Dernière mise à jour: 20 septembre 2022
Cet addendum à l'accord de traitement des données («DPA») complète les Conditions d'utilisation de Backblaze, telles qu'actualisées de temps à autre entre le Client et Backblaze, ou tout autre accord entre le Client et Backblaze régissant l'utilisation du Service par le Client (l'«Accord») lorsque le RGPD s'applique à certains clients en vertu des articles 26 et 28 du Règlement général sur la protection des données (UE) 2016/679 («RGPD»). En cas de conflit entre les termes de cette DPA et les Conditions d'utilisation de Backblaze, cette DPA prévaudra.
Le présent DPA a pour but de lier Backblaze et chacun de ses clients qui fournissent des informations protégées par le RGPD à Backblaze (les «clients»). Elle régit le traitement par Backblaze des données personnelles, telles que définies par le RGPD, contenues dans les fichiers que les clients stockent avec Backblaze (les «fichiers»).
À mesure que le RGPD évolue et que les pratiques exemplaires sont affinées, Backblaze se réserve le droit de mettre à jour ce DPA à tout moment. Si nous estimons qu'un changement est important, nous en informerons nos clients par courriel dans un délai raisonnable et leur offrirons la possibilité de résilier les services avant que le changement n'entre en vigueur.
En conjonction avec la fourniture des Services, le Client fournit des informations concernant le Client, qui peuvent inclure des informations sur ses employés, à Backblaze afin de recevoir les Services (les «Informations de compte»). Le Client consent par la présente à ce que les Informations de compte soient transférées, partagées et traitées par Backblaze, ses affiliés et ses sous-traitants. Si le Client n'est pas la personne concernée par les Informations de compte, il doit obtenir le consentement exprès de toutes les personnes concernées pour donner effet au consentement donné dans le présent document. Le Client reconnaît et accepte les risques associés au partage et au traitement des Informations de compte, comme indiqué dans le présent document. Le Client comprend que les pays ou les lieux où les Informations de compte seront transférées peuvent ne pas offrir un niveau adéquat de protection des données sur la base des normes de l'Union européenne ou d'autres nations, et que l'autorité de contrôle, les principes de traitement des données et les droits des personnes concernées peuvent ne pas être assurés de la même manière dans ces pays ou dans ces lieux. Le Client consent également à ce que Backblaze et ses entités affiliées lui envoient, ainsi qu'aux personnes identifiées dans les Informations de compte, des communications marketing, étant entendu que le Client ou ces personnes peuvent se retirer de ces communications à tout moment.
Backblaze offre deux services à ses clients: un service de sauvegarde, permettant à un client de sauvegarder automatiquement des fichiers sur les serveurs de Backblaze, et un service de stockage en nuage, permettant au client de téléverser des fichiers sur les serveurs de Backblaze (collectivement, les «services»). Dans la mesure où ces fichiers sont téléversés par ou pour le compte d'un client qui est une organisation et qu'ils contiennent des données personnelles telles que définies dans le RGPD, Backblaze traite ces données en tant que préposé au traitement, tel que défini dans le RGPD, et le client est le contrôleur, tel que défini dans le RGPD. Dans la mesure où ces fichiers sont téléversés par ou au nom d'un client qui est un individu dans le cadre de la prestation de services de Backblaze et qu'ils contiennent des données personnelles telles que définies dans le RGPD, Backblaze et le client agissent en tant que contrôleurs conjoints, tels que définis par le RGPD.
Les types de données personnelles et les catégories de personnes concernées traitées dans le cadre des services de Backblaze dépendent du contenu des fichiers téléversés sur les serveurs par ou pour le compte de ses clients.
Backblaze ne traitera les fichiers que pour exécuter les services pour le client selon les instructions documentées du client et pour se conformer aux lois auxquelles Backblaze est assujettie. Lorsque Backblaze traite des fichiers pour se conformer à une exigence légale, il doit informer le client qui a téléchargé les données avant le traitement, sauf si cette loi interdit à Backblaze de divulguer ces informations pour des raisons importantes d'intérêt public.
Backblaze traite les fichiers pendant toute la durée de la fourniture des services au client. Si le client résilie son abonnement et supprime son compte Backblaze, ce dernier supprimera les fichiers stockés conformément aux conditions d'utilisation de Backblaze et cessera son rôle de préposé au traitement ou de contrôleur conjoint du traitement des fichiers.
Le client (l'«exportateur de données») reconnaît par la présente que, dans le cadre de la fourniture de services au client par Backblaze (l'«importateur de données»), les données personnelles fournies dans les fichiers du client à Backblaze dans le cadre des services seront transférées en dehors de l'EEE, et le client accepte de faire ce qui suit :
Sans limitation des dispositions susmentionnées, ayant accepté les Conditions d’utilisation avec Backblaze et ce DPA, le Client (l’exportateur de données) et Backblaze (l’importateur de données) sont également réputés avoir accepté les Clauses Contractuelles Standard jointes aux présentes et incorporées aux présentes, y compris leurs annexes, à compter de la date d’entrée en vigueur de la DPA. Lorsqu’il existe une différence entre les Modules Un et Deux des Clauses Contractuelles Standard, les Clauses Contractuelles Standard Contrôleur-Contrôleur (Module Un) s’appliquent aux Clients qui sont des particuliers et les Clauses Contractuelles Standard Contrôleur-Traitement (Module Deux) s’appliquent aux Clients qui sont des organisations.
Backblaze s'assure que les personnes autorisées à traiter les fichiers se sont engagées à respecter la confidentialité.
En ce qui concerne les fichiers, Backblaze mettra en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, en tenant compte de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque plus ou moins élevé pour les droits et libertés des personnes physiques. Les mesures de sécurité prises par Backblaze sont traitées plus en détail à l'annexe II des dispositions contractuelles normatives à l'annexe A.
