Responsable du traitement - Responsable du traitement DPA

AVENANT DE CONTROLEUR À CONTROLEUR AU CONTRAT DE LICENCE-CADRE

INTRODUCTION

Le présent avenant relatif à la protection des données (« DPA ») est intégré aux conditions générales du contrat de licence-cadre (« MLA ») conclu entre STATS Perform (tel qu’identifié dans tout bon de commande signé par les parties) et le titulaire de la licence (tel qu’identifié dans tout bon de commande signé par les parties), et en fait partie intégrante. En cas de conflit entre le MLA et le présent DPA, ou entre un bon de commande et le présent DPA, le DPA prévaudra. Tous les termes en majuscules non définis dans les présentes ont le sens qui leur est donné dans le MLA.

CHAMP D'APPLICATION

Le présent accord de traitement des données s'applique dans le cas où STATS Perform, ou l'une de ses sociétés affiliées, depuis l'EEE ou le Royaume-Uni, transfère ou met à la disposition du titulaire de la licence des données à caractère personnel en vue de leur traitement dans une juridiction située en dehors de l'EEE, et que cette juridiction n'est pas couverte par une décision d'« adéquation » rendue par la Commission européenne ou soumise à un autre mécanisme de transfert légal satisfaisant aux exigences de la législation sur la protection des données (aux fins du présent ATD, un «transfert de données concerné »). Le présent ATD définit et intègre les clauses contractuelles types («CCT») conformément à la décision de la Commission européenne du 27 décembre 2004 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers n'assurant pas un niveau adéquat de protection des données.

Les CCT ne peuvent être modifiées, ne sont pas négociables et sont exigées par la législation sur la protection des données pour tout transfert de données concerné.

En conséquence, les parties concluent le présent accord sur le traitement des données afin de garantir que les transferts de données concernés soient conformes à la législation en matière de protection des données.

IL EST D'ACCORD PAR LA PRÉSENTE ce qui suit :

  • Clauses contractuelles types entre responsables du traitement

Clauses contractuelles types pour le transfert de données à caractère personnel de la Communauté vers des pays tiers (transferts de responsable du traitement à responsable du traitement)

Accord de transfert de données

entre

STATS Perform (tel qu'indiqué sur le bon de travail)

L'adresse et le pays d'établissement de STATS Perform, tels qu'indiqués dans le bon de commande

ci-après dénommé « exportateur dedonnées »

et

Le titulaire de la licence (tel qu'indiqué sur le bon de commande)

L'adresse et le pays d'établissement du titulaire de la licence, tels qu'indiqués dans le bon de commande

ci-après dénommé « importateurde données »

chacune étant dénommée «partie» ; ensemble, «les parties».

DÉFINITIONS

Aux fins des présentes clauses :

  • les termes «données à caractère personnel», «catégories particulières de données/données sensibles», «traitement», «responsable du traitement», «sous-traitant», «personne concernée» et «autorité de contrôle» ont le même sens que dans la directive 95/46/CE du 24 octobre 1995 ou dans toute loi applicable en matière de protection des données (le terme «l'autorité» désignant l'autorité compétente en matière de protection des données sur le territoire où l'exportateur de données est établi) ;
  • on entend par « exportateur de données » le responsable du traitement qui transfère les données à caractère personnel ;
  • on entend par «importateur de données» le responsable du traitement qui accepte de recevoir de l'exportateur de données des données à caractère personnel en vue de leur traitement ultérieur conformément aux dispositions des présentes clauses et qui n'est pas soumis au régime d'un pays tiers garantissant un niveau de protection adéquat ;
  • On entend par « clauses » les présentes clauses contractuelles, qui constituent un document autonome ne reprenant pas les conditions commerciales fixées par les parties dans le cadre d'accords commerciaux distincts.

Les détails du transfert (ainsi que les données à caractère personnel concernées) sont précisés à l'annexe 2, qui fait partie intégrante des clauses.

