SECTION I

Clause 1

Objet et champ d’application

1. Les présentes clauses contractuelles types ont pour objet d’assurer le respect des exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données)¹ pour le transfert de données à caractère personnel vers un pays tiers.
2. Les Parties :
   1. la ou les personnes physiques ou morales, autorités publiques, agences ou autres organismes (ci-après « entité(s) ») qui transfèrent les données à caractère personnel, telles qu’énumérées à l’annexe I.A. (ci-après, chaque « exportateur de données »), et
   2. la ou les entités d’un pays tiers qui reçoivent les données à caractère personnel de l’exportateur de données, directement ou indirectement par l’intermédiaire d’une autre entité également Partie aux présentes clauses, telles qu’énumérées à l’annexe I.A. (ci-après, chaque « importateur de données »),
   sont convenues des présentes clauses contractuelles types (ci-après : « clauses »).
3. Les présentes clauses s’appliquent au transfert de données à caractère personnel tel que spécifié à l’annexe I.B.
4. L’appendice aux présentes clauses, qui contient les annexes qui y sont mentionnées, fait partie intégrante des présentes clauses.

Clause 2

Effet et invariabilité des clauses

1. Les présentes clauses établissent des garanties appropriées, y compris des droits opposables pour les personnes concernées et des voies de recours effectives, conformément à l’article 46, paragraphe 1, et à l’article 46, paragraphe 2, point c), du règlement (UE) 2016/679 et, en ce qui concerne les transferts de données des responsables du traitement aux sous-traitants et/ou des sous-traitants aux sous-traitants, des clauses contractuelles types conformément à l’article 28, paragraphe 7, du règlement (UE) 2016/679, à condition qu’elles ne soient pas modifiées, sauf pour sélectionner le ou les modules appropriés ou pour ajouter ou mettre à jour des informations dans l’appendice. Cela n’empêche pas les Parties d’inclure les clauses contractuelles types énoncées dans les présentes clauses dans un contrat plus large et/ou d’ajouter d’autres clauses ou des garanties supplémentaires, à condition qu’elles ne contredisent pas, directement ou indirectement, les présentes clauses ou ne portent pas atteinte aux droits ou libertés fondamentaux des personnes concernées.
2. Les présentes clauses sont sans préjudice des obligations auxquelles l’exportateur de données est soumis en vertu du règlement (UE) 2016/679.

¹ Lorsque l’exportateur de données est un sous-traitant soumis au règlement (UE) 2016/679 agissant pour le compte d’une institution ou d’un organisme de l’Union en tant que responsable du traitement, le recours aux présentes clauses lors de l’engagement d’un autre sous-traitant (sous-traitance) non soumis au règlement (UE) 2016/679 assure également le respect de l’article 29, paragraphe 4, du règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (JO L 295 du 21.11.2018, p. 39), dans la mesure où les présentes clauses et les obligations en matière de protection des données telles qu’énoncées dans le contrat ou autre acte juridique entre le responsable du traitement et le sous-traitant conformément à l’article 29, paragraphe 3, du règlement (UE) 2018/1725 sont alignées. Ce sera notamment le cas lorsque le responsable du traitement et le sous-traitant s’appuient sur les clauses contractuelles types incluses dans la décision […].

Clause 3

Bénéficiaires tiers

1. Les personnes concernées peuvent invoquer et faire appliquer les présentes clauses, en tant que bénéficiaires tiers, à l’encontre de l’exportateur de données et/ou de l’importateur de données, à l’exception des dispositions suivantes :
   1. Clause 1, Clause 2, Clause 3, Clause 6, Clause 7 ;
   2. Module deux : Clause 8.1 b), 8.9 a), c), d) et e) ;
   3. Clause 9 – Module deux : Clause 9 a), c), d) et e) ;
   4. Module deux : Clause 12 a), d) et f) ;
   5. Clause 13 ;
   6. Clause 15.1 c), d) et e) ;
   7. Clause 16 e) ;
   8. Clause 18 – Module deux : Clause 18 a) et b).
2. Le paragraphe a) est sans préjudice des droits des personnes concernées en vertu du règlement (UE) 2016/679.

Clause 4

Interprétation

1. Lorsque les présentes clauses utilisent des termes définis dans le règlement (UE) 2016/679, ces termes ont la même signification que dans ledit règlement.
2. Les présentes clauses doivent être lues et interprétées à la lumière des dispositions du règlement (UE) 2016/679.
3. Les présentes clauses ne doivent pas être interprétées d’une manière qui serait en conflit avec les droits et obligations prévus par le règlement (UE) 2016/679.

Clause 5

Hiérarchie

En cas de contradiction entre les présentes clauses et les dispositions des accords connexes entre les Parties, existant au moment où les présentes clauses sont convenues ou conclues ultérieurement, les présentes clauses prévalent.