Backblaze dispose de l'autorisation générale du client pour faire appel à des sous-traitants, et le client a obtenu le consentement explicite de la personne concernée pour que Backblaze fasse appel à des sous-traitants. La liste des sous-traitants auxquels l'importateur de données a l'intention de faire appel est disponible ici. L’importateur de données doit informer l’exportateur de données par écrit de toute addition ou remplacement de sous-traitants dans un délai raisonnable avant ledit ajout ou remplacement, donnant ainsi au client la possibilité de s’opposer à ces changements avant le recrutement du ou des sous-traitants concernés. Le client et Backblaze doivent tenir à jour la liste des sous-traitants. Lorsque Backblaze engage un sous-traitant, il lui impose des obligations de protection des données au moins aussi strictes que celles énoncées dans le présent DPA, par le biais d'un contrat ou d'un autre acte juridique, notamment en fournissant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Si cet autre sous-traitant ne remplit pas ses obligations de protection des données, Backblaze reste entièrement responsable envers le client de l'exécution des obligations de cet autre sous-traitant, mais uniquement dans la mesure où Backblaze peut être tenu responsable en vertu de ses conditions d'utilisation.
À la demande d'un client, Backblaze l'assistera par des mesures techniques et organisationnelles appropriées, en tenant compte de la nature du traitement et dans la mesure du possible, afin de permettre au client de remplir son obligation de répondre aux demandes d'exercice des droits des personnes concernées prévus au chapitre III du RGPD.
Backblaze aidera le client à assurer le respect des obligations prévues aux articles 32 à 36 du RGPD, en tenant compte de la nature du traitement et des renseignements dont Backblaze dispose. Dans le cas peu probable d'une violation de données, tel que défini dans le RGPD, Backblaze enverra sans délai un courriel de notification à ses clients concernés et fournira, à sa discrétion, des mises à jour par d'autres canaux de communication. Cette notification décrira la nature de la violation de données, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, les catégories et le nombre approximatif d’enregistrements de données personnelles concernés, la personne-ressource auprès de laquelle de plus amples renseignements peuvent être obtenus, les conséquences probables de la violation de données, ainsi que les mesures prises ou proposées par Backblaze pour remédier à cette violation, y compris, le cas échéant, des mesures pour atténuer ses effets négatifs éventuels. Une « violation de données » n'inclut pas l'accès à un compte Backblaze à l'aide d'identifiants valides, sauf si ces identifiants ont été divulgués à la suite d'une action ou d'une faute de Backblaze ou de l'un de ses sous-traitants.
Backblaze s'engage, au choix du client, à supprimer ou à retourner tous les fichiers au client après la fin de la prestation des services, sous réserve des frais applicables à ce moment-là, et à supprimer les copies existantes dans le délai indiqué dans la section «Durée», sauf si la législation en vigueur exige le stockage de ces données. Sous réserve de tous frais applicables à ce moment-là, les clients peuvent demander des copies (c.-à-d., le retour) de leurs fichiers dans leur compte Backblaze avant d'annuler les services.
À la demande d'un client, Backblaze mettra à sa disposition toutes les informations raisonnablement nécessaires pour démontrer le respect des obligations prévues par le présent DPA, y compris une copie du dernier rapport sur cette conformité réalisé à la demande de Backblaze par un auditeur externe, s'il est disponible, et uniquement si le client accepte de garder ces informations confidentielles en vertu d'un accord de non-divulgation fourni par Backblaze. Backblaze informera immédiatement le client si, à son avis, une instruction enfreint les dispositions du RGPD relatives à la protection des données applicables au client et/ou à Backblaze. Pour en savoir plus sur notre conformité au RGPD, veuillez consulter notre base de connaissances à l'adresse help.backblaze.com ou nous contacter à l'adresse privacy@backblaze.com.
(a) Les présentes dispositions contractuelles normatives visent à assurer le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données personnelles et à la libre circulation de ces données (règlement général sur la protection des données) pour le transfert de données personnelles vers un pays tiers.
(b) Les parties :
(c) Les présentes dispositions s'appliquent au transfert de données personnelles tel que spécifié à l'annexe I.B.
(d) L'annexe à ces dispositions, contenant les annexes qui y sont mentionnées, fait partie intégrante de ces dispositions.
(a) Les présentes dispositions prévoient des mesures de protection appropriées, y compris des droits opposables aux personnes concernées et des voies de recours efficaces, conformément au paragraphe 46(1) et à l'alinéa 46 (2)(c) du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des contrôleurs vers des préposés au traitement et/ou des préposés au traitement vers d'autres préposés au traitement, les dispositions contractuelles normatives conformément au paragraphe 28(7) du règlement (UE) 2016/679, à condition qu'elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l'annexe. Cela n'empêche pas les parties d'inclure les dispositions contractuelles normatives prévues dans les présentes dispositions dans un contrat plus large et/ou d'ajouter d'autres dispositions ou mesures de protections, à condition qu'elles ne contredisent pas, directement ou indirectement, les présentes dispositions ni ne portent atteinte aux droits ou libertés fondamentaux des personnes concernées.
(b) Les présentes dispositions ne portent pas atteinte aux obligations auxquelles l'exportateur de données est soumis en vertu du règlement (UE) 2016/679.
Les personnes concernées peuvent invoquer et faire valoir les présentes dispositions, en tant que tiers bénéficiaires, à l'encontre de l'exportateur de données et/ou de l'importateur de données, sous réserve des exceptions suivantes:
(b) L'alinéa a) ne porte pas atteinte aux droits des personnes concernées en vertu du règlement (UE) 2016/679.
(a) Les personnes concernées peuvent invoquer et faire valoir les présentes dispositions, en tant que tiers bénéficiaires, à l'encontre de l'exportateur de données et/ou de l'importateur de données, sous réserve des exceptions suivantes:
(b) L'alinéa a) ne porte pas atteinte aux droits des personnes concernées en vertu du règlement (UE) 2016/679.
(a) Si les présentes dispositions utilisent des termes définis dans le règlement (UE) 2016/679, ces termes sont entendus au même sens que dans ledit règlement.
(b) Les présentes dispositions doivent être lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.
(c) Les présentes clauses ne doivent pas être interprétées d’une manière qui entre en conflit avec les droits et obligations prévus par le règlement (UE) 2016/679.
