Publié: 20 septembre 2022
Cet addenda relatif au traitement des données (DPA) complète les conditions de service de Backblaze, telles que mises à jour de temps à autre entre le client et Backblaze, ou tout autre accord entre le client et Backblaze régissant l'utilisation du service par le client (le « contrat ») lorsque le règlement général sur la protection des données du Royaume-Uni (le «GDPR du R.-U.») s'applique à certains clients. En cas de conflit entre les termes de cette DPA et les Conditions d'utilisation de Backblaze, cette DPA prévaudra.
Le présent DPA a pour but de lier Backblaze et chacun de ses clients qui fournissent des informations protégées par le RGPD du Royaume-Uni à Backblaze (les «clients»). Elle régit le traitement par Backblaze des données personnelles, telles que définies par le RGPD du Royaume-Uni, contenues dans les fichiers que les clients stockent avec Backblaze (les «fichiers»).
Alors que le RGPD du Royaume-Uni évolue et que les meilleures pratiques sont affinées, Backblaze se réserve le droit de mettre à jour ce DPA à tout moment. S'il y a quelque chose que nous considérons comme une modification importante, nous fournirons à nos clients un préavis raisonnable de la modification par courriel et offrirons à nos clients le droit de résilier les services avant que la modification n'entre en vigueur.
Dans le cadre de la fourniture des services, le client fournit à Backblaze des renseignements le concernant, qui peuvent inclure des renseignements sur ses employés, afin de bénéficier des services (les « renseignements relatifs au compte »). Le client consent par la présente au transfert, au partage et au traitement des renseignements relatifs au compte par Backblaze, ses sociétés affiliées et ses sous-traitants. Si le client n'est pas la personne concernée par les renseignements relatifs au compte, il doit obtenir le consentement explicite de toutes les personnes concernées afin de donner effet au consentement donné dans les présentes. Le client reconnaît et accepte les risques associés au partage et au traitement des renseignements relatifs au compte, comme indiqué dans les présentes. Le client comprend que les pays ou les lieux vers lesquels les renseignements seront transférés peuvent ne pas offrir un niveau de protection des données adéquat selon les normes du Royaume-Uni ou d'autres pays, et que l'autorité de contrôle, les principes de traitement des données et les droits des personnes concernées peuvent différer dans ces pays ou lieux. Le client accepte également que Backblaze et ses entités affiliées lui envoient, ainsi qu'aux personnes identifiées dans les renseignements relatifs au compte, des communications marketing, sachant que le client ou ces personnes peuvent se désabonner de ces communications à tout moment.
Backblaze offre deux services à ses clients : un service de sauvegarde, permettant à un client de sauvegarder automatiquement des fichiers sur les serveurs de Backblaze, et un service de stockage en nuage, permettant au client de téléverser des fichiers sur les serveurs de Backblaze (collectivement, les « services »). Dans la mesure où ces fichiers sont téléversés par ou pour le compte d'un client qui est une organisation et qu'ils contiennent des données personnelles telles que définies dans le RGPD du Royaume-Uni, Backblaze traite ces données en tant que préposé au traitement, tel que défini dans le du Royaume-Uni, et le client est le contrôleur, tel que défini dans le RGPD du Royaume-Uni. Dans la mesure où ces fichiers sont téléversés par ou au nom d'un client qui est un individu dans le cadre de la prestation de services de Backblaze et qu'ils contiennent des données personnelles telles que définies dans le RGPD du Royaume-Uni, Backblaze et le client agissent en tant que contrôleurs conjoints, tels que définis par le RGPD du Royaume-Uni.
Les types de données personnelles et les catégories de personnes concernées traitées dans le cadre des services de Backblaze dépendent du contenu des fichiers téléversés sur les serveurs par ou pour le compte de ses clients.
Backblaze ne traitera les fichiers que pour exécuter les services pour le client selon les instructions documentées du client et pour se conformer aux lois auxquelles Backblaze est assujettie. Lorsque Backblaze traite des fichiers pour se conformer à une exigence légale, il doit informer le client qui a téléchargé les données avant le traitement, sauf si cette loi interdit à Backblaze de divulguer ces informations pour des raisons importantes d'intérêt public.