Clause 6

Description du ou des transferts

Les détails du ou des transferts, et en particulier les catégories de données à caractère personnel qui sont transférées et la ou les finalités pour lesquelles elles sont transférées, sont spécifiés à l’annexe I.B.

Clause 7 – Facultative

Clause d’adhésion

1. Une entité qui n’est pas Partie aux présentes clauses peut, avec l’accord des Parties, adhérer aux présentes clauses à tout moment, soit en tant qu’exportateur de données, soit en tant qu’importateur de données, en remplissant l’appendice et en signant l’annexe I.A.
2. Une fois qu’elle a rempli l’appendice et signé l’annexe I.A, l’entité adhérente devient Partie aux présentes clauses et a les droits et obligations d’un exportateur de données ou d’un importateur de données conformément à sa désignation dans l’annexe I.A.
3. L’entité adhérente n’a aucun droit ni aucune obligation découlant des présentes clauses pour la période antérieure à son adhésion.

SECTION II – OBLIGATIONS DES PARTIES

Clause 8

Garanties en matière de protection des données

L’exportateur de données garantit qu’il a déployé des efforts raisonnables pour déterminer que l’importateur de données est en mesure, par la mise en œuvre de mesures techniques et organisationnelles appropriées, de satisfaire à ses obligations au titre des présentes clauses.

MODULE DEUX : Transfert du responsable du traitement au sous-traitant

8.1 Instructions

1. L’importateur de données ne traite les données à caractère personnel que sur instruction documentée de l’exportateur de données. L’exportateur de données peut donner de telles instructions pendant toute la durée du contrat.
2. L’importateur de données informe immédiatement l’exportateur de données s’il n’est pas en mesure de suivre ces instructions.

8.2 Limitation de la finalité

L’importateur de données ne traite les données à caractère personnel que pour la ou les finalités spécifiques du transfert, telles qu’énoncées à l’annexe I.B, sauf sur instructions ultérieures de l’exportateur de données.

8.3 Transparence

Sur demande, l’exportateur de données met gratuitement à la disposition de la personne concernée une copie des présentes clauses, y compris l’appendice tel que complété par les Parties. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, y compris les mesures décrites à l’annexe II et les données à caractère personnel, l’exportateur de données peut expurger une partie du texte de l’appendice aux présentes clauses avant d’en partager une copie, mais doit fournir un résumé significatif lorsque la personne concernée ne serait pas autrement en mesure de comprendre le contenu ou d’exercer ses droits. Sur demande, les Parties fournissent à la personne concernée les raisons des expurgations, dans la mesure du possible sans révéler les informations expurgées. La présente clause est sans préjudice des obligations de l’exportateur de données au titre des articles 13 et 14 du règlement (UE) 2016/679.

8.4 Exactitude

Si l’importateur de données prend connaissance du fait que les données à caractère personnel qu’il a reçues sont inexactes ou sont devenues obsolètes, il en informe l’exportateur de données sans retard excessif. Dans ce cas, l’importateur de données coopère avec l’exportateur de données pour effacer ou rectifier les données.

8.5 Durée du traitement et effacement ou retour des données

Le traitement par l’importateur de données n’a lieu que pendant la durée spécifiée à l’annexe I.B. Après la fin de la prestation des services de traitement, l’importateur de données, au choix de l’exportateur de données, supprime toutes les données à caractère personnel traitées pour le compte de l’exportateur de données et certifie à l’exportateur de données qu’il l’a fait, ou renvoie à l’exportateur de données toutes les données à caractère personnel traitées pour son compte et supprime les copies existantes. Jusqu’à ce que les données soient supprimées ou renvoyées, l’importateur de données continue d’assurer le respect des présentes clauses. En cas de lois locales applicables à l’importateur de données qui interdisent le retour ou la suppression des données à caractère personnel, l’importateur de données garantit qu’il continuera d’assurer le respect des présentes clauses et ne les traitera que dans la mesure et aussi longtemps que l’exige cette loi locale. Ceci est sans préjudice de la clause 14, en particulier de l’obligation de l’importateur de données au titre de la clause 14 e) de notifier l’exportateur de données pendant toute la durée du contrat s’il a des raisons de croire qu’il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences de la clause 14 a).