In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail.En cas de contradiction entre les présentes dispositions et celles des accords connexes entre les parties, existant au moment où les présentes dispositions sont convenues ou conclues par la suite, les présentes dispositions prévaudront.
Les détails du ou des transferts, et en particulier les catégories de données personnelles transférées et les finalités pour lesquelles elles sont transférées, sont précisés à l'annexe I.B.
(a) Une entité qui n'est pas partie aux présentes dispositions peut, avec l'accord des parties, adhérer à celles-ci à tout moment, soit en tant qu'exportateur de données, soit en tant qu'importateur de données, en remplissant l'annexe et en signant l'annexe I.A.
(b) Une entité qui n'est pas partie aux présentes dispositions peut, avec l'accord des parties, adhérer à celles-ci à tout moment, soit en tant qu'exportateur de données, soit en tant qu'importateur de données, en remplissant l'annexe et en signant l'annexe I.A.
(c) L'entité adhérente n'a aucun droit ou obligation découlant des présentes dispositions au cours de la période précédant son adhésion.
L’exportateur de données garantit avoir déployé des efforts raisonnables pour déterminer que l’importateur de données est capable, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire à ses obligations en vertu de ces dispositions.
8.1 Limitation de la finalité
L'importateur de données traitera les données personnelles uniquement aux fins spécifiques du transfert, telles que définies à l'annexe I.B. Il ne peut traiter les données personnelles qu'à d'autres fins:
8.2 Transparence
(a) Afin de permettre aux personnes concernées d'exercer effectivement leurs droits en vertu de l'article 10, l'importateur de données les informe, soit directement, soit par l'intermédiaire de l'exportateur de données:
(b) L'alinéa a) ne s'applique pas si la personne concernée dispose déjà des informations, y compris lorsque ces informations ont déjà été fournies par l'exportateur de données, ou si la fourniture des informations s'avère impossible ou impliquerait un effort disproportionné pour l'importateur de données. Dans ce dernier cas, l'importateur de données doit, dans la mesure du possible, mettre l'information à la disposition du public.
(c) Sur demande, les parties fourniront gratuitement à la personne concernée une copie des présentes dispositions, y compris l'annexe remplie par elles. Dans la mesure nécessaire pour protéger les secrets commerciaux ou autres informations confidentielles, y compris les données personnelles, les parties peuvent caviarder une partie du texte de l'annexe avant de partager une copie, mais doivent fournir un résumé significatif si la personne concernée ne pourrait autrement pas en comprendre le contenu ou exercer ses droits. Sur demande, les parties fourniront à la personne concernée les raisons de ces caviardages, dans la mesure du possible sans révéler les informations caviardées.
(d) Les alinéas (a) à (c) ne portent pas atteinte aux obligations de l'exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.
8.3 Précision et minimisation des données
(a) Chaque partie veillera à ce que les données personnelles soient exactes et, si nécessaire, mises à jour. L'importateur de données doit prendre toutes les mesures raisonnables pour s'assurer que les données personnelles qui sont inexactes, compte tenu des finalités du traitement, soient effacées ou corrigées immédiatement.
(b) Si l'une des Parties apprend que les données à caractère personnel qu'elle a transférées ou reçues sont inexactes ou sont devenues périmées, elle en informe l'autre Partie sans retard indu.
(c) L'importateur de données veille à ce que les données à caractère personnel soient adéquates, pertinentes et limitées à
ce qui est nécessaire par rapport aux fins du traitement.
8.4 Limitation du stockage
L'importateur de données ne conserve pas les données personnelles plus longtemps que nécessaire aux fins pour lesquelles elles sont traitées. Il met en place des mesures techniques ou organisationnelles appropriées pour assurer le respect de cette obligation, y compris l'effacement ou l'anonymisation des données et de toutes les sauvegardes à la fin de la période de conservation.
8.5 Sécurité du traitement
(a) L’importateur de données et, lors de la transmission, également l’exportateur de données, doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données personnelles, y compris la protection contre toute violation de sécurité entraînant la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés (ci-après la «violation de données personnelles»). Pour évaluer le niveau de sécurité approprié, ils tiennent dûment compte de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques que le traitement comporte pour la personne concernée. Les parties envisagent notamment de recourir au chiffrement ou à la pseudonymisation, y compris pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière.
(b) Les parties se sont entendues sur les mesures techniques et organisationnelles énoncées à l'annexe II. L'importateur de données doit effectuer des vérifications régulières pour s'assurer que ces mesures continuent de fournir un niveau de sécurité approprié.
(c) L'importateur de données veille à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
(d) En cas de violation de données personnelles concernant les données à caractère personnel traitées par l'importateur de données en vertu des présentes clauses, l'importateur de données prend les mesures appropriées pour remédier à la violation des données personnelles, y compris des mesures pour atténuer ses effets préjudiciables éventuels.
e) En cas de violation de données personnelles pouvant entraîner un risque pour les droits et libertés des personnes physiques, l'importateur de données informe immédiatement l'exportateur de données et l'autorité de contrôle compétente conformément à l'article 13. Cette notification doit contenir i) une description de la nature de la violation (y compris, lorsque possible, les catégories et le nombre approximatif de personnes concernées et de dossiers personnels concernés), ii) ses conséquences probables, iii) les mesures prises ou proposées pour remédier à la violation, et iv) les coordonnées d’une personne-ressource auprès de laquelle de plus amples renseignements peuvent être obtenus. Dans la mesure où il n'est pas possible pour l'importateur de données de fournir tous les renseignements en même temps, il peut le faire par étapes, sans retard injustifié.
(f) En cas de violation de données personnelles pouvant présenter un risque élevé pour les droits et libertés des personnes physiques, l’importateur doit également informer immédiatement les personnes concernées de la violation et de sa nature, si nécessaire en coopération avec l’exportateur, ainsi que les informations mentionnées à l'alinéa e), aux sous-alinéas ii) à iv), à moins que l'importateur de données n'ait mis en œuvre des mesures visant à réduire considérablement le risque pour les droits ou libertés des personnes physiques, ou que la notification ne nécessite des efforts disproportionnés. Dans ce dernier cas, l'importateur de données doit plutôt publier une communication publique ou prendre une mesure similaire pour informer le public de la violation de données personnelles.
