des données personnelles par la partie, englobant la législation de l'UE sur la confidentialité et le CCPA, le cas échéant.
2.5. "Données Individuelles« désigne la personne physique identifiée ou identifiable à laquelle se rapportent les Données Personnelles.
2.6. "Législation européenne sur la confidentialité» fait référence au Règlement de l'Union européenne 2016/679 (« RGPD ») ainsi qu'à toute loi nationale mettant en œuvre le RGPD, sous réserve de modifications.
2.7. "Traitement« désigne toute action ou ensemble d'actions réalisées sur des Données Personnelles ou sur des ensembles de Données Personnelles, avec ou sans moyens automatisés, telles que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion, l'alignement, la combinaison, la restriction, l'effacement ou la destruction.
2.8. "Données personnelles» fait référence aux « données personnelles », aux « informations personnelles », aux « informations personnellement identifiables » ou aux informations analogues telles que définies et régies par la législation sur la confidentialité.
2.9. "Événement de sécurité« désigne une violation confirmée de la sécurité, non autorisée ou illégale, entraînant une destruction, une perte, une altération, une divulgation non autorisée ou un accès accidentel ou illégal aux données personnelles traitées par Portant. Les événements de sécurité n'englobent pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des données personnelles, comme les tentatives de connexion infructueuses, les pings, les analyses de ports, les attaques par déni de service ou autres attaques contre les pare-feu ou les systèmes en réseau.
2.10. "Sous-traitant« fait référence à tout tiers autorisé par Portant ou ses entités associées à traiter les données personnelles des clients.
2.11. "Sous-traitant externe« désigne tout sous-traitant non affilié à Portant.
2,12"Cadre de confidentialité des données UE-États-Unis (DPF)" Un cadre adopté par la Commission européenne qui autorise les transferts de données personnelles de l'UE vers des organismes certifiés aux États-Unis, à compter du 10 juillet 2023.

3. Général ; Résiliation

3.1. Cette Annexe fait partie intégrante des Conditions Générales. Sauf mention explicite dans la présente Annexe, les Conditions Générales restent inchangées et pleinement applicables. En cas de divergences entre la présente annexe et les conditions générales, la présente annexe prévaudra.
3.2. Toute responsabilité encourue en vertu de la présente annexe est soumise aux limitations de responsabilité stipulées dans les conditions générales.
3.3. La gouvernance et l'interprétation de la présente annexe seront conformes aux lois applicables et aux dispositions juridictionnelles contenues dans les conditions générales, à moins que la législation sur la confidentialité n'exige le contraire.
3.4. Cette annexe prendra automatiquement fin à la résiliation ou à l'expiration des conditions générales.

4. Portée de cet addendum

Cet Addendum régit le traitement des données personnelles des clients par Portant conformément aux Conditions générales, bien que l'Annexe A (Annexe UE) de cette Annexe soit applicable uniquement à ce traitement des données personnelles des clients régi par la législation de l'UE sur la confidentialité et que l'Annexe B (Annexe Californie) de cette Annexe soit applicable uniquement à ce traitement des données personnelles des clients régi par le CCPA.

5. Rôle et étendue du traitement

5.1. Portant traitera les données du client exclusivement conformément aux directives du client. En entrant dans les Conditions générales, le Client demande à Portant de traiter les données du client pour la fourniture de services et selon toute autre instruction écrite fournie par le Client et reconnue par écrit par Portant comme constituant des instructions aux fins de la présente Annexe. Le client reconnaît et accepte que cette instruction autorise Portant à traiter les données du client (a) pour remplir ses responsabilités et exercer ses droits en vertu des conditions générales ; et (b) respecter les obligations légales et établir, exercer ou défendre des réclamations légales concernant les Conditions générales.
5.2. Pour plus de clarté, rien dans cette annexe n'empêche Portant de transmettre des données client vers et entre des sources et des destinations comme indiqué par le client via les services. Les deux parties conviennent que ni les sources ni les destinations ne sont des sous-traitants de Portant et que, entre les parties, le client porte seul la responsabilité du traitement des données personnelles du client par, ainsi que des autres actes et omissions des sources et destinations ou des parties qui leur sont affiliées.