Backblaze traite les fichiers pendant toute la durée de la fourniture des services au client. Si le client résilie son abonnement et supprime son compte Backblaze, ce dernier supprimera les fichiers stockés conformément aux conditions d'utilisation de Backblaze et cessera son rôle de préposé au traitement ou de contrôleur conjoint du traitement des fichiers.
Le client (l'«exportateur de données») reconnaît par la présente que, dans le cadre de la fourniture de services au client par Backblaze (l'«importateur de données»), les données personnelles fournies dans les fichiers du client à Backblaze dans le cadre des services seront transférées en dehors du Royaume-Uni, et le client accepte de faire ce qui suit :
Sans limitation des dispositions susmentionnées, ayant accepté les conditions d’utilisation avec Backblaze et le présent DPA, le client (l’exportateur de données) et Backblaze (l’importateur de données) sont également réputés avoir accepté les dispositions contractuelles normatives jointes et incorporées aux présentes, y compris leurs annexes, à compter de la date d’entrée en vigueur du DPA.
Backblaze s'assure que les personnes autorisées à traiter les fichiers se sont engagées à respecter la confidentialité.
En ce qui concerne les fichiers, Backblaze mettra en œuvre les mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté au risque, en tenant compte de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque plus ou moins élevé pour les droits et libertés des personnes physiques. Les mesures de sécurité prises par Backblaze sont traitées plus en détail à l'annexe II des dispositions contractuelles normatives à l'annexe A.
Backblaze dispose de l'autorisation générale du client pour faire appel à des sous-traitants, et le client a obtenu le consentement explicite de la personne concernée pour que Backblaze fasse appel à des sous-traitants. La liste des sous-traitants auxquels l'importateur de données a l'intention de faire appel est disponible ici. L’importateur de données doit informer l’exportateur de données par écrit de toute addition ou remplacement de sous-traitants dans un délai raisonnable avant ledit ajout ou remplacement, donnant ainsi au client la possibilité de s’opposer à ces changements avant le recrutement du ou des sous-traitants concernés. Le client et Backblaze doivent tenir à jour la liste des sous-traitants. Lorsque Backblaze engage un sous-traitant, il lui impose des obligations de protection des données au moins aussi strictes que celles énoncées dans le présent DPA, par le biais d'un contrat ou d'un autre acte juridique, notamment en fournissant des garanties suffisantes pour mettre en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD. Si cet autre sous-traitant ne remplit pas ses obligations de protection des données, Backblaze reste entièrement responsable envers le client de l'exécution des obligations de cet autre sous-traitant, mais uniquement dans la mesure où Backblaze peut être tenu responsable en vertu de ses conditions d'utilisation.
À la demande d'un client, Backblaze l'assistera par des mesures techniques et organisationnelles appropriées, en tenant compte de la nature du traitement et dans la mesure du possible, afin de permettre au client de remplir son obligation de répondre aux demandes d'exercice des droits des personnes concernées en vertu du RGPD du Royaume-Uni.
Backblaze aidera le client à assurer le respect des obligations relatives aux violations de données personnelles en vertu du RGPD du Royaume-Uni, en tenant compte de la nature du traitement et des renseignements dont Backblaze dispose. Dans le cas peu probable d'une violation de données personnelles, tel que défini dans le RGPD du Royaume-Uni, Backblaze enverra sans délai un courriel de notification à ses clients concernés et fournira, à sa discrétion, des mises à jour par d'autres canaux de communication. Cette notification décrira la nature de la violation de données personnelles, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, les catégories et le nombre approximatif d’enregistrements de données personnelles concernés, la personne-ressource auprès de laquelle de plus amples renseignements peuvent être obtenus, les conséquences probables de la violation de données personnelles, ainsi que les mesures prises ou proposées par Backblaze pour remédier à cette violation, y compris, le cas échéant, des mesures pour atténuer ses effets négatifs éventuels. Une « violation de données personnelles » n'inclut pas l'accès à un compte Backblaze à l'aide d'identifiants valides, sauf si ces identifiants ont été divulgués à la suite d'une action ou d'une faute de Backblaze ou de l'un de ses sous-traitants.