1 OBLIGATIONS DE L'EXPORTATEUR DE DONNÉES

L'exportateur de données garantit et s'engage à ce que :

  • Les données à caractère personnel ont été collectées, traitées et transférées conformément à la législation applicable à l'exportateur de données.
  • Elle a déployé tous les efforts raisonnables pour s'assurer que le destinataire des données est en mesure de respecter les obligations légales qui lui incombent en vertu des présentes clauses.
  • Il fournira à l'importateur de données, sur simple demande, des copies des lois applicables en matière de protection des données ou des références à celles-ci (le cas échéant, à l'exclusion de tout conseil juridique) du pays dans lequel l'exportateur de données est établi.
  • Il répondra aux demandes de renseignements émanant des personnes concernées et de l'autorité compétente concernant le traitement des données à caractère personnel par l'importateur de données, à moins que les parties n'aient convenu que ce dernier se chargerait de répondre ; dans ce cas, l'exportateur de données répondra néanmoins dans la mesure du possible et en fournissant les informations dont il dispose raisonnablement si l'importateur de données ne souhaite pas ou n'est pas en mesure de répondre. Les réponses seront fournies dans un délai raisonnable.
  • Il mettra à disposition, sur demande, une copie des clauses aux personnes concernées qui sont des tiers bénéficiaires au sens de la clause 3, à moins que ces clauses ne contiennent des informations confidentielles, auquel cas il pourra supprimer ces informations. En cas de suppression d'informations, l'exportateur de données informera par écrit les personnes concernées du motif de cette suppression et de leur droit de porter celle-ci à l'attention de l'autorité. Toutefois, l'exportateur de données se conforme à la décision de l'autorité concernant l'accès des personnes concernées au texte intégral des clauses, pour autant que les personnes concernées aient accepté de respecter la confidentialité des informations confidentielles supprimées. L'exportateur de données fournit également une copie des clauses à l'autorité lorsque celle-ci le demande.

2 OBLIGATIONS DE L'IMPORTATEUR DE DONNÉES

L'importateur de données garantit et s'engage à ce que :

  • Elle mettra en place les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la divulgation non autorisée ou l'accès non autorisé, et qui garantissent un niveau de sécurité adapté au risque présenté par le traitement et à la nature des données à protéger.
  • Il mettra en place des procédures visant à garantir que tout tiers auquel il autorise l'accès aux données à caractère personnel, y compris les sous-traitants, respecte et préserve la confidentialité et la sécurité de ces données. Toute personne agissant sous l'autorité de l'importateur de données, y compris un sous-traitant, est tenue de traiter les données à caractère personnel uniquement sur instruction de l'importateur de données. Cette disposition ne s'applique pas aux personnes autorisées ou tenues par la loi ou la réglementation d'avoir accès aux données à caractère personnel.
  • Au moment de la conclusion des présentes clauses, il n'a aucune raison de croire à l'existence de lois locales susceptibles d'avoir un effet négatif significatif sur les garanties prévues par les présentes clauses, et il informera l'exportateur de données (qui transmettra cette notification à l'autorité compétente si nécessaire) s'il venait à avoir connaissance de telles lois.
  • Elle traitera les données à caractère personnel aux fins décrites à l'annexe 2 et dispose de l'autorité légale nécessaire pour donner les garanties et respecter les engagements énoncés dans les présentes clauses.
  • Il désignera auprès de l'exportateur de données un interlocuteur au sein de son organisation, habilité à répondre aux demandes de renseignements concernant le traitement des données à caractère personnel, et coopérera de bonne foi avec l'exportateur de données, la personne concernée et l'autorité compétente pour répondre à toutes ces demandes dans un délai raisonnable. En cas de dissolution légale de l'exportateur de données, ou si les parties en ont ainsi convenu, l'importateur de données assumera la responsabilité du respect des dispositions de la clause 1, point e).
  • À la demande de l'exportateur de données, celui-ci devra fournir la preuve qu'il dispose de ressources financières suffisantes pour s'acquitter des responsabilités qui lui incombent en vertu de la clause 3 (ce qui peut inclure une couverture d'assurance).
  • Sur demande raisonnable de l'exportateur de données, celui-ci soumettra ses installations de traitement des données, ses fichiers de données et la documentation nécessaire au traitement à un examen, un audit et/ou une certification par l'exportateur de données (ou par tout agent d'inspection ou auditeur indépendant et impartial, choisi par l'exportateur de données et à l'égard duquel l'importateur de données n'a pas formulé d'objection raisonnable), afin de vérifier le respect des garanties et engagements prévus dans les présentes clauses, moyennant un préavis raisonnable et pendant les heures normales de bureau. Cette demande sera soumise à tout consentement ou autorisation nécessaire de la part d'une autorité de régulation ou de contrôle dans le pays de l'importateur de données, consentement ou autorisation que l'importateur de données s'efforcera d'obtenir en temps utile.
  • Elle traitera les données à caractère personnel, à sa discrétion, conformément aux principes de traitement des données énoncés à l'annexe 1. Chacun des importateurs de données ci-dessous confirme par ses initiales ci-dessous son engagement à respecter ces principes :