8.6 Sécurité du traitement

1. L’importateur de données et, pendant la transmission, également l’exportateur de données, mettent en œuvre des mesures techniques et organisationnelles appropriées pour assurer la sécurité des données, y compris la protection contre une violation de la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à ces données (ci-après « violation de données à caractère personnel »). Lors de l’évaluation du niveau de sécurité approprié, les Parties tiennent dûment compte de l’état de l’art, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la ou des finalités du traitement, ainsi que des risques que le traitement présente pour les personnes concernées. Les Parties envisagent en particulier de recourir au chiffrement ou à la pseudonymisation, y compris pendant la transmission, lorsque la finalité du traitement peut être atteinte de cette manière. En cas de pseudonymisation, les informations supplémentaires permettant d’attribuer les données à caractère personnel à une personne concernée spécifique restent, si possible, sous le contrôle exclusif de l’exportateur de données. Pour se conformer à ses obligations au titre du présent paragraphe, l’importateur de données met au moins en œuvre les mesures techniques et organisationnelles spécifiées à l’annexe II. L’importateur de données effectue des contrôles réguliers pour s’assurer que ces mesures continuent de fournir un niveau de sécurité approprié.
2. L’importateur de données n’accorde l’accès aux données à caractère personnel aux membres de son personnel que dans la mesure strictement nécessaire à l’exécution, à la gestion et au suivi du contrat. Il veille à ce que les personnes autorisées à traiter les données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale de confidentialité appropriée.
3. En cas de violation de données à caractère personnel concernant des données à caractère personnel traitées par l’importateur de données au titre des présentes clauses, l’importateur de données prend les mesures appropriées pour remédier à la violation, y compris des mesures visant à atténuer ses effets négatifs. L’importateur de données notifie également l’exportateur de données sans retard excessif après avoir pris connaissance de la violation. Cette notification contient les coordonnées d’un point de contact où des informations supplémentaires peuvent être obtenues, une description de la nature de la violation (y compris, si possible, les catégories et le nombre approximatif de personnes concernées et d’enregistrements de données à caractère personnel concernés), ses conséquences probables et les mesures prises ou proposées pour remédier à la violation, y compris, le cas échéant, des mesures visant à atténuer ses éventuels effets négatifs. Lorsque, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, la notification initiale contient les informations alors disponibles et des informations supplémentaires sont, dès qu’elles sont disponibles, fournies ultérieurement sans retard excessif.
4. L’importateur de données coopère avec l’exportateur de données et l’assiste pour permettre à l’exportateur de données de se conformer à ses obligations au titre du règlement (UE) 2016/679, en particulier pour notifier l’autorité de contrôle compétente et les personnes concernées, en tenant compte de la nature du traitement et des informations dont dispose l’importateur de données.

8.7 Données sensibles

Lorsque le transfert implique des données à caractère personnel révélant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, ou l’appartenance syndicale, des données génétiques, ou des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou la vie sexuelle ou l’orientation sexuelle d’une personne, ou des données relatives à des condamnations pénales et à des infractions (ci-après « données sensibles »), l’importateur de données applique les restrictions spécifiques et/ou les garanties supplémentaires décrites à l’annexe I.B.

8.8 Transferts ultérieurs

L’importateur de données ne divulgue les données à caractère personnel à un tiers que sur instruction documentée de l’exportateur de données. En outre, les données ne peuvent être divulguées à un tiers situé en dehors de l’Union européenne² (dans le même pays que l’importateur de données ou dans un autre pays tiers, ci-après « transfert ultérieur ») que si le tiers est ou accepte d’être lié par les présentes clauses, au titre du module approprié, ou si :

1. le transfert ultérieur est effectué vers un pays bénéficiant d’une décision d’adéquation conformément à l’article 45 du règlement (UE) 2016/679 qui couvre le transfert ultérieur ;
2. le tiers assure par ailleurs des garanties appropriées conformément aux articles 46 ou 47 du règlement (UE) 2016/679 en ce qui concerne le traitement en question ;
3. le transfert ultérieur est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice dans le cadre de procédures administratives, réglementaires ou judiciaires spécifiques ; ou
4. le transfert ultérieur est nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique.

Tout transfert ultérieur est soumis au respect par l’importateur de données de toutes les autres garanties prévues par les présentes clauses, en particulier la limitation de la finalité.

² L’accord sur l’Espace économique européen (accord EEE) prévoit l’extension du marché intérieur de l’Union européenne aux trois États de l’EEE, l’Islande, le Liechtenstein et la Norvège. La législation de l’Union en matière de protection des données, y compris le règlement (UE) 2016/679, est couverte par l’accord EEE et a été incorporée à son annexe XI. Par conséquent, toute divulgation par l’importateur de données à un tiers situé dans l’EEE ne constitue pas un transfert ultérieur aux fins des présentes clauses.

8.9 Documentation et conformité

1. L’importateur de données traite rapidement et de manière adéquate les demandes de l’exportateur de données relatives au traitement au titre des présentes clauses.
2. Les Parties doivent être en mesure de démontrer le respect des présentes clauses. En particulier, l’importateur de données tient une documentation appropriée sur les activités de traitement effectuées pour le compte de l’exportateur de données.
3. L’importateur de données met à la disposition de l’exportateur de données toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans les présentes clauses et, à la demande de l’exportateur de données, autorise et contribue aux audits des activités de traitement couvertes par les présentes clauses, à des intervalles raisonnables ou s’il existe des indications de non-conformité. Lors de la décision d’un examen ou d’un audit, l’exportateur de données peut prendre en compte les certifications pertinentes détenues par l’importateur de données.
4. L’exportateur de données peut choisir de réaliser l’audit lui-même ou de mandater un auditeur indépendant. Les audits peuvent inclure des inspections dans les locaux ou les installations physiques de l’importateur de données et sont, le cas échéant, effectués moyennant un préavis raisonnable.
5. Les Parties mettent à la disposition de l’autorité de contrôle compétente, sur demande, les informations visées aux paragraphes b) et c), y compris les résultats de tout audit.