(g) g) L'importateur de données documente tous les faits pertinents relatifs à la violation de données personnelles, y compris ses effets et les mesures correctives prises, et en conserve une trace.
8.6 Données sensibles
Si le transfert concerne des données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'affiliation syndicale, des données génétiques ou biométriques destinées à identifier de manière unique une personne physique, des données relatives à la santé, à la vie sexuelle ou à l'orientation sexuelle d'une personne, ou des données relatives à des condamnations pénales ou à des infractions (ci-après les «données sensibles»), l'importateur de données applique des restrictions spécifiques et/ou des mesures de protection supplémentaires en fonction de la nature spécifique des données et des risques encourus. Cela peut inclure la restriction du personnel autorisé à accéder aux données personnelles, des mesures de sécurité supplémentaires (comme la pseudonymisation) et/ou des restrictions supplémentaires en ce qui concerne la divulgation ultérieure.
8.7 Transferts ultérieurs
L'importateur de données ne doit pas divulguer les données personnelles à un tiers situé à l'extérieur de l'Union européenne (dans le même pays que l'importateur de données ou dans un autre pays tiers, ci-après «transfert subséquent») à moins que ce tiers ne soit ou n'accepte d'être lié par les présentes clauses, conformément au module approprié. Dans le cas contraire, un transfert ultérieur par l'importateur de données ne peut avoir lieu que si:
Tout transfert ultérieur est soumis au respect par le destinataire des données de toutes les autres mesures de protection prévues dans les présentes dispositions, en particulier la limitation de la finalité.
8.8 Traitement sous l'autorité de l'importateur de données
L’importateur de données doit s’assurer que toute personne agissant sous son autorité, y compris un préposé au traitement, traite les données uniquement selon ses instructions.
8.9 Documentation et conformité
(a) Chaque partie doit être en mesure de démontrer qu'elle respecte les obligations qui lui incombent en vertu des présentes dispositions. En particulier, l’importateur de données doit conserver une documentation appropriée des activités de traitement effectuées relevant de sa responsabilité.
(b) L'importateur de données doit mettre ces documents à la disposition de l'autorité de contrôle compétente sur demande.
8.1 Instructions
(a) L'importateur de données ne traite les données personnelles que selon les instructions documentées de l'exportateur de données. L’exportateur de données peut donner de telles instructions pendant toute la durée du contrat.
(b) L'importateur de données informe immédiatement l'exportateur de données s'il n'est pas en mesure de suivre ces instructions.
8.2 Limitation de la finalité
L'importateur de données ne traitera les données personnelles qu'aux fins spécifiques du transfert, telles que définies à l'annexe I.B, sauf instruction contraire de l'exportateur de données.
8.3 Transparence
Sur demande, l'exportateur des données fournira gratuitement à la personne concernée une copie des présentes dispositions, y compris l'annexe remplie par les parties. Dans la mesure nécessaire pour protéger les secrets commerciaux ou autres informations confidentielles, y compris les mesures décrites à l’annexe II et les données personnelles, les parties peuvent caviarder une partie du texte de l'annexe ou des présentes dispositions avant de partager une copie, mais doivent fournir un résumé significatif si la personne concernée ne pourrait autrement pas en comprendre le contenu ou exercer ses droits. Sur demande, les parties fourniront à la personne concernée les raisons de ces caviardages, dans la mesure du possible sans révéler les informations caviardées. La présente disposition ne porte pas atteinte aux obligations de l’exportateur de données en vertu des articles 13 et 14 du règlement (UE) 2016/679.
8.4 Exactitude
Si l'importateur de données constate que les données personnelles reçues sont inexactes ou obsolètes, il en informe l'exportateur de données sans retard injustifié. Le cas échéant, l’importateur de données doit coopérer avec l’exportateur de données pour effacer ou corriger les données.
8.5 Durée du traitement et suppression ou retour des données
Le traitement par l’importateur de données ne doit avoir lieu que pour la durée spécifiée à l’annexe I.B. À l'issue de la fourniture des services de traitement, l'importateur de données doit, au choix de l'exportateur de données, soit supprimer toutes les données personnelles traitées pour le compte de l'exportateur de données et confirmer à ce dernier qu'il l'a fait, soit retourner à l'exportateur de données toutes les données personnelles traitées pour son compte et supprimer les copies existantes. Jusqu’à ce que les données soient supprimées ou retournées, l'importateur de données doit continuer à respecter les présentes dispositions. En cas de lois locales applicables à l'importateur de données qui interdisent le retour ou la suppression des données personnelles, l'importateur de données confirme qu'il continuera à assurer le respect des présentes dispositions et ne les traitera que dans la mesure et aussi longtemps que requis par cette loi locale. Cela ne porte pas atteinte à l'article 14, notamment à l'obligation faite à l'importateur de données, en vertu de l'alinéa 14 e), d'informer l'exportateur de données pendant toute la durée du contrat s'il a des raisons de croire qu'il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences prévues à l'alinéa 14 a).
8.6 Sécurité du traitement
(a) L’importateur de données et, lors de la transmission, également l’exportateur de données, doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, y compris la protection contre toute violation de sécurité entraînant la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés (ci-après la « violation de données personnelles »). Pour évaluer le niveau de sécurité approprié, les parties tiennent dûment compte de l'état de la technique, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que des risques que le traitement comporte pour la personne concernée. Les parties envisagent notamment de recourir au chiffrement ou à la pseudonymisation, y compris pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d'attribuer les données personnelles à une personne concernée spécifique demeurent, dans la mesure du possible, sous le contrôle exclusif de l'exportateur de données. Afin de se conformer aux obligations qui lui incombent en vertu du présent paragraphe, le destinataire des données doit au moins mettre en œuvre les mesures techniques et organisationnelles spécifiées à l'annexe II. L'importateur de données doit effectuer des vérifications régulières pour s'assurer que ces mesures continuent de fournir un niveau de sécurité approprié.