          Les parties conviennent qu'en signant et en datant le bon de commande, elles paraphent, acceptent et souscrivent à la présente clause 2(h).

  • Elle ne divulguera ni ne transférera les données à caractère personnel à un responsable du traitement tiers situé en dehors de l'Espace économique européen (EEE), à moins d'informer l'exportateur de données de ce transfert et
    • le responsable du traitement tiers traite les données à caractère personnel conformément à une décision de la Commission constatant qu'un pays tiers assure un niveau de protection adéquat, ou
    • le responsable du traitement tiers devient signataire des présentes clauses ou d'un autre accord de transfert de données approuvé par une autorité compétente de l'UE, ou
    • les personnes concernées ont eu la possibilité de s'opposer, après avoir été informées des finalités du transfert, des catégories de destinataires et du fait que les pays vers lesquels les données sont exportées peuvent appliquer des normes différentes en matière de protection des données, ou
    • en ce qui concerne les transferts ultérieurs de données sensibles, les personnes concernées ont donné leur consentement sans équivoque à ce transfert

3. RESPONSABILITÉ ET DROITS DES TIERS

    • Chaque partie est responsable envers les autres parties des dommages qu'elle cause en raison d'une violation des présentes clauses. La responsabilité entre les parties est limitée au préjudice réel subi. Les dommages-intérêts punitifs (c'est-à-dire les dommages-intérêts visant à sanctionner une partie pour son comportement scandaleux) sont expressément exclus. Chaque partie est responsable envers les personnes concernées des dommages qu'elle cause en raison de toute violation des droits de tiers en vertu des présentes clauses. Cela n'affecte pas la responsabilité de l'exportateur de données en vertu de sa législation sur la protection des données.
    • Les parties conviennent que toute personne concernée a le droit de faire valoir, en tant que tiers bénéficiaire, la présente clause ainsi que les clauses 1(b), 1(d), 1(e), 2(a), 2(c), 2(d), 2(e), 2(h), 2(i), 3(a), 5, 6(d) et 7 à l’encontre de l’importateur de données ou de l’exportateur de données, en cas de manquement de leur part à leurs obligations contractuelles respectives concernant ses données à caractère personnel, et acceptent la compétence à cette fin du pays d’établissement de l’exportateur de données. Dans les cas impliquant des allégations de manquement de la part de l’importateur de données, la personne concernée doit d’abord demander à l’exportateur de données de prendre les mesures appropriées pour faire valoir ses droits à l’encontre de l’importateur de données ; si l’exportateur de données ne prend pas ces mesures dans un délai raisonnable (qui, dans des circonstances normales, serait d’un mois), la personne concernée peut alors faire valoir ses droits directement à l’encontre de l’importateur de données. Une personne concernée est en droit d’intenter une action directement contre un exportateur de données qui n’a pas déployé des efforts raisonnables pour s’assurer que l’importateur de données est en mesure de satisfaire à ses obligations légales en vertu des présentes clauses (il incombe à l’exportateur de données de prouver qu’il a déployé des efforts raisonnables).