Backblaze s'engage, au choix du client, à supprimer ou à retourner tous les fichiers au client après la fin de la prestation des services, sous réserve des frais applicables à ce moment-là, et à supprimer les copies existantes dans le délai indiqué dans la section « Durée », sauf si la législation en vigueur exige le stockage de ces données. Sous réserve de tous frais applicables à ce moment-là, les clients peuvent demander des copies (c.-à-d., le retour) de leurs fichiers dans leur compte Backblaze avant d'annuler les services.
Backblaze doit, à la demande d’un client, fournir toutes les informations raisonnablement nécessaires pour démontrer le respect des obligations de cette DPA, y compris une copie du rapport le plus récent sur cette conformité effectué à la demande de Backblaze par un auditeur externe, si disponible, et seulement si le client accepte de garder ces informations confidentielles dans le cadre d’un accord de confidentialité fourni par Backblaze. Backblaze informera immédiatement le client si, à son avis, une instruction enfreint les dispositions du RGPD britannique relatives à la protection des données applicables au client et/ou à Backblaze.
Pour en savoir plus sur notre conformité au RGPD du Royaume-Uni, veuillez consulter notre base de connaissances à l'adresse help.backblaze.com ou nous contacter à l'adresse privacy@backblaze.com.
Aux fins de l’article 26(2) de la directive 95/46/CE relative au transfert de données personnelles aux prestataires établis dans des pays tiers qui ne garantissent pas un niveau adéquat de protection des données
Nom de l’organisation exportatrice de données: Comme indiqué dans les informations applicables du titulaire du compte Backblaze
Adresse: Comme indiqué dans les informations applicables au titulaire du compte Backblaze
Tel.:………………………………………… ; Téléc:……………………………. ; Courriel:……………………………..
Autres informations nécessaires pour identifier l’organisation:
……………………………………………………………
(l’exportateur de données)
Et
Nom de l’organisation importatrice de données: Backblaze, Inc.
Adresse: 201 Baldwin Ave, San Mateo, CA 94401
Tel.: 650-352-3738; Téléc:……………… ; Courriel: privacy@backblaze.com
Autres informations nécessaires pour identifier l’organisation:
…………………………………………………………………
(l’importateur de données)
chacun un «parti»; collectivement, «les parties»,
ONT CONVENU des dispositions contractuelles suivantes (les dispositions) afin de prévoir des mesures de protection adéquates concernant la protection de la vie privée ainsi que les droits et libertés fondamentaux des individus pour le transfert par l’exportateur de données à l’importateur de données personnelles spécifiées à l’annexe 1.
Aux fins des présentes clauses:
(a) «données à caractère personnel», «catégories particulières de données», «traitement», «responsable du traitement», «sous-traitant», «personne concernée» et «commissaire» ont la même signification que dans le RGPD britannique;
(b) l'« exportateur de données » désigne le contrôleur qui transfère les données personnelles;
(c) l'«importateur de données» désigne le sous-traitant qui accepte de recevoir de l'exportateur de données des données personnelles à traiter pour son compte après le transfert, conformément à ses instructions et aux conditions des dispositions, et qui n'est pas soumis au système d'un pays tiers couvert par les réglementations du Royaume-Uni en matière d'adéquation, émises en vertu de l'article 17A de la loi sur la protection des données de 2018 ou des articles 4 et 5 de l'annexe 21 de la loi sur la protection des données de 2018;
(d) le «sous-traitant» désigne tout sous-traitant recruté par l’importateur de données ou par tout autre sous-processeur de l’importateur de données qui accepte de recevoir de l’importateur de données ou de tout autre sous-traitant de l’importateur de données des données personnelles exclusivement destinées à des activités de traitement effectuées au nom de l’exportateur de données après le transfert, conformément à ses instructions, aux dispositions et aux conditions du contrat de sous-traitance écrit;
(e) la «loi applicable en matière de protection des données» désigne la législation protégeant les droits et libertés fondamentaux des individus et, notamment, leur droit à la vie privée en ce qui concerne le traitement des données personnelles applicable à un préposé au traitement au Royaume-Uni;
(f) les «mesures de sécurité techniques et organisationnelles» désigne les mesures visant à protéger les données personnelles contre la destruction accidentelle ou illégale, la perte accidentelle, l'altération, la divulgation ou l'accès non autorisés, notamment lorsque le traitement comprend la transmission de données sur un réseau, et contre toute autre forme de traitement illégal.