(b) L'importateur de données n'accorde l'accès aux données personnelles aux membres de son personnel que dans la mesure strictement nécessaire à la mise en œuvre, à la gestion et au suivi du contrat. Il veillera à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.
(c) En cas de violation de données personnelles concernant les données à caractère personnel traitées par l'importateur de données en vertu des présentes clauses, l'importateur de données prend les mesures appropriées pour remédier à la violation, y compris des mesures pour atténuer ses effets préjudiciables. L'importateur de données doit également aviser l'exportateur de données sans retard injustifié après avoir pris connaissance de la violation. Cette notification doit contenir les détails d'un point de contact où plus d'informations peuvent être obtenues, une description de la nature de la violation (y compris, lorsque possible, les catégories et le nombre approximatif de personnes concernées ainsi que les dossiers de données personnelles concernés), ses conséquences probables ainsi que les mesures prises ou proposées pour remédier à la violation, y compris, le cas échéant, des mesures pour atténuer ses effets négatifs possibles. Lorsque, et dans la mesure où il n'est pas possible de fournir toutes les informations en même temps, la notification initiale doit contenir les informations alors disponibles et des informations complémentaires doivent être fournies ultérieurement, dès qu'elles deviennent disponibles, sans retard injustifié.
(d) L’importateur de données doit coopérer avec l’exportateur de données et l’assister afin de permettre à l’exportateur de données de se conformer à ses obligations en vertu du règlement (UE) 2016/679, notamment en informant l’autorité de contrôle compétente et les personnes concernées, en tenant compte de la nature du traitement et des informations dont dispose l'importateur de données.
8.7 Données sensibles
Si le transfert concerne des données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l'affiliation syndicale, des données génétiques ou biométriques destinées à identifier de manière unique une personne physique, des données relatives à la santé, à la vie sexuelle ou à l'orientation sexuelle d'une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après les «données sensibles»), l'importateur de données applique les restrictions spécifiques et/ou les mesures de sauvegarde supplémentaires décrites à l'annexe I.B.
8.8 Transferts ultérieurs
L’importateur de données ne peut divulguer les données personnelles à un tiers que sur instructions documentées de l’exportateur de données. De plus, les données ne peuvent être divulguées à un tiers situé hors de l’Union européenne (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après «transfert subséquent») que si ce tiers est ou accepte d’être lié par les présentes clauses, conformément au module approprié, ou si:
Tout transfert ultérieur est soumis au respect par le destinataire des données de toutes les autres mesures de protection prévues dans les présentes dispositions, en particulier la limitation de la finalité.
8.9 Documentation et conformité
(a) L'importateur de données doit traiter rapidement et adéquatement les demandes de renseignements de l'exportateur de données qui se rapportent au traitement en vertu de ces clauses.
(b) Les parties doivent être en mesure de démontrer qu'elles respectent les présentes dispositions. En particulier, l'importateur de données doit conserver une documentation appropriée des activités de traitement effectuées pour le compte de l'exportateur de données.
(c) L’importateur de données doit mettre à la disposition de l’exportateur toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes dispositions et, à la demande de l’exportateur, autorise et contribue à des audits des activités de traitement couvertes par les présentes dispositions, à des intervalles raisonnables ou s'il existe des indications de non-conformité. En décidant de procéder à un examen ou à un audit, l'exportateur de données peut tenir compte des certifications pertinentes détenues par l'importateur de données.
(d) L'exportateur de données peut choisir d'effectuer l'audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent inclure des inspections des locaux ou des installations physiques de l’importateur de données et, le cas échéant, doivent être effectués avec un préavis raisonnable.
(e) Les parties mettent les informations visées aux alinéas b) et c), y compris les résultats des audits, à la disposition de l'autorité de contrôle compétente à sa demande.
(a) L'importateur de données dispose de l'autorisation générale de l'exportateur de données pour faire appel à des sous-traitants figurant sur une liste convenue. L’importateur de données doit informer spécifiquement par écrit l’exportateur de données de toute modification prévue à cette liste par l’ajout ou le remplacement de sous-traitants, au moins dans un délai raisonnable à l’avance, donnant ainsi à l’exportateur suffisamment de temps pour s'opposer à ces modifications avant de faire appel à ces sous-traitants. L’importateur de données doit fournir à l’exportateur de données les renseignements nécessaires pour lui permettre d’exercer son droit de s'opposer.
(b) Si l'importateur de données fait appel à un sous-traitant pour effectuer des activités de traitement spécifiques (pour le compte de l'exportateur de données), il doit le faire au moyen d'un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l'importateur de données en vertu des présentes dispositions, y compris en ce qui concerne les droits des tiers bénéficiaires pour les personnes concernées. Les parties conviennent que, en se conformant à la présente disposition, l'importateur de données remplit ses obligations au titre de l'article 8.8. L'importateur de données doit s'assurer que le sous-traitant se conforme aux obligations auxquelles l'importateur de données est soumis en vertu des présentes dispositions.
(c) L'importateur de données doit fournir à l'exportateur de données, à sa demande, une copie de cet accord de sous-traitance et de toute modification ultérieure. Dans la mesure nécessaire pour protéger les secrets commerciaux ou autres informations confidentielles, y compris les données personnelles, l'importateur de données peut caviarder le texte de l'accord avant d'en partager une copie.
(d) L'importateur de données demeure entièrement responsable envers l'exportateur de données de l'exécution des obligations du sous-traitant en vertu de son contrat avec l'importateur de données. L’importateur de données doit informer l’exportateur de données de tout manquement du sous-traitant à ses obligations au titre dudit contrat.
(e) (e) L'importateur de données convient d'une disposition en faveur d'un tiers bénéficiaire avec le sous-traitant, en vertu de laquelle, si l'importateur de données disparaît, cesse d'exister en droit ou devient insolvable, l'exportateur de données a le droit de résilier le contrat conclu avec le sous-traitant et de lui demander de supprimer ou de retourner les données personnelles.