4 DROIT APPLICABLE AUX CLAUSES

Les présentes clauses sont régies par le droit du pays dans lequel l'exportateur de données est établi, à l'exception des lois et règlements relatifs au traitement des données à caractère personnel par l'importateur de données en vertu de la clause 2, point h), qui ne s'appliquent que si l'importateur de données en fait le choix en vertu de cette clause.

5 RÈGLEMENT DES LITIGES AVEC LES PERSONNES CONCERNÉES OU L'AUTORITÉ

    • En cas de litige ou de réclamation introduit par une personne concernée ou par l'autorité compétente concernant le traitement des données à caractère personnel à l'encontre de l'une des parties ou des deux, les parties s'informeront mutuellement de ces litiges ou réclamations et coopéreront en vue de les régler à l'amiable dans les meilleurs délais.
    • Les parties conviennent de répondre à toute procédure de médiation non contraignante et accessible à tous, engagée par une personne concernée ou par l'autorité compétente. Si elles décident de participer à la procédure, les parties peuvent choisir de le faire à distance (par exemple par téléphone ou par d'autres moyens électroniques). Les parties conviennent également d'envisager de participer à toute autre procédure d'arbitrage, de médiation ou de règlement des litiges mise en place pour les litiges relatifs à la protection des données.
    • Chaque partie se soumet à la décision définitive et sans appel d'un tribunal compétent du pays où l'exportateur de données est établi ou de l'autorité compétente.

6 RÉSILIATION

    • Si le destinataire des données manque aux obligations qui lui incombent en vertu des présentes clauses, l'exportateur de données peut suspendre temporairement le transfert de données à caractère personnel vers le destinataire jusqu'à ce que le manquement soit corrigé ou que le contrat soit résilié.
    • Dans le cas où :
      • le transfert de données à caractère personnel vers le destinataire a été temporairement suspendu par l'exportateur depuis plus d'un mois, conformément au paragraphe a) ;
      • le respect de ces clauses par l'importateur de données l'amènerait à enfreindre ses obligations légales ou réglementaires dans le pays d'importation ;
      • l'importateur de données enfreint de manière substantielle ou persistante l'une des garanties ou engagements qu'il a pris en vertu des présentes clauses ;
      • une décision définitive, sans possibilité de recours, rendue par une juridiction compétente du pays d'établissement de l'exportateur de données ou par l'autorité compétente, constatant une violation des clauses par l'importateur ou l'exportateur de données ; ou
      • une demande est introduite en vue de la mise sous administration judiciaire ou de la liquidation de l'importateur de données, qu'il agisse à titre personnel ou professionnel, et que cette demande n'est pas rejetée dans le délai prévu à cet effet par la législation applicable ; une ordonnance de liquidation est rendue ; un administrateur judiciaire est désigné pour l'un de ses actifs ; un syndic de faillite est désigné, si l'importateur de données est une personne physique ; un concordat volontaire est conclu par celui-ci ; ou tout autre événement équivalent survient dans une juridiction quelconque

dans ce cas, l'exportateur de données, sans préjudice de tout autre droit dont il pourrait disposer à l'encontre de l'importateur de données, est en droit de résilier les présentes clauses, auquel cas l'autorité compétente en est informée si nécessaire. Dans les cas visés aux points i), ii) ou iv) ci-dessus, l'importateur de données peut également résilier les présentes clauses.