Les détails du transfert et, en particulier, les catégories spéciales de données personnelles, le cas échéant, sont spécifiées à l’annexe 1, qui fait partie intégrante des dispositions.
1. La personne concernée peut faire valoir à l'encontre de l'exportateur de données la présente disposition, les alinéas 4 b) à i), les alinéas 5 a) à e) et g) à j), les paragraphes 6(1) et (2), l'article 7, le paragraphe 8(2) et les articles 9 à 12 en tant que tiers bénéficiaire.
2. La personne concernée peut faire valoir à l'encontre de l'importateur de données la présente disposition, les alinéas 5 a) à e) et g), les articles 6 et 7, le paragraphe 8(2) et les articles 9 à 12 dans les cas où l'exportateur de données a effectivement disparu ou a cessé d'exister en droit, à moins qu'une entité successeur n'ait assumé l'intégralité des obligations juridiques de l'exportateur de données par contrat ou par effet de la loi, reprenant ainsi les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir à l'encontre de cette entité.
2. La personne concernée peut faire valoir à l'encontre du sous-traitant la présente disposition, les alinéas 5 a) à e) et g), les articles 6 et 7, le paragraphe 8(2) et les articles 9 à 12 dans les cas où l'exportateur et l'importateur de données ont effectivement disparu ou cessé d'exister en droit, ou sont devenus insolvables, à moins qu'une entité successeur n'ait assumé l'intégralité des obligations juridiques de l'exportateur de données par contrat ou par effet de la loi, reprenant ainsi les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir à l'encontre de cette entité. La responsabilité du sous-traitant envers les tiers sera limitée à ses propres opérations de traitement en vertu des dispositions.
4. Les parties ne s'opposent pas à ce qu'une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si le droit national le permet.
L’exportateur de données accepte et garantit:
(a) que le traitement, y compris le transfert lui-même, des données personnelles a été et continuera d’être effectué conformément aux dispositions pertinentes de la loi applicable sur la protection des données (et, le cas échéant, a été notifié au Commissaire) et ne viole pas la loi applicable sur la protection des données;
(b) qu'il a demandé à l'importateur de données, et continuera de lui demander pendant toute la durée des services de traitement des données personnelles, de traiter les données personnelles transférées uniquement pour le compte de l'exportateur de données et conformément à la législation applicable en matière de protection des données et aux dispositions;
(c) que l'importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l'appendice 2 du présent contrat;
(d) qu'après évaluation des exigences de la législation applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données personnelles contre la destruction accidentelle ou illégale, la perte accidentelle, l'altération, la divulgation ou l'accès non autorisés, notamment lorsque le traitement comprend des transmissions de données sur un réseau, et contre toute autre forme de traitement illégale, et que ces mesures assurent un niveau de sécurité adapté aux risques présentés par le traitement et à la nature des données à protéger, compte tenu de l'état de la technique et du coût de leur mise en œuvre;
(e) qu'il veillera au respect des mesures de sécurité;
(f) que, si le transfert comprend des catégories particulières de données, la personne concernée a été informée ou sera informée avant, ou dès que possible après, le transfert que ses données pourraient être transmises à un pays tiers non couvert par les règlements d’adéquation émis en vertu de l’article 17A de la Loi sur la protection des données de 2018 ou des articles 4 et 5 de l’annexe 21 de la Loi sur la protection des données de 2018;
(g) transmettre au commissaire tout avis reçu de l'importateur de données ou de tout sous-traitant conformément à l'alinéa 5 b) et au paragraphe 8(3) si l'exportateur de données décide de poursuivre le transfert ou de lever la suspension;
(h) mettre à la disposition des personnes concernées, sur demande, une copie des dispositions, à l’exception de l’annexe 2, ainsi qu’une description sommaire des mesures de sécurité, ainsi qu’une copie de tout contrat de services de sous-traitement devant être conclu conformément aux dispositions, sauf si les dispositions ou le contrat contiennent des informations commerciales, auquel cas elle peut supprimer ces informations commerciales;
(i) que, en cas de sous-traitement, l'activité de traitement est effectuée conformément à l'article 11 par un sous-traitant assurant au moins le même niveau de protection des données personnelles et des droits de la personne concernée que l'importateur de données en vertu des dispositions;
(j) qu’elle veillera au respect des dispositions des alinéas 4 a) à i).