(a) L'importateur de données, le cas échéant avec l'aide de l'exportateur de données, doit traiter toutes les demandes et requêtes qu'il reçoit d'une personne concernée concernant le traitement de ses données à caractère personnel et l'exercice de ses droits en vertu des présentes clauses, sans retard injustifié et au plus tard dans un délai d'un mois à compter de la réception de la demande ou de la requête. L’importateur de données doit prendre les mesures appropriées pour faciliter ces demandes, requêtes et l’exercice des droits des personnes concernées. Toute information fournie à la personne concernée doit être présentée sous une forme intelligible et facilement accessible, en utilisant un langage clair et simple.
(b) En particulier, sur demande de la personne concernée, l'importateur de données doit, sans frais:
(c) Si l'importateur de données traite les données personnelles à des fins de marketing direct, il doit cesser ce traitement si la personne concernée s'y oppose.
(d) L'importateur de données ne peut prendre une décision fondée uniquement sur le traitement automatisé des données personnelles transférées (ci-après la «décision automatisée») qui produirait des effets juridiques concernant la personne concernée ou l'affecterait de manière significative de façon similaire, sauf avec le consentement explicite de la personne concernée ou s'il y est autorisé en vertu des lois du pays de destination, à condition que ces lois prévoient des mesures appropriées pour protéger les droits et les intérêts légitimes de la personne concernée. Le cas échéant, l’importateur de données doit, si nécessaire, en coopération avec l’exportateur de données:
(e) Lorsque les demandes d'une personne concernée sont excessives, notamment en raison de leur caractère répétitif, l'importateur de données peut soit facturer des frais raisonnables tenant compte des coûts administratifs liés à l'acceptation de la demande, soit refuser de donner suite à la demande.
(f) L'importateur de données peut refuser la demande d'une personne concernée si ce refus est autorisé par la législation du pays de destination et s'il est nécessaire et proportionné dans une société démocratique pour protéger l'un des objectifs énumérés au paragraphe 23(1) du règlement (UE) 2016/679.
(g) Si l'importateur de données a l'intention de refuser la demande d'une personne concernée, il doit informer la personne concernée des motifs du refus et de la possibilité de déposer une plainte auprès de l'autorité de contrôle compétente et/ou de demander réparation judiciaire.
(a) L'importateur de données avisera promptement l'exportateur de données de toute demande reçue d'une personne concernée. Il ne répondra pas lui-même à cette demande, sauf s'il y a été autorisé par l'exportateur de données.
(b) L'importateur de données doit aider l'exportateur de données à s'acquitter de ses obligations de répondre aux demandes d'exercice des droits des personnes concernées en vertu du règlement (UE) 2016/679. À cet égard, les Parties doivent énoncer à l'annexe II les mesures techniques et organisationnelles appropriées, en tenant compte de la nature du traitement, par lesquelles l'assistance sera fournie, ainsi que de la portée et de l'étendue de l'assistance requise.
(c) En remplissant ses obligations au titre des alinéas a) et b), l'importateur de données se conforme aux instructions de l'exportateur de données.
(a) L'importateur de données informe les personnes concernées, dans un format transparent et facilement accessible, par le biais d'un avis individuel ou sur son site Web, de la personne-ressource autorisée à traiter les plaintes. Elle traite promptement toute plainte qu'elle reçoit d'une personne concernée.
(b) En cas de différend entre une personne concernée et l'une des parties concernant le respect des présentes dispositions, cette partie mettra tout en œuvre pour résoudre le différend à l'amiable et en temps opportun. Les parties se tiendront mutuellement informées de ces différends et, le cas échéant, coopéreront à leur résolution.
(c) Si la personne concernée invoque un droit de tiers bénéficiaire conformément à l'article 3, l'importateur de données accepte la décision de la personne concernée de:
(d) Les parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association sans but lucratif dans les conditions prévues au paragraphe 80(1) du règlement (UE) 2016/679.
(e) L'importateur de données se conforme à toute décision contraignante en vertu du droit de l'Union européenne ou du droit national applicable.
(f) L'importateur de données convient que le choix effectué par la personne concernée ne portera pas atteinte à ses droits substantiels et procéduraux de demander réparation conformément aux lois applicables.
(a) Chacune des parties est responsable envers l'autre partie des dommages qu'elle cause à l'autre partie en cas de violation des présentes dispositions.
(c) Chaque partie est responsable envers la personne concernée, et celle-ci a le droit de recevoir une indemnisation, pour tout préjudice matériel ou immatériel que la partie lui cause en violant les droits des tiers bénéficiaires en vertu des présentes dispositions. Cela ne porte pas atteinte à la responsabilité de l'exportateur de données en vertu du règlement (UE) 2016/679.
(c) Si plusieurs parties sont responsables d'un préjudice causé à la personne concernée à la suite d'une violation des présentes dispositions, toutes les parties responsables sont solidairement responsables et la personne concernée a le droit d'intenter une action en justice contre l'une quelconque de ces parties.
(d) Les parties conviennent que si l'une d'entre elles est tenue responsable en vertu de l'alinéa c), elle a le droit de demander à l'autre ou aux autres parties une partie de l'indemnisation correspondant à leur responsabilité dans le préjudice.
(e) L'importateur de données ne peut pas invoquer le comportement d'un préposé au traitement ou d'un sous-traitant pour échapper à ses propres responsabilités.
(a) Chacune des parties est responsable envers l'autre partie des dommages qu'elle cause à l'autre partie en cas de violation des présentes dispositions.
(c) L'importateur de données est responsable envers la personne concernée, et celle-ci a le droit de recevoir une indemnisation, pour tout préjudice matériel ou immatériel que l’importateur de données ou son sous-traitant lui cause en violant les droits des tiers bénéficiaires en vertu des présentes dispositions.