6. Sous-traitement

6.1. Le Client autorise explicitement Portant à employer ses entités associées en tant que sous-traitants ultérieurs, et autorise généralement Portant à engager des sous-traitants externes pour le traitement des données personnelles du client. Portant :
6.1.1. formalisera un accord écrit avec chaque sous-traitant ultérieur, exigeant des obligations de protection des données sensiblement similaires à celles décrites dans la présente annexe ; et
6.1.2. reste responsable du respect des obligations de la présente Annexe et de toute action ou omission du Sous-traitant ultérieur amenant Portant à violer l'une de ses obligations en vertu de la présente Annexe.
6.2. Lors de l'engagement d'un nouveau sous-traitant externe, Portant informera le client de cet engagement, qui peut être transmis en mettant à jour la page du sous-traitant externe et par le biais d'un message dans l'espace de travail Portant du client. Portant fournira un tel avis au moins dix (10) jours calendaires avant que le nouveau sous-traitant ultérieur ne traite les données personnelles du client, sauf si Portant juge raisonnablement l'engagement accéléré d'un nouveau sous-traitant ultérieur nécessaire pour protéger la confidentialité, l'intégrité ou la disponibilité des données personnelles du client ou pour éviter une interruption substantielle des services. Portant fournira un tel avis dès que possible dans de tels scénarios. Si le client notifie à Portant par écrit son objection à la nomination par Portant d'un nouveau sous-traitant externe en raison de problèmes justifiables en matière de protection des données dans les cinq (5) jours calendaires suivant cet avis, les deux parties discuteront à l'amiable de ces préoccupations et de leur résolution. Si un accord mutuel pour résoudre ces problèmes est impossible, le Client peut, comme son seul et unique recours, résilier les Conditions générales pour des raisons de commodité.

7. Sécurité


7.1. Portant établira et maintiendra des garanties techniques et organisationnelles visant à protéger les données personnelles du client contre les incidents de sécurité, tout en garantissant la confidentialité et la sécurité des données personnelles du client, conformément aux normes de sécurité de Portant décrites dans le Page Confidentialité et sécurité.
7.2. Le client est chargé d'examiner les informations sur la sécurité des données fournies par Portant et de déterminer de manière indépendante si les services sont conformes aux exigences et aux obligations légales du client en vertu des lois sur la protection des données. Le client reconnaît que les mesures de sécurité peuvent être révisées périodiquement sur notification raisonnable pour garantir une amélioration continue ou s'adapter à l'évolution des pratiques, à condition que ces modifications ne diminuent pas matériellement les obligations de Portant telles que décrites à la date d'entrée en vigueur.
7.3. Dès confirmation d'un incident de sécurité, Portant informera le client rapidement, sauf restriction par la loi applicable. Un retard dans la notification imposé par les forces de l'ordre ou pour permettre l'enquête ou les mesures correctives nécessaires de Portant ne sera pas considéré comme un retard injustifié. Les notifications détailleront, dans la mesure du possible, l'incident de sécurité, les mesures prises pour atténuer les risques potentiels et recommanderont des actions au client. Bien que Portant remplisse ses obligations en vertu de la présente section 7.c., le client reste seul responsable du respect des lois applicables concernant les notifications d'incidents de sécurité et de toute obligation de notification à des tiers. Les actions de Portant en réponse à un incident de sécurité conformément à la section 7.c. ne sera pas considéré comme une acceptation de faute ou de responsabilité concernant l’incident de sécurité.
7.4. Le Client accepte que, nonobstant les obligations de Portant en vertu du présent article 7, le Client est seul responsable de son utilisation des Services, ce qui comprend (a) l'utilisation des Services pour maintenir un niveau de sécurité adapté au risque concernant les Données du Client ; (b) sécuriser les informations d'authentification du compte, les systèmes et les appareils utilisés pour accéder aux Services ; (c) protéger les systèmes et appareils du Client interfacés avec les Services ; et (d) effectuer ses propres sauvegardes des données client.