____________________________
1 Exigences obligatoires de la législation nationale applicables à l’importateur de données qui ne vont pas au-delà de ce qui est nécessaire dans une société démocratique, c’est-à-dire si elles constituent une mesure nécessaire pour assurer la sécurité nationale, la défense, la sécurité publique, la prévention, l’enquête, la détection et la poursuite des infractions pénales ou des manquements à la déontologie des professions réglementées, un intérêt économique ou financier important de l’État ou la protection de la personne concernée ou les droits et libertés d’autrui, ne contredisent pas les dispositions contractuelles normatives. Quelques exemples de telles exigences obligatoires qui ne vont pas au-delà de ce qui est nécessaire dans une société démocratique sont, entre autres, les sanctions reconnues à l'échelle internationale, les exigences de déclaration d'impôt ou les exigences de déclaration en matière de lutte contre le blanchiment d'argent.
L’importateur de données accepte et garantit:
(a) traiter les données personnelles uniquement au nom de l’exportateur de données et conformément à ses instructions et aux clauses; S’il ne peut pas assurer cette conformité pour quelque raison que ce soit, il s’engage à informer rapidement l’exportateur de données de son incapacité à se conformer, auquel cas l’exportateur de données a le droit de suspendre le transfert de données et/ou de résilier le contrat;
(b) qu’elle n’a aucune raison de croire que la législation applicable l’empêche de remplir les instructions reçues de l’exportateur de données et ses obligations en vertu du contrat, et qu’en cas de modification de cette législation susceptible d’avoir un effet défavorable substantiel sur les garanties et obligations prévues par les clauses, elle notifiera rapidement le changement à l’exportateur de données dès qu’elle en aura connaissance, auquel cas l’exportateur de données a le droit de suspendre le transfert de données et/ou de résilier le contrat;
(c) qu'il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 avant de traiter les données personnelles transférées;
(d) qu'elle avisera promptement l'exportateur de données de ce qui suit:
(i) toute demande juridiquement contraignante de divulgation des données personnelles présentée par une autorité chargée de l'application de la loi, sauf interdiction contraire, telle qu'une interdiction en vertu du droit pénal visant à préserver la confidentialité d'une enquête d'application de la loi;
(ii) tout accès accidentel ou non autorisé, et
(iii) toute demande reçue directement des personnes concernées sans y répondre, à moins qu'elle n'ait été autrement autorisée à le faire;
(e) traiter rapidement et correctement toutes les demandes de renseignements de l'exportateur de données relatives au traitement des données personnelles faisant l'objet du transfert et de se conformer aux conseils du commissaire en ce qui concerne le traitement des données transférées;
(f) à la demande de l’exportateur de données, de soumettre ses installations de traitement de données à l’audit des activités de traitement couvertes par les clauses, qui seront réalisées par l’exportateur de données ou un organisme d’inspection composé de membres indépendants et possédant les qualifications professionnelles requises, liés par un devoir de confidentialité, choisi par l’exportateur de données, le cas échéant, en accord avec le Commissaire;
(g) mettre à la disposition des personnes concernées, sur demande, une copie des dispositions, ou de tout contrat existant de sous-traitement, sauf si les dispositions ou le contrat contiennent des informations commerciales, auquel cas elle peut supprimer ces informations commerciales, à l’exception de l’annexe 2 qui sera remplacée par une description sommaire des mesures de sécurité dans les cas où la personne concernée ne peut obtenir une copie de l’exportateur de données;
(h) qu'en cas de sous-traitement, elle a préalablement informé l'exportateur de données et obtenu son consentement écrit préalable;
(i) que les services de traitement par le sous-traitant seront effectués conformément à l'article 11;
(j) envoyer rapidement une copie de tout accord de sous-traitance qu’il conclut en vertu des dispositions à l’exportateur de données.