Clause 9

Recours à des sous-traitants ultérieurs

MODULE DEUX : Transfert du responsable du traitement au sous-traitant

1. L’importateur de données dispose de l’autorisation générale de l’exportateur de données pour l’engagement de sous-traitant(s) à partir d’une liste convenue. L’importateur de données informe spécifiquement l’exportateur de données par écrit de tout changement envisagé à cette liste par l’ajout ou le remplacement de sous-traitants au moins 10 jours ouvrables à l’avance, donnant ainsi à l’exportateur de données un délai suffisant pour pouvoir s’opposer à de tels changements avant l’engagement du ou des sous-traitants. L’importateur de données fournit à l’exportateur de données les informations nécessaires pour permettre à l’exportateur de données d’exercer son droit d’opposition.
2. Lorsque l’importateur de données engage un sous-traitant pour effectuer des activités de traitement spécifiques (pour le compte de l’exportateur de données), il le fait au moyen d’un contrat écrit qui prévoit, en substance, les mêmes obligations en matière de protection des données que celles qui lient l’importateur de données au titre des présentes clauses, y compris en termes de droits des tiers bénéficiaires pour les personnes concernées.³ Les Parties conviennent qu’en se conformant à la présente clause, l’importateur de données remplit ses obligations au titre de la clause 8.8. L’importateur de données veille à ce que le sous-traitant respecte les obligations auxquelles l’importateur de données est soumis en vertu des présentes clauses.
3. L’importateur de données fournit, à la demande de l’exportateur de données, une copie de cet accord de sous-traitance et de toute modification ultérieure à l’exportateur de données. Dans la mesure nécessaire pour protéger les secrets d’affaires ou d’autres informations confidentielles, y compris les données à caractère personnel, l’importateur de données peut expurger le texte de l’accord avant d’en partager une copie.
4. L’importateur de données reste entièrement responsable envers l’exportateur de données de l’exécution des obligations du sous-traitant au titre de son contrat avec l’importateur de données. L’importateur de données notifie à l’exportateur de données tout manquement du sous-traitant à ses obligations au titre de ce contrat.
5. L’importateur de données convient d’une clause de tiers bénéficiaire avec le sous-traitant selon laquelle – dans le cas où l’importateur de données aurait disparu de fait, cessé d’exister en droit ou serait devenu insolvable – l’exportateur de données aura le droit de résilier le contrat de sous-traitance et d’ordonner au sous-traitant d’effacer ou de restituer les données à caractère personnel.

³ Cette exigence peut être satisfaite par l’adhésion du sous-traitant aux présentes clauses au titre du module approprié, conformément à la clause 7.

Clause 10

Droits des personnes concernées

MODULE DEUX : Transfert du responsable du traitement au sous-traitant

1. L’importateur de données notifie rapidement à l’exportateur de données toute demande qu’il a reçue d’une personne concernée. Il ne répond pas lui-même à cette demande, sauf s’il y a été autorisé par l’exportateur de données.
2. L’importateur de données assiste l’exportateur de données dans l’exécution de ses obligations de répondre aux demandes des personnes concernées pour l’exercice de leurs droits au titre du règlement (UE) 2016/679. À cet égard, les Parties définissent à l’annexe II les mesures techniques et organisationnelles appropriées, compte tenu de la nature du traitement, par lesquelles l’assistance est fournie, ainsi que la portée et l’étendue de l’assistance requise.
3. Dans l’exécution de ses obligations au titre des paragraphes a) et b), l’importateur de données se conforme aux instructions de l’exportateur de données.

Clause 11

Voies de recours

1. L’importateur de données informe les personnes concernées, dans un format transparent et facilement accessible, par notification individuelle ou sur son site web, d’un point de contact autorisé à traiter les plaintes. Il traite rapidement toute plainte qu’il reçoit d’une personne concernée.