8. Demandes des personnes concernées

Portant fournira, à la demande du Client (et aux frais du Client), l'assistance nécessaire pour aider le Client à remplir ses obligations en vertu des lois sur la protection des données concernant les demandes de droits des individus (par exemple, droits d'accès aux données, de rectification, d'effacement, de restriction, de portabilité et d'objection), lorsque le Client ne peut raisonnablement répondre à ces demandes en utilisant les fonctionnalités de libre-service des Services. Si Portant reçoit une demande d'une personne concernée concernant ses données personnelles client, Portant demandera à la personne concernée de soumettre sa demande au client, le client étant responsable de répondre à une telle demande.

9. Restitution ou suppression des données

9.1. À la demande du client après la résiliation ou l'expiration des conditions générales, Portant supprimera toutes les données personnelles du client des systèmes de Portant dans un délai de soixante (60) jours.
9.2. Malgré ce qui précède, le client comprend que Portant peut conserver les données personnelles du client si la loi l'exige, ces données continuant d'être régies par les stipulations du présent addendum.

Annexe A - Annexe UE

1. Définitions ; Traitement des données

1.1. Définitions. Dans le cadre de la présente Annexe A, les termes «contrôleur», «processeur», et «autorité de contrôle» sont tels que définis dans la loi européenne sur la protection des données ; "Clauses contractuelles types» se référer aux clauses contractuelles types pour les sous-traitants approuvées par la Commission européenne dans le cadre de la Clauses contractuelles types (CCT) tel que fourni dans l'espace de travail Portant du client ; "importateur de données» et «exportateur de données» sont tels que définis dans les Clauses Contractuelles Types.
1.2. Objet et détails du traitement. Les deux parties reconnaissent et acceptent que (a) l'objet du traitement en vertu des Conditions générales est la fourniture de services par Portant ; (b) la durée du traitement s'étend de la réception par Portant des données personnelles du client jusqu'à ce que toutes les données personnelles du client soient supprimées par Portant conformément à l'accord ; (c) la nature et la finalité du Traitement sont de fournir les Services ; (d) les personnes concernées par le traitement sont les clients, les utilisateurs finaux ou d'autres personnes liées aux données personnelles du client ; et (e) les catégories de données personnelles du client sont celles autorisées par le client à être ingérées dans les services en vertu du contrat.
1.3. Rôles et conformité réglementaire ; Autorisation. Les deux parties reconnaissent et conviennent que (a) Portant agit en tant que sous-traitant des données personnelles du client en vertu de la loi européenne sur la protection des données ; (b) Le client est un contrôleur des données personnelles du client en vertu de la loi européenne sur la protection des données ; et (c) chaque partie doit respecter les obligations respectives en vertu de la loi européenne sur la protection des données concernant le traitement des données personnelles des clients. Dans la mesure où les données d'utilisation (telles que définies dans l'accord) sont considérées comme des données personnelles, Portant est le contrôleur de ces données et traitera ces données conformément à sa politique de confidentialité, accessible à l'adresse suivante : https://www.portant.co/privacy-policy/.
1.4. Conformité de Portant aux instructions. Portant ne traitera les données personnelles du client que conformément aux instructions du client contenues dans le présent addendum, sauf si la loi européenne sur la protection des données l'exige autrement, auquel cas Portant informera le client (à moins que cette loi n'interdise à Portant de le faire).​

