ANNEXE SUR LA PROTECTION DES DONNÉES
Les conditions suivantes s'appliquent à Epiq eDiscovery Solutions, Inc et à ses sociétés affiliées (collectivement "Epiq") ainsi qu'au Client identifié dans le Contrat-Cadre de Services Juridiques d'Epiq signé par Epiq et le Client.
Sauf indication contraire expressément stipulée dans les présentes, les termes définis dans le Contrat-Cadre de Services Juridiques d'Epiq s'appliquent à cette annexe.
Les termes définis suivants s'appliquent à cette annexe sur la protection des données :
"Données du Client" désigne la copie des Données Originales fournies à Epiq pour être utilisées dans le cadre de la prestation des Services.
"Responsable du traitement des données" désigne une personne qui (seule ou conjointement ou en commun avec d'autres personnes) détermine les finalités et les moyens du traitement des données personnelles.
"Sous-traitant des données", en relation avec les données personnelles, désigne toute personne (autre qu'un employé du Responsable du traitement des données) qui traite les données pour le compte du Responsable du traitement des données.
Lois sur la protection des données" signifie (i) les lois européennes sur la protection des données ; (ii) les lois britanniques sur la protection des données ; (iii) le CCPA ; (iii) dans la mesure où elles s'appliquent, toutes les autres lois et réglementations ainsi que les recommandations sectorielles contenant des règles pour la protection des individus en ce qui concerne le traitement des données personnelles dans tout autre pays, y compris, sans s'y limiter, les exigences en matière de sécurité pour, et la libre circulation de, données personnelles ; et (iv) toute loi, réglementation et règle promulguée en vertu des parties (i), (ii) ou (iii) ci-dessus.
"Consentement de la personne concernée" désigne, tel que requis par la loi applicable, une autorisation écrite de chaque personne nécessaire, qu'il s'agisse d'un individu ou d'une entité, qui approuve la collecte ou l'utilisation par Epiq de toutes les données ou informations sous leur contrôle, uniquement dans la mesure nécessaire pour qu'Epiq fournisse les Services.
"Lois européennes sur la protection des données" désigne le Règlement Général sur la Protection des Données de l'UE 2016/679 du Parlement européen et du Conseil (“RGPD”) et les lois mettant en œuvre ou complétant le RGPD, ainsi que la Directive sur la vie privée et les communications électroniques 2002/58 et d'autres législations en matière de protection des données ou de la vie privée en vigueur de temps à autre dans l'EEE ;
"Données Originales" désigne la version originale de toutes les données et matériaux du Client.
"Traitement" et "Traite" chacun, en relation avec des informations ou des données, désigne l'obtention, l'enregistrement ou la conservation des informations ou des données ou la réalisation de toute opération ou série d'opérations sur les informations ou les données, y compris : (a) l'organisation, l'adaptation ou la modification des informations ou des données ; (b) la récupération, la consultation ou l'utilisation des informations ou des données ; (c) la divulgation des informations ou des données par transmission, diffusion ou autrement les rendre disponibles ; ou (d) l'alignement, la combinaison, le blocage, l'effacement ou la destruction des informations ou des données.
"Clauses Contractuelles Types (CCT)" désigne :
- les clauses contractuelles types (sous-traitants) pour le transfert de données personnelles vers des sous-traitants établis dans des pays tiers qui ne fournissent pas un niveau de protection adéquat, telles qu'établies dans la décision 2010/87/CE de la Commission, révisées, mises à jour ou remplacées de temps à autre par la Commission européenne ;
- en ce qui concerne le Royaume-Uni, les clauses contractuelles types pertinentes spécifiées dans :
- les règlements en vertu de l'article 46(2)(c) du RGPD britannique ; ou
- les documents publiés (et non retirés) en vertu de l'article 46(2)(d) du RGPD britannique ; ou
- lorsqu'exigé de temps à autre par une Autorité de Surveillance pour l'utilisation en ce qui concerne tout transfert, tout autre ensemble de clauses contractuelles ou autre mécanisme similaire approuvé par cette autorité de surveillance ou par les Lois sur la Protection des Données pour l'utilisation en ce qui concerne le transfert, tel que mis à jour, remplacé ou remplacé de temps à autre par chaque Autorité de Surveillance ou les Lois sur la Protection des Données.
- une autorité publique indépendante créée par un État membre conformément à l'article 51 du RGPD/RGPD britannique ; et
- toute autorité de régulation similaire responsable de l'application de la législation sur la protection des données.
"Lois britanniques sur la protection des données" désigne le RGPD britannique, ainsi que la loi britannique sur la protection des données de 2018, le règlement sur la vie privée et les communications électroniques (directive CE) de 2003 (tel qu'amendé), le règlement sur la protection des données, la vie privée et les communications électroniques (modifications, etc.) (sortie de l'UE) de 2019 et toute autre législation en matière de protection des données ou de la vie privée en vigueur de temps à autre au Royaume-Uni ;
"RGPD britannique" désigne le RGPD tel que transposé dans la législation nationale britannique par application de l'article 3 de la loi de retrait de l'Union européenne de 2018 et ensuite amendé par les règlements de protection des données, vie privée et communications électroniques (modifications, etc.) (sortie de l'UE) de 2019.