1. Les parties conviennent que toute personne concernée qui a subi un dommage à la suite d'un manquement aux obligations visées à la Clause 3 ou à la Clause 11 par une partie ou un sous-traitant a droit à une indemnisation de la part de l'exportateur de données pour le dommage subi.
2. 2. Si une personne concernée n'est pas en mesure de présenter une demande d'indemnisation conformément à l'article 1 à l'encontre de l'exportateur de données, résultant d'une violation par l'importateur de données ou son sous-traitant de l'une de leurs obligations visées aux articles 3 ou 11, parce que l'exportateur de données a effectivement disparu ou a cessé d'exister en droit ou est devenu insolvable, l'importateur de données accepte que la personne concernée puisse introduire une réclamation à son encontre comme s'il s'agissait de l'exportateur de données, à moins qu’une entité successeure n’ait assumé l’ensemble des obligations légales de l’exportateur par contrat ou en vertu de la loi, auquel cas la personne concernée peut faire valoir ses droits à l'encontre de cette entité.
L'importateur de données ne peut invoquer le manquement d'un sous-traitant à ses obligations pour échapper à ses propres responsabilités.
3. Si une personne concernée n’est pas en mesure d’intenter une réclamation contre l’exportateur de données ou l’importateur de données visé aux paragraphes 1 et 2, résultant d’une violation par le sous-traitant de l’une de ses obligations visées à la Clause 3 ou à la Clause 11 parce que l’exportateur et l’importateur de données ont effectivement disparu, cessé d’exister en droit ou sont devenus insolvables, le sous-traitant accepte que la personne concernée puisse déposer une réclamation contre le sous-traitant concernant ses propres opérations de traitement en vertu des clauses, comme s’il s’agissait de l’exportateur ou de l’importateur de données, à moins qu’une entité successeure n’ait assumé l’ensemble des obligations légales de l’exportateur ou importateur de données par contrat ou par application de la loi, dans ce cas, la personne concernée peut faire valoir ses droits contre cette entité. La responsabilité du sous-traitant sera limitée à ses propres opérations de traitement en vertu des Clauses.
1. L'importateur de données convient que si la personne concernée invoque à son encontre les droits de tiers bénéficiaires et/ou demande des dommages-intérêts en vertu des clauses, l'importateur de données acceptera la décision de la personne concernée:
(a) soumettre le litige à la médiation d'une personne indépendante ou, le cas échéant, du commissaire;
(b) soumettre le litige devant les tribunaux du Royaume-Uni.
2. Les parties conviennent que le choix fait par la personne concernée ne portera pas atteinte à ses droits substantiels ou procéduraux de demander réparation conformément à d'autres dispositions du droit national ou international.
1. L'exportateur de données accepte de déposer une copie de ce contrat auprès du commissaire si celui-ci le demande ou si un tel dépôt est requis en vertu de la loi applicable sur la protection des données.
2. Les parties conviennent que le commissaire a le droit de procéder à un audit de l'importateur de données et de tout sous-traitant ultérieur, qui a la même portée et est soumis aux mêmes conditions que celles qui s'appliqueraient à un audit de l'exportateur de données en vertu de la législation applicable en matière de protection des données.
3. L’importateur de données doit informer rapidement l’exportateur de données de l’existence d’une législation applicable à celui-ci ou à tout sous-traitant empêchant la réalisation d’un audit de l’importateur de données, ou de tout sous-traitant, conformément au paragraphe 2. Dans un tel cas, l’exportateur de données sera en droit de prendre les mesures prévues à la clause 5 (b).
Les clauses sont régies par la loi du pays du Royaume-Uni où l'exportateur de données est établi, à savoir
………………………………………………………….