2. Sécurité des données


2.1. Mesures de sécurité, contrôles et assistance Portant2.1.1. Portant (compte tenu de la nature du traitement des données personnelles du client et des informations dont dispose Portant) fournira au client l'assistance nécessaire pour se conformer à ses obligations concernant les données personnelles du client en vertu de la loi de l'UE sur la protection des données, y compris les articles 32 à 34 (inclus) du RGPD, en (a) mettant en œuvre et maintenant les mesures de sécurité ; (b) adhérer aux termes de la section 7 du présent addendum ; et (c) se conformer à la présente annexe A.2.1.2. Portant autorisera l'accès aux données personnelles du client uniquement au personnel nécessitant un tel accès pour leurs fonctions professionnelles, dans le cadre d'obligations de confidentialité appropriées. Si l'employé d'un client souhaite exercer ses droits en vertu des lois de l'UE sur la protection des données (par exemple, droits d'accès aux données, de rectification, d'effacement, de restriction, de portabilité et d'opposition) concernant toute donnée d'utilisation qui constitue des données personnelles, le client s'engage à en informer Portant dans les plus brefs délais et à demander à son employé de contacter Portant directement via contact@portant.co.
2.2. Audits et examens de conformité. Si les lois applicables sur la protection des données accordent au client le droit d'auditer le traitement des données personnelles du client par Portant, le client exercera ce droit d'audit et Portant se conformera à ses obligations correspondantes, comme indiqué :
2.2.1. Portant fournira au client des informations pertinentes concernant le traitement par Portant des données personnelles du client en vertu du présent addendum, sous la forme des rapports d'audit les plus récents de Portant («Rapports de tiers»).
2.2.2. Au maximum une fois par année civile et aux frais du Client, le Client peut vérifier le traitement des données personnelles du client par Portant pour vérifier le respect des obligations en vertu du présent Addendum en soumettant des demandes d'informations raisonnables, y compris des questionnaires de sécurité et d'audit. Portant fournira des réponses écrites si les informations demandées sont cruciales pour confirmer la conformité de Portant avec cet addendum. Néanmoins, si un rapport tiers émis au cours de la période de 12 mois précédant la demande du client traite des informations demandées et que Portant confirme qu'aucun changement important ne s'est produit en rapport avec la demande du client, le client accepte d'accepter ce rapport tiers au lieu d'une réponse écrite. Toute information partagée par Portant en vertu de cette section 2.b. sont considérées comme des informations confidentielles de Portant en vertu de l’accord.
2.2.3. Dans le cas où un tiers est engagé pour effectuer un audit conformément à la présente section 2.b., Portant se réserve le droit de soulever des objections à l'égard de l'auditeur si, selon le jugement raisonnable de Portant, l'auditeur manque d'indépendance, est un concurrent de Portant ou n'est autrement pas qualifié. Une telle objection de Portant obligera le Client à désigner un autre auditeur ou à entreprendre l'audit en interne.
2.2.4. Le client doit informer rapidement Portant de toute non-conformité identifiée lors de l'audit et fournir à Portant tous les rapports d'audit générés en association avec tout audit en vertu de la présente section 2.b., sauf interdiction par la loi de l'UE sur la protection des données ou comme indiqué par une autorité de contrôle. Le client peut utiliser les rapports d'audit uniquement pour remplir ses obligations d'audit réglementaire et affirmer que le traitement des données personnelles du client par Portant adhère au présent addendum.
2.2.5. Le client devra compenser Portant pour tout temps passé par Portant ou ses sous-traitants ultérieurs en relation avec tout audit en vertu de la présente section 2.b. aux tarifs de services professionnels en vigueur de Portant, qui seront divulgués au client sur demande. Le Client supportera tous les frais encourus par tout auditeur désigné par le Client pour mener un tel audit. Rien dans le présent Addendum n'oblige Portant à partager plus d'informations concernant ses sous-traitants tiers lors de tels audits que ce que ces sous-traitants tiers divulguent généralement à leur clientèle. Rien dans cette section 2.b. nécessitera que Portant viole toute obligation de confidentialité.​

3. Évaluations d'impact et consultations

Portant peut, compte tenu de la nature du traitement et des informations accessibles à Portant, aider raisonnablement le client à remplir ses obligations en vertu des articles 35 et 36 du RGPD, en (a) fournissant une documentation décrivant les facettes pertinentes du régime de sécurité des informations de Portant et les mesures de sécurité qui y sont édictées ; et (b) offrir les autres informations incluses dans le Contrat, comprenant le présent Addendum.