MODULE DEUX : Transfert du responsable du traitement au sous-traitant

2. En cas de litige entre une personne concernée et l’une des Parties concernant le respect des présentes clauses, cette Partie s’efforce de résoudre le problème à l’amiable en temps utile. Les Parties se tiennent mutuellement informées de ces litiges et, le cas échéant, coopèrent à leur résolution.
3. Lorsque la personne concernée invoque un droit de tiers bénéficiaire conformément à la clause 3, l’importateur de données accepte la décision de la personne concernée de :
   1. déposer une plainte auprès de l’autorité de contrôle de l’État membre de sa résidence habituelle ou de son lieu de travail, ou de l’autorité de contrôle compétente conformément à la clause 13 ;
   2. saisir les tribunaux compétents au sens de la clause 18.
4. Les Parties acceptent que la personne concernée puisse être représentée par un organisme, une organisation ou une association à but non lucratif dans les conditions énoncées à l’article 80, paragraphe 1, du règlement (UE) 2016/679.
5. L’importateur de données se conforme à une décision qui est contraignante en vertu du droit applicable de l’UE ou de l’État membre.
6. L’importateur de données accepte que le choix fait par la personne concernée ne porte pas préjudice à ses droits substantiels et procéduraux de demander réparation conformément aux lois applicables.

Clause 12

Responsabilité

MODULE DEUX : Transfert du responsable du traitement au sous-traitant

1. Chaque Partie est responsable envers l’autre ou les autres Parties de tout dommage qu’elle leur cause par toute violation des présentes clauses.
2. L’importateur de données est responsable envers la personne concernée, et la personne concernée a le droit de recevoir une indemnisation, pour tout dommage matériel ou non matériel que l’importateur de données ou son sous-traitant cause à la personne concernée en violant les droits de tiers bénéficiaires au titre des présentes clauses.
3. Nonobstant le paragraphe b), l’exportateur de données est responsable envers la personne concernée, et la personne concernée a le droit de recevoir une indemnisation, pour tout dommage matériel ou non matériel que l’exportateur de données ou l’importateur de données (ou son sous-traitant) cause à la personne concernée en violant les droits de tiers bénéficiaires au titre des présentes clauses. Ceci est sans préjudice de la responsabilité de l’exportateur de données et, lorsque l’exportateur de données est un sous-traitant agissant pour le compte d’un responsable du traitement, de la responsabilité du responsable du traitement au titre du règlement (UE) 2016/679 ou du règlement (UE) 2018/1725, selon le cas.
4. Les Parties conviennent que si l’exportateur de données est tenu responsable au titre du paragraphe c) des dommages causés par l’importateur de données (ou son sous-traitant), il a le droit de réclamer à l’importateur de données la part de l’indemnisation correspondant à la responsabilité de l’importateur de données pour le dommage.
5. Lorsque plus d’une Partie est responsable de tout dommage causé à la personne concernée à la suite d’une violation des présentes clauses, toutes les Parties responsables sont solidairement responsables et la personne concernée a le droit d’intenter une action en justice contre l’une quelconque de ces Parties.
6. Les Parties conviennent que si une Partie est tenue responsable au titre du paragraphe e), elle a le droit de réclamer à l’autre ou aux autres Parties la part de l’indemnisation correspondant à sa ou à leur responsabilité pour le dommage.
7. L’importateur de données ne peut invoquer le comportement d’un sous-traitant pour éviter sa propre responsabilité.

Clause 13

Supervision

MODULE DEUX : Transfert du responsable du traitement au sous-traitant

1. Lorsque l’exportateur de données est établi dans un État membre de l’UE : L’autorité de contrôle chargée d’assurer le respect par l’exportateur de données du règlement (UE) 2016/679 en ce qui concerne le transfert de données, telle qu’indiquée à l’annexe I.C, agit en tant qu’autorité de contrôle compétente.

   Lorsque l’exportateur de données n’est pas établi dans un État membre de l’UE, mais relève du champ d’application territorial du règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, et a désigné un représentant conformément à l’article 27, paragraphe 1, du règlement (UE) 2016/679 : L’autorité de contrôle de l’État membre dans lequel le représentant au sens de l’article 27, paragraphe 1, du règlement (UE) 2016/679 est établi, telle qu’indiquée à l’annexe I.C, agit en tant qu’autorité de contrôle compétente.

   Lorsque l’exportateur de données n’est pas établi dans un État membre de l’UE, mais relève du champ d’application territorial du règlement (UE) 2016/679 conformément à son article 3, paragraphe 2, sans toutefois avoir à désigner un représentant conformément à l’article 27, paragraphe 2, du règlement (UE) 2016/679 : L’autorité de contrôle de l’un des États membres dans lesquels se trouvent les personnes concernées dont les données à caractère personnel sont transférées au titre des présentes clauses en relation avec l’offre de biens ou de services à celles-ci, ou dont le comportement est surveillé, telle qu’indiquée à l’annexe I.C, agit en tant qu’autorité de contrôle compétente.

2. L’importateur de données accepte de se soumettre à la juridiction de l’autorité de contrôle compétente et de coopérer avec elle dans toute procédure visant à assurer le respect des présentes clauses. En particulier, l’importateur de données accepte de répondre aux demandes, de se soumettre aux audits et de se conformer aux mesures adoptées par l’autorité de contrôle, y compris les mesures correctives et compensatoires. Il fournit à l’autorité de contrôle une confirmation écrite que les actions nécessaires ont été entreprises.