Les parties s’engagent à ne pas modifier les dispositions. Cela n'empêche pas les parties (i) d'apporter les modifications permises par les paragraphes 7(3) et (4) de l'annexe 21 de la Loi sur la protection des données de 2018; ou (ii) d'ajouter des dispositions relatives aux questions commerciales lorsque cela est nécessaire, à condition qu'elles ne contredisent pas la disposition.
1. L'importateur de données ne confie à aucun sous-traitant le traitement des données effectué pour le compte de l'exportateur de données en vertu des présentes dispositions sans l'accord écrit préalable de ce dernier. Si l'importateur de données confie à un sous-traitant la réalisation de ses obligations au titre des présentes, avec le consentement de l'exportateur de données, il doit le faire uniquement par le biais d'un accord écrit avec le sous-traitant qui impose à ce dernier les mêmes obligations que celles imposées à l'importateur de données au titre des présentes dispositions2. Si le sous-traitant n'exécute pas les obligations en matière de protection des données qui lui incombent en vertu de cet accord écrit, l'importateur de données demeure entièrement responsable envers l'exportateur de données de l'exécution des obligations du sous-traitant en vertu dudit accord.
____________________________
2 Cette exigence peut être satisfaite par la cosignature du sous-traitant secondaire du contrat conclu entre l'exportateur de données et l'importateur de données en vertu de la présente décision.
2. Le contrat écrit préalable entre l'importateur de données et le sous-traitant ultérieur prévoit également une disposition de tiers bénéficiaire telle que prévue à l'article 3 pour les cas où la personne concernée n'est pas en mesure d'introduire la demande d'indemnisation visée au paragraphe 1 de l'article 6 à l'encontre de l'exportateur de données ou de l'importateur de données parce qu'ils ont disparu de fait ou cessé d'exister en droit ou sont devenus insolvables et qu'aucune entité successeure n'a assumé l'intégralité des obligations juridiques de ce dernier par contrat ou par effet de la loi. La responsabilité du sous-traitant envers les tiers sera limitée à ses propres opérations de traitement en vertu des dispositions.
3. Les dispositions relatives aux aspects relatifs à la protection des données pour le sous-traitement du contrat visé au paragraphe 1 sont régies par les lois du pays du Royaume-Uni dans lequel l'exportateur de données est établi.
4. L'exportateur de données doit tenir une liste des accords de sous-traitance conclus en vertu des clauses et notifiés par l'importateur de données conformément à la clause 5 (j), qui doit être mise à jour au moins une fois par an. La liste doit être mise à la disposition du Commissaire.
1. Les parties conviennent qu’à la fin de la prestation des services de traitement des données, l’importateur de données et le sous-traitant doivent, au choix de l’exportateur de données, retourner toutes les données personnelles transférées et leurs copies à l’exportateur, ou détruire toutes les données personnelles et confirmer à l’exportateur qu’ils l’ont fait, à moins qu’une législation imposée à l’importateur de données l’empêche de retourner ou de détruire l'intégralité tout ou partie des données personnelles transférées. Le cas échéant, l’importateur de données s'engage à assurer la confidentialité des données personnelles transférées et ne traitera plus activement ces données.
2. L'importateur de données et le sous-traitant garantissent qu'à la demande de l'exportateur de données et/ou du commissaire, ils soumettront leurs établissements de traitement de données pour une vérification des mesures visées au paragraphe 1.
La présente annexe fait partie intégrante des dispositions et doit être dûment remplie et signée par les parties.
L’exportateur de données est (veuillez fournir une brève descriptions des activités pertinentes au transfert):
L'exportateur de données utilise les données personnelles qui sont transférées aux fins ou activités suivantes:
L'importateur de données est (veuillez fournir une brève descriptions des activités pertinentes au transfert):
Fournir la sauvegarde et le stockage des données à l’initiative du client.
Les activités de l'importateur de données pour le compte de l'exportateur de données qui sont pertinentes pour le transfert sont les suivantes:
Fournir la sauvegarde et le stockage des données à l’initiative du client.