Sauf indication contraire expressément stipulée dans les présentes, "Responsable du traitement", "Sous-traitant", "Données personnelles", "Personne concernée", "Violation des données personnelles" et "Traitement" ont les mêmes significations que dans la législation sur la protection des données et "Traité" et "Traiter" doivent être interprétés conformément à la définition de "Traitement".
- Les parties conviennent qu'Epiq est un Sous-traitant traitant des données personnelles pour le compte du Client (en tant que Responsable du traitement).
- Dans la mesure où les Services impliquent le traitement de données personnelles, Epiq doit à tout moment traiter les données personnelles conformément aux Lois sur la Protection des Données et se conformer à toutes les obligations applicables aux sous-traitants en vertu de ces lois, et doit :
- ne pas traiter les données personnelles du Client autrement que selon les instructions documentées du Client, y compris en ce qui concerne les transferts de données personnelles vers un pays tiers ou une organisation internationale, sauf si le traitement est requis par les lois applicables auxquelles Epiq est soumis, auquel cas Epiq doit informer le Client de ces exigences légales avant ce traitement, sauf si cette loi interdit une telle information pour des motifs importants d'intérêt public ;
- tenir un registre de ses activités de traitement effectuées pour et au nom du Client. Ce registre doit contenir :
- le nom et les coordonnées d'Epiq ainsi que le nom et les coordonnées du Client ;
- les catégories de traitement effectuées pour le compte du Client ;
- le cas échéant, des détails sur les transferts de données personnelles du Client vers un pays tiers, y compris l'identification de ce pays tiers ou de cette organisation internationale et la documentation des mesures de protection qu'Epiq a mises en place pour garantir que le transfert sera conforme aux Lois sur la Protection des Données ;
- des détails sur les mesures techniques et organisationnelles et les mesures de sécurité qu'Epiq a mises en place pour garantir la sécurité des données personnelles du Client.
- lorsque demandé par le Client, Epiq doit mettre à disposition le registre de traitement au point (c) ci-dessus au Client dans les quarante-huit (48) heures suivant une telle demande.
- traiter ces données personnelles uniquement dans la mesure raisonnable nécessaire pour fournir les Services ;
- mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées contre le traitement non autorisé ou illicite de ces données personnelles, y compris l'engagement de personnel fiable et la mise en œuvre de mesures de sécurité appropriées pour garantir un niveau de sécurité adapté aux risques, tel que requis par l'article 32 du RGPD/RGPD britannique ou des dispositions similaires en vertu de toute autre Loi sur la Protection des Données ;
- transmettre raisonnablement rapidement au Client toute demande de détails concernant, ou de demande d'accès à, des données personnelles et ne pas répondre à de telles demandes en son propre nom ;
- lorsqu'Epiq reçoit une demande d'accès de la part d'une personne concernée, fournir une assistance raisonnable au Client pour lui permettre de répondre à la demande pertinente, dans chaque cas uniquement en relation avec le traitement des données personnelles du Client par Epiq, en tenant compte de la nature du traitement et des informations disponibles pour Epiq ;
- prendre des mesures raisonnables pour garantir la fiabilité de tout membre de son personnel et/ou de ses Agents et/ou de ses sous-traitants qui auront accès aux données personnelles, en s'assurant que tout membre de son personnel et/ou de ses Agents et/ou de ses sous-traitants est contractuellement tenu de respecter la confidentialité des données personnelles ;
- informer le Client sans délai injustifié s'il prend connaissance de toute destruction accidentelle ou illicite, perte accidentelle, altération, divulgation non autorisée ou accès non autorisé aux données personnelles et fournir au Client toute assistance raisonnable pour enquêter sur la violation des données et en atténuer l'impact. Epiq doit également fournir toute assistance raisonnable au Client en ce qui concerne ses obligations de fournir des notifications adéquates aux autorités de protection des données compétentes et aux personnes concernées affectées ; pas plus d'une fois par an, sur préavis écrit d'au moins trente (30) jours à Epiq et pendant les heures ouvrables normales, permettre à un représentant du Client d'accéder à tout local pertinent où les Services sont fournis, appartenant à ou contrôlé par Epiq, pour inspecter les mesures, programmes et procédures adoptés dans l'exécution et la conformité au présent Accord. Epiq doit également mettre à disposition du Client, à la demande raisonnable du Client, toutes les informations nécessaires pour démontrer la conformité à cet Accord ;
- à la résiliation de l'Accord, pour quelque raison que ce soit, sur instruction et aux frais du Client, retourner toutes les données personnelles et toutes les copies des données personnelles au Client immédiatement, transférer les données personnelles à un tiers désigné par le Client, conserver les données personnelles moyennant des frais, ou en cas d'absence d'instruction du Client, détruire toutes les copies de celles-ci, comme stipulé à la section 4 (Effets de la résiliation ; Continuation des services) et certifier au Client qu'il l'a fait, à moins qu'Epiq ne soit empêché par sa loi nationale, ses politiques internes ou son régulateur local de détruire ou de retourner tout ou partie de ces données, auquel cas les données seront conservées confidentielles et ne seront pas activement traitées à d'autres fins ; et
- ne pas sous-traiter le traitement des données personnelles ni divulguer les données personnelles à un tiers, sauf si cela est expressément autorisé par le présent Accord ou autrement autorisé par le Client par écrit.