(c) Nonobstant le paragraphe (b), l'exportateur de données sera responsable envers la personne concernée, et la personne concernée aura le droit de recevoir une indemnisation, pour tout dommage matériel ou immatériel que l'exportateur de données ou l'importateur de données (ou son sous-traitant) cause à la personne concernée en enfreignant les droits du tiers bénéficiaire en vertu de ces Clauses. Ceci est sans préjudice de la responsabilité de l'exportateur de données et, lorsque l'exportateur de données est un sous-traitant agissant pour le compte d'un responsable du traitement, de la responsabilité du responsable du traitement en vertu du Règlement (UE) 2016/679 ou du Règlement (UE) 2018/1725, selon le cas.
(d) Les parties conviennent que si l’exportateur de données est tenu responsable en vertu de l'alinéa c) des préjudices causés par l’importateur de données (ou son sous-traitant), il a le droit de demander à l'importateur de données l'indemnisation d'une partie correspondant correspondant à sa responsabilité dans le préjudice.
(e) Si plusieurs parties sont responsables d'un préjudice causé à la personne concernée à la suite d'une violation des présentes dispositions, toutes les parties responsables sont solidairement responsables et la personne concernée a le droit d'intenter une action en justice contre l'une quelconque de ces parties.
(f) Les parties conviennent que si l'une d'entre elles est tenue responsable en vertu de l'alinéa e), elle a le droit de demander à l'autre ou aux autres parties une partie de l'indemnisation correspondant à leur responsabilité dans le préjudice.
(g) L'importateur de données ne peut pas invoquer le comportement d'un sous-traitant pour échapper à ses propres responsabilités.
(a) Lorsque l’exportateur de données est établi dans un État membre de l’UE : L’autorité de contrôle chargée d’assurer la conformité par l’exportateur de données au règlement (UE) 2016/679 concernant le transfert de données, comme indiqué à l’annexe I.C, agit en tant qu’autorité de contrôle compétente.
Lorsque l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève de la portée territoriale du règlement (UE) 2016/679 conformément à son paragraphe 3(2), et a désigné un représentant conformément au paragraphe 27(1) du règlement (UE) 2016/679 : l'autorité de contrôle de l'État membre dans lequel le représentant au sens du paragraphe 27(1) du règlement (UE) 2016/679 est établi, tel qu'indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente.
Si l'exportateur de données n'est pas établi dans un État membre de l'UE, mais relève de la portée territoriale du règlement (UE) 2016/679 conformément à son paragraphe 3(2), sans toutefois être tenu de désigner un représentant conformément au paragraphe 27(2) du règlement (UE) 2016/679: L'autorité de contrôle de l'un des États membres dans lequel se trouvent les personnes concernées dont les données personnelles sont transférées en vertu des présentes dispositions dans le cadre de l'offre de biens ou de services, ou dont le comportement est surveillé, comme indiqué à l'annexe I.C, agit en tant qu'autorité de contrôle compétente.
(b) L'importateur de données accepte de se soumettre à la juridiction de l'autorité de contrôle compétente et de coopérer avec celle-ci dans le cadre de toute procédure visant à assurer le respect des présentes dispositions. En particulier, l’importateur de données s’engage à répondre aux demandes, à se soumettre à des audits et à se conformer aux mesures adoptées par l’autorité de contrôle, y compris les mesures correctives et compensatoires. Il doit fournir à l’autorité de contrôle une confirmation écrite que les mesures nécessaires ont été prises.
(a) Les parties confirment qu'elles n'ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données personnelles par l'importateur des données, y compris toute obligation de divulgation des données personnelles ou toute mesure autorisant l'accès par les autorités publiques, empêchent celui-ci de remplir ses obligations au titre des présentes dispositions. Ceci repose sur le principe selon lequel les lois et pratiques qui respectent l'essence des droits et libertés fondamentaux et ne dépassent pas ce qui est nécessaire et proportionné dans une société démocratique pour protéger l'un des objectifs énumérés au paragraphe 23(1) du règlement (UE) 2016/679 ne sont pas en contradiction avec les présentes dispositions.
(b) Les parties déclarent qu'en fournissant la garantie visée à l'alinéa a), elles ont tenu compte en particulier des éléments suivants:
(c) L'importateur de données confirme que, dans le cadre de l'évaluation visée à l'alinéa b), il a déployé tous les efforts possibles pour fournir à l'exportateur de données les informations pertinentes et s'engage à continuer de coopérer avec l'exportateur de données afin d'assurer le respect des présentes dispositions.
(d) Les parties conviennent de documenter l'évaluation visée à l'alinéa b) et de la mettre à disposition de l'autorité de contrôle compétente sur demande.
(e) L'importateur de données s'engage à informer rapidement l'exportateur de données si, après avoir accepté les présentes dispositions et pendant toute la durée du contrat, il a des raisons de croire qu'il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences à l'alinéa a), notamment à la suite d'une modification de la législation du pays tiers ou d'une mesure (telle qu'une demande de divulgation) indiquant une application de ces lois dans la pratique qui n'est pas conforme aux exigences à l'alinéa a).
(f) À la suite d'une notification en vertu à l'alinéa e), ou si l'exportateur de données a des raisons de croire que l'importateur de données ne peut plus remplir ses obligations au titre des présentes dispositions, l'exportateur de données doit immédiatement définir les mesures appropriées (p. ex., des mesures techniques ou organisationnelles visant à assurer la sécurité et la confidentialité) à prendre par l'exportateur de données et/ou l'importateur de données pour remédier à la situation. L'exportateur de données doit suspendre le transfert de données s'il estime qu'aucune mesure de protection appropriée ne peut être garantie pour ce transfert, ou si l'autorité de contrôle compétente lui en fait la demande. Le cas échéant, l'exportateur de données a le droit de résilier le contrat, dans la mesure où cela concerne le traitement des données personnelles en vertu des présentes dispositions. Si le contrat concerne plus de deux parties, l'exportateur de données ne peut exercer ce droit de résiliation qu'à l'égard de la partie concernée, sauf accord différent entre les parties. Si le contrat est résilié conformément à la présente disposition, les alinéas 16 d) et e) s'appliquent.