Les données personnelles transférées concernent les catégories de données suivantes (veuillez préciser):
Les personnes concernées peuvent inclure les clients, les employés, les fournisseurs et les utilisateurs finaux du client.
Les données personnelles transférées concernent les catégories de données suivantes (veuillez préciser):
Les catégories de données personnelles comprennent toutes les données personnelles téléversées par le client.
Les données personnelles transférées concernent les catégories spéciales de données suivantes (veuillez préciser):
Les données personnelles qui concernent, révèlent ou se rapportent à ce qui suit:
☐ origine raciale ou ethnique
☐ opinions politiques
☐ croyances religieuses ou philosophiques
☐ appartenance syndicale
☐ données génétiques
☐ Données biométriques (si elles sont utilisées pour identifier une personne physique)
☐ santé
☐ vie sexuelle ou orientation sexuelle
☐ condamnations pénales et infractions
☐ Aucune des réponses ci-dessus
REMARQUE: Les données traitées sont déterminées par le client. Les données de catégories spéciales seront traitées si elles sont téléversées par le client. Seules les catégories de données téléversées par le client seront traitées.
Les données personnelles transférées seront soumises aux activités de traitement de base suivantes (veuillez préciser):
La présente annexe fait partie intégrante des dispositions et doit être dûment remplie et signée par les parties.
Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l’importateur de données conformément aux clauses 4(d) et 5(c) (ou document/législation ci-joints):
Voici la description des mesures de sécurité techniques et organisationnelles mises en œuvre par l’importateur de données conformément aux clauses 4(d) et 5(c):
Sécurité des systèmes et des services: Afin d'assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services Backblaze, cette dernière a mis en place et maintiendra des contrôles de sécurité, notamment la destruction sécuritaire des dispositifs de stockage de données, la tenue d'un inventaire des actifs, la limitation de l'accès aux bibliothèques de codes sources, la séparation des environnements de production et d'entreprise, et la protection des hôtes à l'aide de pare-feu et de logiciels antivirus.
Continuité des activités et plan de reprise: Afin d'assurer la capacité à rétablir la disponibilité et l'accès aux données personnelles dans les meilleurs délais en cas d'incident physique ou technique, Backblaze examine et met à jour (si nécessaire) son plan de reprise des activités chaque année et lors de changements organisationnels et environnementaux importants.
Gestion des risques: Afin d'assurer la sécurité du traitement, Backblaze teste, évalue et analyse régulièrement l'efficacité des mesures techniques et organisationnelles en faisant appel à des services tiers indépendants de tests de pénétration, effectue des analyses de vulnérabilité et remédie rapidement aux problèmes détectés.
Contrôle d'accès: Backblaze gère les risques associés à l'identification et à l'autorisation des utilisateurs en maintenant une politique officielle de contrôle d'accès, en gérant de manière centralisée les comptes des utilisateurs, en examinant l'accès des utilisateurs et en révoquant rapidement l'accès au besoin.
Chiffrement: Backblaze protège les données personnelles pendant la transmission et le stockage en chiffrant les fichiers stockés à l'aide du service de sauvegarde personnelle/professionnelle et en offrant un chiffrement géré par le client pour les fichiers stockés à l'aide du service de stockage en nuage B2.
Sécurité physique: Afin d'assurer la sécurité physique des emplacements où les données personnelles sont traitées, Backblaze utilise des systèmes de contrôle d'accès avec enregistrement, caméras de vidéosurveillance et mesures de protection de l'environnement.
Journalisation des événements: Pour s'assurer que les événements sont consignés, Backblaze a mis en œuvre un outil automatisé de collecte et d'analyse des journaux.
Configuration du système: Afin d'assurer la protection des configurations du système, Backblaze limite l'installation de logiciels.
Gouvernance et gestion de la sécurité: La gouvernance et la gestion de la sécurité de Backblaze comprennent un ensemble officiel de politiques de sécurité de l'information et de confidentialité, la communication de politiques aux membres du personnel et des examens réguliers des politiques.
Qualité des données: Backblaze utilise des sommes de contrôle et des vérifications d'intégrité en arrière-plan.