SECTION III – LOIS LOCALES ET OBLIGATIONS EN CAS D’ACCÈS PAR LES AUTORITÉS PUBLIQUES

Clause 14

Lois et pratiques locales affectant le respect des clauses

MODULE DEUX : Transfert du responsable du traitement au sous-traitant

1. Les Parties garantissent qu’elles n’ont aucune raison de croire que les lois et pratiques du pays tiers de destination applicables au traitement des données à caractère personnel par l’importateur de données, y compris toute exigence de divulgation de données à caractère personnel ou toute mesure autorisant l’accès par les autorités publiques, empêchent l’importateur de données de remplir ses obligations au titre des présentes clauses. Ceci est fondé sur l’entente que les lois et pratiques qui respectent l’essence des droits et libertés fondamentaux et ne dépassent pas ce qui est nécessaire et proportionné dans une société démocratique pour sauvegarder l’un des objectifs énumérés à l’article 23, paragraphe 1, du règlement (UE) 2016/679, ne sont pas en contradiction avec les présentes clauses.
2. Les Parties déclarent qu’en fournissant la garantie du paragraphe a), elles ont dûment tenu compte en particulier des éléments suivants :
   1. les circonstances spécifiques du transfert, y compris la durée de la chaîne de traitement, le nombre d’acteurs impliqués et les canaux de transmission utilisés ; les transferts ultérieurs envisagés ; le type de destinataire ; la finalité du traitement ; les catégories et le format des données à caractère personnel transférées ; le secteur économique dans lequel le transfert a lieu ; le lieu de stockage des données transférées ;
   2. les lois et pratiques du pays tiers de destination – y compris celles exigeant la divulgation de données aux autorités publiques ou autorisant l’accès par ces autorités – pertinentes au regard des circonstances spécifiques du transfert, et les limitations et garanties applicables⁴ ;
   3. toute garantie contractuelle, technique ou organisationnelle pertinente mise en place pour compléter les garanties prévues par les présentes clauses, y compris les mesures appliquées pendant la transmission et au traitement des données à caractère personnel dans le pays de destination.
3. L’importateur de données garantit que, lors de la réalisation de l’évaluation au titre du paragraphe b), il a fait de son mieux pour fournir à l’exportateur de données les informations pertinentes et accepte de continuer à coopérer avec l’exportateur de données pour assurer le respect des présentes clauses.
4. Les Parties conviennent de documenter l’évaluation au titre du paragraphe b) et de la mettre à la disposition de l’autorité de contrôle compétente sur demande.
5. L’importateur de données accepte de notifier rapidement à l’exportateur de données si, après avoir accepté les présentes clauses et pendant la durée du contrat, il a des raisons de croire qu’il est ou est devenu soumis à des lois ou pratiques non conformes aux exigences du paragraphe a), y compris à la suite d’un changement dans les lois du pays tiers ou d’une mesure (telle qu’une demande de divulgation) indiquant une application de ces lois dans la pratique qui n’est pas conforme aux exigences du paragraphe a).
6. À la suite d’une notification conformément au paragraphe e), ou si l’exportateur de données a par ailleurs des raisons de croire que l’importateur de données ne peut plus remplir ses obligations au titre des présentes clauses, l’exportateur de données identifie rapidement les mesures appropriées (par exemple, des mesures techniques ou organisationnelles pour assurer la sécurité et la confidentialité) à adopter par l’exportateur de données et/ou l’importateur de données pour remédier à la situation. L’exportateur de données suspend le transfert de données s’il estime qu’aucune garantie appropriée pour un tel transfert ne peut être assurée, ou s’il en reçoit l’instruction de l’autorité de contrôle compétente. Dans ce cas, l’exportateur de données a le droit de résilier le contrat, dans la mesure où il concerne le traitement des données à caractère personnel au titre des présentes clauses. Si le contrat implique plus de deux Parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la Partie concernée, sauf si les Parties en ont convenu autrement. Lorsque le contrat est résilié conformément à la présente clause, les clauses 16 d) et e) s’appliquent.