(a) L'importateur de données accepte d'aviser l'exportateur de données et, si possible, la personne concernée rapidement (si nécessaire avec l'aide de l'exportateur de données) s'il:
(b) Si l’importateur de données est interdit de notifier l’exportateur de données et/ou la personne concernée en vertu des lois du pays de destination, l’importateur de données s’engage à déployer tous ses efforts pour lever cette interdiction, afin de communiquer autant d'informations que possible dès que possible. L’importateur de données accepte de documenter ses meilleurs efforts afin de pouvoir les démontrer à la demande de l’exportateur de données.
(c) Dans la mesure permise par la législation du pays de destination, l'importateur de données s'engage à fournir à l'exportateur de données, à intervalles réguliers pendant toute la durée du contrat, autant d'informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, les autorités requérantes, si les demandes ont été contestées et l'issue de ces contestations, etc.)
(d) L'importateur de données accepte de conserver les informations visées aux alinéas a) à (c) pendant la durée du contrat et de les mettre à la disposition de l'autorité de contrôle compétente sur demande.
(e) Les alinéas a) à c) ne portent pas atteinte à l'obligation de l'importateur de données, en vertu de l'alinéa 14(e) et l'article 16, d'informer rapidement l'exportateur de données de son incapacité à se conformer aux présentes dispositions.
(a) L'importateur de données s'engage à vérifier la légalité de la demande de divulgation, en particulier si elle reste dans les limites des pouvoirs accordés à l'autorité publique requérante, et à contester la demande si, après une évaluation minutieuse, il conclut qu'il existe des motifs raisonnables de considérer que la demande est illégale en vertu des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L'importateur de données doit, dans les mêmes conditions, exercer ses droits d'appel. En cas de contestation d'une demande, l'importateur de données doit demander des mesures provisoires afin de suspendre les effets de la demande jusqu'à ce que l'autorité judiciaire compétente ait statué sur le fond. Il ne divulguera pas les données personnelles demandées tant que les règles de procédure applicables ne l'exigent pas. Ces exigences ne portent pas atteinte aux obligations de l'importateur de données en vertu de l'alinéa 14 e).
(b) L'importateur de données s'engage à documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure permise par les lois du pays de destination, à mettre cette documentation à la disposition de l'exportateur de données. Il le met également à la disposition de l'autorité de contrôle compétente sur demande.
(c) L'importateur de données s'engage à fournir le minimum d'informations permis lorsqu'il répond à une demande de divulgation, sur la base d'une interprétation raisonnable de la demande.
(a) L'importateur de données informe rapidement l'exportateur de données s'il n'est pas en mesure de respecter les présentes dispositions, quelle qu'en soit la raison.
(b) Si l'importateur de données enfreint les présentes dispositions ou n'est pas en mesure de s'y conformer, l'exportateur de données suspendra le transfert de données personnelles vers l'importateur de données jusqu'à ce que la conformité soit rétablie ou que le contrat soit résilié. Ceci ne porte pas atteinte à l'alinéa 14 f).
(c) L'exportateur de données a le droit de résilier le contrat, dans la mesure où cela concerne le traitement des données personnelles en vertu des présentes dispositions, lorsque:
(d) Les données personnelles qui ont été transférées avant la résiliation du contrat conformément à l'alinéa c) sont immédiatement, au choix de l'exportateur de données, retournées à l'exportateur de données ou supprimées dans leur intégralité. Il en va de même pour toute copie des données. L'importateur de données doit confirmer la suppression des données à l'exportateur de données. Jusqu’à ce que les données soient supprimées ou retournées, l'importateur de données doit continuer à respecter les présentes dispositions. En cas de lois locales applicables à l'importateur de données qui interdisent le retour ou la suppression des données personnelles transférées, l'importateur de données confirme qu'il continuera à assurer le respect des présentes dispositions et ne traitera les données que dans la mesure et aussi longtemps que requis par cette loi locale.
(e) Chaque partie peut révoquer son accord d'être liée par les présentes dispositions lorsque (i) la Commission européenne adopte une décision en vertu du paragraphe 45(3) du règlement (UE) 2016/679 qui couvre le transfert de données personnelles auquel s'appliquent les présentes dispositions; ou (ii) le règlement (UE) 2016/679 devient partie intégrante du cadre juridique du pays vers lequel les données personnelles sont transférées. Ceci ne porte pas atteinte aux autres obligations applicables au traitement en question en vertu du règlement (UE) 2016/679.
Ces dispositions sont régies par la loi d’un des États membres de l’UE, à condition que cette loi permette des droits de tiers bénéficiaires. Les parties conviennent que la présente loi s'applique en Irlande.
(a) Tout différend découlant des présentes dispositions sera réglé par les tribunaux d'un État membre de l'UE.
(b) Les parties conviennent que ces tribunaux seront ceux de l'Irlande.
(c) Une personne concernée peut également intenter une action en justice contre l'exportateur et/ou l'importateur de données devant les tribunaux de l'État membre dans lequel elle réside habituellement.
(d) Les parties acceptent de se soumettre à la compétence de ces tribunaux.
Les catégories de personnes concernées, le transfert de catégories particulières de données et les types de données personnelles traitées dans le cadre des services fournis par Backblaze, Inc. dépendent du contenu des fichiers téléversés sur les serveurs par ou au nom du client. La fréquence et la nature des transferts entre le client et Backblaze, Inc. dépendent des services demandés et utilisés par le client. Le transfert de données et le traitement ultérieur par Backblaze, Inc. ont pour but de permettre à Backblaze, Inc. de fournir au client les services demandés par le client.
Opérations de traitement
Les données personnelles seront traitées conformément aux conditions d’utilisation de Backblaze et peuvent faire l’objet des activités de traitement suivantes:
Backblaze traite les fichiers pendant toute la durée de la fourniture des services au client. Si le client résilie son abonnement et supprime son compte Backblaze, ce dernier supprimera les fichiers stockés conformément aux conditions d'utilisation de Backblaze et cessera son rôle de préposé au traitement ou de contrôleur conjoint du traitement des fichiers.
La Commission irlandaise de protection des données sera l'autorité de contrôle compétente, ou tel que déterminé par l'article 13 de l'annexe A, le cas échéant.
Version(s) précédente(s) :