  • Chacune des parties peut résilier les présentes clauses si :
    • si la Commission a adopté une décision d'adéquation positive en vertu de l'article 25, paragraphe 6, de la directive 95/46/CE (ou de tout texte qui lui succède) concernant le pays (ou un secteur de ce pays) vers lequel les données sont transférées et où elles sont traitées par l'importateur de données, ou
    • La directive 95/46/CE (ou tout texte qui la remplace) devient directement applicable dans ce pays.
  • Les parties conviennent que la résiliation des présentes clauses, à tout moment, en toutes circonstances et pour quelque raison que ce soit (à l'exception de la résiliation prévue à la clause 6(c)), ne les dispense pas des obligations et/ou conditions prévues par lesdites clauses en ce qui concerne le traitement des données à caractère personnel transférées.

7 MODIFICATION DE CES CLAUSES

Les parties ne peuvent modifier les présentes clauses, sauf pour mettre à jour les informations figurant à l'annexe 2, auquel cas elles en informeront l'autorité compétente si nécessaire. Cela n'empêche pas les parties d'ajouter des clauses commerciales supplémentaires si nécessaire.

8 DESCRIPTION DU TRANSFERT

Les détails du transfert et des données à caractère personnel sont précisés à l'annexe 2. Les parties conviennent que l'annexe 2 peut contenir des informations commerciales confidentielles qu'elles s'engagent à ne pas divulguer à des tiers, sauf si la loi l'exige, en réponse à une demande d'une autorité réglementaire ou gouvernementale compétente, ou conformément à la clause 1(e). Les parties peuvent conclure des annexes supplémentaires pour couvrir des transferts supplémentaires, qui seront soumises à l'autorité compétente si nécessaire. L'annexe 2 peut, à titre alternatif, être rédigée de manière à couvrir plusieurs transferts.

Les parties conviennent qu'en signant et en datant le bon de commande, elles acceptent d'être liées par les CGV, y compris l'annexe 1 et l'annexe 2.

  • (Principes relatifs au traitement des données)
    • Limitation de la finalité : Les données à caractère personnel ne peuvent être traitées, puis utilisées ou communiquées ultérieurement, qu'aux fins décrites à l'annexe 2 ou autorisées ultérieurement par la personne concernée.
    • Qualité et proportionnalité des données : Les données à caractère personnel doivent être exactes et, si nécessaire, tenues à jour. Elles doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont transférées et traitées ultérieurement.
    • Transparence : les personnes concernées doivent recevoir les informations nécessaires pour garantir un traitement loyal (telles que des informations sur les finalités du traitement et sur le transfert), à moins que ces informations n'aient déjà été fournies par l'exportateur de données.
    • Sécurité et confidentialité : Le responsable du traitement doit mettre en œuvre des mesures de sécurité techniques et organisationnelles adaptées aux risques liés au traitement, tels que la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la divulgation non autorisée ou l'accès non autorisé. Toute personne agissant sous l'autorité du responsable du traitement, y compris un sous-traitant, ne doit traiter les données que sur instruction du responsable du traitement.
    • Droits d'accès, de rectification, d'effacement et d'opposition : Conformément à l'article 12 de la directive 95/46/CE, les personnes concernées doivent, directement ou par l'intermédiaire d'un tiers, pouvoir accéder aux données à caractère personnel les concernant détenues par une organisation, sauf en cas de demandes manifestement abusives, fondées sur des délais, un nombre, un caractère répétitif ou systématique déraisonnables, ou pour lesquelles l'accès ne doit pas être accordé en vertu de la législation du pays de l'exportateur de données. Sous réserve de l'accord préalable de l'autorité compétente, l'accès ne doit pas non plus être accordé lorsque cela serait susceptible de porter gravement atteinte aux intérêts de l'importateur de données ou d'autres organisations traitant avec l'importateur de données et que ces intérêts ne sont pas supplantés par les intérêts liés aux droits et libertés fondamentaux de la personne concernée. Les sources des données à caractère personnel ne doivent pas être identifiées lorsque cela n'est pas possible malgré des efforts raisonnables, ou lorsque les droits de personnes autres que l'individu concerné seraient violés. Les personnes concernées doivent pouvoir faire rectifier, modifier ou supprimer les informations à caractère personnel les concernant lorsque celles-ci sont inexactes ou traitées en violation des présents principes. S’il existe des motifs sérieux de douter de la légitimité de la demande, l’organisation peut exiger des justifications supplémentaires avant de procéder à la rectification, à la modification ou à la suppression. Il n’est pas nécessaire de notifier toute rectification, modification ou suppression aux tiers auxquels les données ont été communiquées lorsque cela implique un effort disproportionné. Une personne concernée doit également pouvoir s'opposer au traitement des données à caractère personnel la concernant s'il existe des motifs légitimes et impérieux liés à sa situation particulière. La charge de la preuve en cas de refus incombe à l'importateur de données, et la personne concernée peut toujours contester un refus devant l'autorité compétente.
    • Données sensibles : L'importateur de données doit prendre les mesures supplémentaires (par exemple en matière de sécurité) qui s'avèrent nécessaires pour protéger ces données sensibles, conformément aux obligations qui lui incombent en vertu de la clause 2.
    • Données utilisées à des fins de marketing : lorsque des données sont traitées à des fins de marketing direct, des procédures efficaces doivent être mises en place pour permettre à la personne concernée de refuser à tout moment que ses données soient utilisées à ces fins.
    • Décisions automatisées : Aux fins des présentes, on entend par « décision automatisée » toute décision prise par l'exportateur ou l'importateur de données qui produit des effets juridiques à l'égard d'une personne concernée ou qui a une incidence significative sur celle-ci, et qui repose exclusivement sur un traitement automatisé de données à caractère personnel visant à évaluer certains aspects de sa personnalité, tels que ses performances professionnelles, sa solvabilité, sa fiabilité, son comportement, etc. L'importateur de données ne prendra aucune décision automatisée concernant les personnes concernées, sauf dans les cas suivants :