4. Transferts de données


4.1. Installations de traitement des données. Sous réserve de la section 4.b., Portant peut stocker et traiter les données personnelles du client aux États-Unis ou dans tout endroit où Portant ou ses sous-traitants ultérieurs ont des installations. Adhérant aux obligations de Portant énoncées dans la présente section 4, le client est tenu de s'assurer que son utilisation des services est conforme à toutes les restrictions de transfert de données transfrontalières imposées par la loi de l'UE sur la protection des données.
4.2. Clauses contractuelles types. Si le client, étant établi dans l'UE, transfère les données personnelles du client hors de l'UE vers Portant dans un pays non reconnu par la Commission européenne comme ayant une protection des données adéquate, et que le bouclier de protection des données UE-États-Unis a été remplacé par le cadre de confidentialité des données UE-États-Unis (DPF), sans base de transfert alternative légale disponible, ce transfert sera régi par les clauses contractuelles types, dont les termes sont intégrés par les présentes dans le présent DPA. Conformément à ce qui précède, les parties conviennent que :
4.2.1. concernant les Clauses Contractuelles Types, (a) le Client agira en tant qu'exportateur de données et (b) Portant agira en tant qu'importateur de données ;

Remarque : Bien que Portant ait son siège en Australie, son infrastructure est hébergée aux États-Unis. Le 10 juillet 2023, la Commission européenne a adopté une décision d'adéquation pour le cadre de confidentialité des données UE-États-Unis (DPF), autorisant les transferts de données personnelles de l'UE vers des organisations basées aux États-Unis et certifiées selon le DPF. Portant s'appuie sur la certification DPF pour prendre en charge les transferts de données licites, ou bien sur les clauses contractuelles types, le cas échéant, pour garantir la conformité des transferts de données internationaux.

4.2.2. pour l'Annexe 1 des Clauses Contractuelles Types, les Personnes Concernées, les catégories de données et les opérations de traitement doivent être telles que définies à la Section 1.b. de la présente annexe A ;
4.2.3. pour l'Annexe 2 des Clauses Contractuelles Types, les mesures techniques et organisationnelles seront les Mesures de Sécurité ;
4.2.4. à la demande de l'exportateur de données en vertu des Clauses contractuelles types, l'importateur de données fournira les copies des accords de sous-traitant qui doivent être expédiées par l'importateur de données à l'exportateur de données conformément à la clause 5(j) des Clauses contractuelles types, l'importateur de données ayant la liberté d'omettre ou de rédiger au préalable toute information ou clause commerciale sans rapport avec les Clauses contractuelles types ou leur équivalent ;
4.2.5. les audits tels que décrits à la Clause 5(f) et à la Clause 12(2) des Clauses Contractuelles Types doivent être menés conformément à la Section 2.b. de la présente annexe A ;
4.2.6. les autorisations du Client dans la Section 6 du présent Addendum (Sous-traitement) signifieront le consentement écrit préalable du Client à la sous-traitance par Portant du Traitement des Données Personnelles du Client si un tel consentement est exigé en vertu de la Clause 5(h) des Clauses Contractuelles Types ;
4.2.7. la certification de suppression des données personnelles du client telle que décrite à l’article 12 (1) des clauses contractuelles types ne sera fournie qu’à la demande du client ; et
4.2.8. les Clauses Contractuelles Types expireront automatiquement une fois que le transfert des Données Personnelles des Clients qu'elles régissent deviendra licite en vertu du Chapitre V du RGPD sans qu'il soit nécessaire de recourir à de telles Clauses Contractuelles Types sur une autre base.