⁴ En ce qui concerne l’impact de ces lois et pratiques sur le respect des présentes clauses, différents éléments peuvent être pris en compte dans le cadre d’une évaluation globale. Ces éléments peuvent inclure une expérience pratique pertinente et documentée avec des cas antérieurs de demandes de divulgation de la part des autorités publiques, ou l’absence de telles demandes, couvrant une période suffisamment représentative. Cela fait notamment référence aux registres internes ou à d’autres documents, établis de manière continue conformément à la diligence raisonnable et certifiés au niveau de la haute direction, à condition que ces informations puissent être légalement partagées avec des tiers. Lorsque cette expérience pratique est invoquée pour conclure que l’importateur de données ne sera pas empêché de se conformer aux présentes clauses, elle doit être étayée par d’autres éléments objectifs pertinents, et il appartient aux Parties d’examiner attentivement si ces éléments pris ensemble ont un poids suffisant, en termes de fiabilité et de représentativité, pour étayer cette conclusion. En particulier, les Parties doivent tenir compte du fait que leur expérience pratique est corroborée et non contredite par des informations fiables, publiquement disponibles ou autrement accessibles, sur l’existence ou l’absence de demandes dans le même secteur et/ou l’application de la loi dans la pratique, telles que la jurisprudence et les rapports d’organismes de surveillance indépendants.

Clause 15

Obligations de l’importateur de données en cas d’accès par les autorités publiques

MODULE DEUX : Transfert du responsable du traitement au sous-traitant

15.1 Notification

1. L’importateur de données accepte de notifier rapidement à l’exportateur de données et, si possible, à la personne concernée (si nécessaire avec l’aide de l’exportateur de données) s’il :
   1. reçoit une demande juridiquement contraignante d’une autorité publique, y compris les autorités judiciaires, en vertu des lois du pays de destination pour la divulgation de données à caractère personnel transférées conformément aux présentes clauses ; cette notification doit inclure des informations sur les données à caractère personnel demandées, l’autorité requérante, la base juridique de la demande et la réponse fournie ; ou
   2. prend connaissance de tout accès direct par les autorités publiques aux données à caractère personnel transférées conformément aux présentes clauses en vertu des lois du pays de destination ; cette notification doit inclure toutes les informations dont dispose l’importateur.
2. Si l’importateur de données est interdit de notifier l’exportateur de données et/ou la personne concernée en vertu des lois du pays de destination, l’importateur de données accepte de faire de son mieux pour obtenir une levée de l’interdiction, en vue de communiquer autant d’informations que possible, dès que possible. L’importateur de données accepte de documenter ses meilleurs efforts afin de pouvoir les démontrer à la demande de l’exportateur de données.
3. Lorsque cela est autorisé par les lois du pays de destination, l’importateur de données accepte de fournir à l’exportateur de données, à intervalles réguliers pendant la durée du contrat, autant d’informations pertinentes que possible sur les demandes reçues (en particulier, le nombre de demandes, le type de données demandées, l’autorité ou les autorités requérantes, si les demandes ont été contestées et le résultat de ces contestations, etc.).
4. L’importateur de données accepte de conserver les informations conformément aux paragraphes a) à c) pendant la durée du contrat et de les mettre à la disposition de l’autorité de contrôle compétente sur demande.
5. Les paragraphes a) à c) sont sans préjudice de l’obligation de l’importateur de données conformément à la clause 14 e) et à la clause 16 d’informer rapidement l’exportateur de données lorsqu’il n’est pas en mesure de se conformer aux présentes clauses.

15.2 Examen de la légalité et minimisation des données

1. L’importateur de données accepte d’examiner la légalité de la demande de divulgation, en particulier si elle relève des pouvoirs accordés à l’autorité publique requérante, et de contester la demande si, après une évaluation attentive, il conclut qu’il existe des motifs raisonnables de considérer que la demande est illégale en vertu des lois du pays de destination, des obligations applicables en vertu du droit international et des principes de courtoisie internationale. L’importateur de données, dans les mêmes conditions, recherche les possibilités de recours. Lors de la contestation d’une demande, l’importateur de données demande des mesures provisoires en vue de suspendre les effets de la demande jusqu’à ce que l’autorité judiciaire compétente ait statué sur son bien-fondé. Il ne divulgue pas les données à caractère personnel demandées tant qu’il n’y est pas contraint en vertu des règles de procédure applicables. Ces exigences sont sans préjudice des obligations de l’importateur de données au titre de la clause 14 e).
2. L’importateur de données accepte de documenter son évaluation juridique et toute contestation de la demande de divulgation et, dans la mesure où cela est autorisé par les lois du pays de destination, de mettre la documentation à la disposition de l’exportateur de données. Il la met également à la disposition de l’autorité de contrôle compétente sur demande.
3. L’importateur de données accepte de fournir la quantité minimale d’informations autorisée lors de la réponse à une demande de divulgation, sur la base d’une interprétation raisonnable de la demande.