(a) (i) ces décisions sont prises par le destinataire des données lors de la conclusion ou de l'exécution d'un contrat avec la personne concernée, et

(a) (ii) la personne concernée a la possibilité de discuter des résultats d'une décision automatisée pertinente avec un représentant des parties ayant pris cette décision ou, à défaut, de faire valoir ses droits auprès de ces parties.

ou

b) lorsque la législation de l'exportateur de données en dispose autrement.

ANNEXE 2 (Informations relatives au traitement)

1 PERSONNES CONCERNÉES

Les données à caractère personnel transférées concernent les catégories de personnes concernées suivantes :

Les données à caractère personnel contenues dans les éléments sous licence (tels que définis dans le contrat de licence) qui comprennent des informations relatives aux sportifs, aux athlètes et aux professionnels du monde du sport.

2 OBJET DU OU DES TRANSFERTS

Ces transferts sont effectués aux fins suivantes : l'utilisation des données à caractère personnel par le destinataire du transfert aux fins énoncées dans le bon de commande et l'accord de transfert de données.

3 CATÉGORIES DE DONNÉES

Les données à caractère personnel transférées concernent les catégories de données suivantes ainsi que d'autres catégories pouvant être ajoutées ponctuellement :

Catégorie de données (toutes liées au sport)
Données (y compris les performances et les événements liés aux matchs)
Contenu vidéo et audio
Contenu rédactionnel

4 DESTINATAIRES

Les données à caractère personnel transférées ne peuvent être communiquées qu'aux destinataires ou catégories de destinataires suivants :

Les destinataires autorisés dans le bon de travail et/ou le contrat de prestation de services.

5 PROTECTION DES DONNÉES — INFORMATIONS RELATIVES À L'ENREGISTREMENT DE L'EXPORTATEUR DE DONNÉES

Ces informations seront fournies sur demande.

6 INFORMATIONS UTILES SUPPLÉMENTAIRES

Aucun.

7 POINTS DE CONTACT POUR LES DEMANDES RELATIVES À LA PROTECTION DES DONNÉES

Consultez le bon de travail pour obtenir les coordonnées.

Prêt à exploiter tout le potentiel d'Opta ?
Image de remplacement