Annexe B - Annexe de Californie


1. Aux fins de la présente annexe B, les termes «entreprise», «but commercial», «fournisseur de services», «vendre», et «informations personnelles» ont la signification qui leur est attribuée dans le CCPA.
2. En ce qui concerne les données personnelles des clients, Portant agit en tant que fournisseur de services en vertu du CCPA.
3. Portant ne doit pas (a) vendre les données personnelles du client ; (b) conserver, utiliser ou divulguer les données personnelles du client à toute fin autre que dans le but spécifique de fournir les services, y compris la conservation, l'utilisation ou la divulgation des données personnelles du client à des fins commerciales autres que la fourniture des services ; ou (c) conserver, utiliser ou divulguer les données personnelles du client en dehors de la relation commerciale directe entre Portant et le client.
4. Les parties reconnaissent et conviennent que le traitement des données personnelles du client, tel qu'indiqué par les instructions du client décrites dans la section 5 du présent addendum, est fondamental et englobé dans la fourniture des services par Portant et dans l'engagement commercial direct entre les parties.
5. Indépendamment de toute disposition des Conditions générales ou de tout formulaire de commande associé à celles-ci, les parties reconnaissent et conviennent que l'accès de Portant aux données personnelles du client n'est pas considéré comme faisant partie de la contrepartie échangée entre les parties concernant les Conditions générales.
6. Dans la mesure où les données d'utilisation (telles que définies dans les conditions générales) sont considérées comme des données personnelles, Portant est l'entité commerciale en relation avec ces données et traitera ces données conformément à sa politique de confidentialité, accessible à l'adresse suivante : https://www.portant.co/privacy-policy/

Annexe C - Annexe du Royaume-Uni

1. Demandes d'accès aux personnes concernées

1.1 Portant aidera le client à répondre aux demandes d'accès des personnes concernées (DSAR) conformément à l'article 15 du RGPD britannique. À cette fin, Portant doit :
- Fournir au Client toutes les informations nécessaires pour répondre au DSAR, y compris les éventuelles données personnelles traitées par Portant pour le compte du Client.
- Assister le Client dans la vérification de l'identité de la personne concernée.
- Permettre au Client d'accéder aux données personnelles de la personne concernée, ou de les faire transmettre à un autre responsable du traitement, selon les instructions du Client.
- Aider le client à se conformer à toute autre exigence de l'article 15 du RGPD britannique.
1.2 Le client sera responsable de tous les coûts associés à l'assistance de Portant pour répondre aux DSAR.

2. Demandes de suppression des personnes concernées

2.1 Portant aidera le client à répondre aux demandes de suppression des personnes concernées (DSDR) conformément à l'article 17 du RGPD britannique. À cette fin, Portant doit :
- Supprimer toutes les données personnelles de la personne concernée traitées par Portant pour le compte du Client, sauf si Portant est tenu par la loi de conserver ces données.
- Fournir au Client la confirmation que les données personnelles de la personne concernée ont été supprimées.
2.2 Le client sera responsable de tous les coûts associés à l'assistance de Portant pour répondre aux DSDR.

3. Violations de données

3.1 Portant informera le Client de toute violation de données personnelles affectant les données personnelles du Client dans les 72 heures suivant la prise de connaissance de la violation.
3.2 Portant coopérera avec le client pour enquêter et remédier à toute violation de données personnelles.
3.3 Le client sera responsable de tous les coûts associés à la coopération de Portant pour enquêter et remédier aux violations de données personnelles.

Si votre organisation nécessite une version signée, vous pouvez la consulter et la signer ci-dessous (Propulsé par Portant) :