- Epiq ne collectera, n'utilisera, ne conservera ni ne divulguera des informations personnelles pour les Services pour lesquels le Client fournit ou autorise l'accès aux informations personnelles. Epiq ne collectera, n'utilisera, ne conservera, ne divulguera, ne vendra, ne partagera ou ne rendra autrement des informations personnelles disponibles pour ses propres fins commerciales d'une manière qui ne soit pas conforme au CCPA ou aux Lois sur la Protection des Données. Si une loi exige qu'Epiq divulgue des informations personnelles à des fins non liées aux Services contractuels, Epiq doit d'abord informer le Client de l'exigence légale et donner au Client la possibilité de s'y opposer ou de contester l'exigence, sauf si la loi interdit un tel avis. Epiq ne combinera aucune information personnelle dans les Données du Client avec des informations personnelles qu'Epiq reçoit de ou pour le compte de toute personne ou entité autre que le Client ou ses employés (ou un tiers agissant pour le compte du Client ou de ses employés), ou qu'Epiq collecte à partir de ses propres interactions avec les personnes concernées. Epiq se conformera aux Lois sur la Protection des Données applicables et fournira le même niveau de protection aux informations personnelles que celui requis par les Lois sur la Protection des Données applicables. Epiq informera immédiatement le Client si Epiq détermine qu'il ne peut plus répondre à ses obligations de conformité aux Lois sur la Protection des Données applicables. Epiq reconnaît que le Client a le droit de prendre des mesures raisonnables et appropriées pour aider à garantir qu'Epiq traite les informations personnelles d'une manière conforme aux Lois sur la Protection des Données applicables, y compris, sans s'y limiter, le droit, sur notification, d'arrêter et de remédier à tout traitement non autorisé.
- Le Client doit s'assurer qu'il agit en totale conformité avec les Lois sur la Protection des Données applicables en ce qui concerne toutes les données personnelles, et déclare et garantit à Epiq que, en ce qui concerne toutes les données personnelles qu'il transfère, ou rend autrement disponibles, à Epiq, (a) il est légalement en mesure de transférer ou de rendre ces données personnelles disponibles, et (b) il a obtenu tous les consentements nécessaires des personnes concernées, y compris le Consentement de la Personne Concernée.
- Le Client déclare et garantit que (a) la fourniture des Données du Client au Prestataire de Services et le traitement des Données du Client par le Prestataire de Services conformément aux termes du présent Accord ne feront pas en sorte que le Prestataire de Services soit en violation des Lois sur la Protection des Données applicables aux Données du Client ; (b) il accumulera et collectera toutes les Données du Client en conformité avec toutes les Lois sur la Protection des Données pertinentes ; et (c) il obtiendra les Consentements des Personnes Concernées pour que le Prestataire de Services collecte toutes les données, si nécessaire, et pour les utiliser avec toutes les autres Données du Client, matériel et logiciel associés, dans le cadre de la fourniture des Services. Les parties conviennent que lorsque les Données du Client peuvent être traitées en dehors de l'EEE et des États-Unis, les parties concernées peuvent conclure les CCT en ce qui concerne tout transfert de ce type du Client à un sous-traitant contracté (ou transfert ultérieur). Les CCT entrent en vigueur à la date la plus tardive parmi les suivantes : (i) l'exportateur de données devenant partie aux CCT ; (ii) l'importateur de données devenant partie aux CCT ; et (iii) le début du transfert pertinent auquel les CCT se rapportent. Si, à tout moment, une Autorité de Surveillance ou un tribunal compétent sur une partie exige que les transferts des responsables du traitement de l'EEE ou du Royaume-Uni vers des sous-traitants établis en dehors de l'EEE ou du Royaume-Uni soient soumis à des garanties supplémentaires (y compris, mais sans s'y limiter, des mesures techniques et organisationnelles), les parties coopéreront de bonne foi pour mettre en œuvre ces garanties et s'assurer que tout transfert de données personnelles du Client soit effectué avec le bénéfice de ces garanties supplémentaires.