SECTION IV – DISPOSITIONS FINALES

Clause 16

Non-respect des clauses et résiliation

1. L’importateur de données informe sans délai l’exportateur de données s’il n’est pas en mesure de respecter les présentes clauses, pour quelque raison que ce soit.
2. En cas de violation des présentes clauses par l’importateur de données ou si celui-ci n’est pas en mesure de s’y conformer, l’exportateur de données suspend le transfert de données à caractère personnel vers l’importateur de données jusqu’à ce que la conformité soit à nouveau assurée ou que le contrat soit résilié. Ceci est sans préjudice de la clause 14, point f).
3. L’exportateur de données est en droit de résilier le contrat, dans la mesure où il concerne le traitement de données à caractère personnel en vertu des présentes clauses, lorsque :
   1. l’exportateur de données a suspendu le transfert de données à caractère personnel vers l’importateur de données conformément au paragraphe b) et que la conformité aux présentes clauses n’est pas rétablie dans un délai raisonnable et, en tout état de cause, dans un délai d’un mois à compter de la suspension ;
   2. l’importateur de données commet une violation substantielle ou persistante des présentes clauses ; ou
   3. l’importateur de données ne se conforme pas à une décision contraignante d’une juridiction compétente ou d’une autorité de contrôle concernant ses obligations en vertu des présentes clauses.
   Dans ces cas, il informe l’autorité de contrôle compétente de ce non-respect. Lorsque le contrat implique plus de deux parties, l’exportateur de données ne peut exercer ce droit de résiliation qu’à l’égard de la partie concernée, sauf accord contraire des parties.
4. Pour le module deux : les données à caractère personnel qui ont été transférées avant la résiliation du contrat conformément au paragraphe c) sont, au choix de l’exportateur de données, immédiatement restituées à l’exportateur de données ou supprimées dans leur intégralité. Il en va de même pour toute copie des données.

   L’importateur de données certifie la suppression des données à l’exportateur de données. Jusqu’à ce que les données soient supprimées ou restituées, l’importateur de données continue d’assurer le respect des présentes clauses. En cas de lois locales applicables à l’importateur de données interdisant la restitution ou la suppression des données à caractère personnel transférées, l’importateur de données garantit qu’il continuera d’assurer le respect des présentes clauses et qu’il ne traitera les données que dans la mesure et pour la durée requises par ladite loi locale.

5. Chaque partie peut révoquer son accord d’être liée par les présentes clauses lorsque (i) la Commission européenne adopte une décision conformément à l’article 45, paragraphe 3, du règlement (UE) 2016/679 couvrant le transfert de données à caractère personnel auquel les présentes clauses s’appliquent ; ou (ii) le règlement (UE) 2016/679 devient partie intégrante du cadre juridique du pays vers lequel les données à caractère personnel sont transférées. Ceci est sans préjudice des autres obligations s’appliquant au traitement en question en vertu du règlement (UE) 2016/679.

Clause 17

Droit applicable

MODULE DEUX : Transfert du responsable du traitement au sous-traitant

Les présentes clauses sont régies par le droit de l’un des États membres de l’UE, à condition que ce droit autorise les droits des tiers bénéficiaires. Les parties conviennent qu’il s’agira du droit espagnol.

Clause 18

Choix du for et juridiction

MODULE DEUX : Transfert du responsable du traitement au sous-traitant

1. Tout litige découlant des présentes clauses sera résolu par les tribunaux d’un État membre de l’UE.
2. Les parties conviennent qu’il s’agira des tribunaux espagnols.
3. Une personne concernée peut également intenter une action en justice contre l’exportateur de données et/ou l’importateur de données devant les tribunaux de l’État membre dans lequel elle a sa résidence habituelle.
4. Les parties conviennent de se soumettre à la juridiction de ces tribunaux.

APPENDICE

ANNEXE I

MODULE DEUX : Transfert du responsable du traitement au sous-traitant

A. LISTE DES PARTIES

Exportateur(s) de données : l’exportateur de données est le responsable du traitement qui a conclu un contrat de services avec l’importateur de données. L’identité et les coordonnées de l’exportateur de données sont détaillées dans le contrat de services dont les présentes clauses font partie intégrante.

Importateur(s) de données :

Nom : PEGASUS BUSINESS INTELLIGENCE LLP
Adresse : Two Lincoln Centre
5420 LBJ Freeway, Suite 900
Dallas, TX 75240
États-Unis

L’importateur de données est un fournisseur mondial de premier plan de solutions de paiements B2B et d’intelligence d’affaires pour le secteur de l’hôtellerie situé aux États-Unis. Les coordonnées de l’importateur de données sont détaillées dans le contrat de services dont les présentes clauses font partie intégrante.

B. DESCRIPTION DU TRANSFERT

MODULE DEUX : Transfert du responsable du traitement au sous-traitant

Catégories de personnes concernées dont les données à caractère personnel sont transférées

Clients de l’hôtel et personnel de contact de l’exportateur de données.

Catégories de données à caractère personnel transférées

Nom, prénom et données de réservation des clients de l’hôtel.

Coordonnées (adresse e-mail, numéro de téléphone) du personnel de contact de l’exportateur de données.

Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, tels que, par exemple, une limitation stricte de la finalité, des restrictions d’accès (y compris l’accès réservé au personnel ayant suivi une formation spécialisée), la tenue d’un registre d’accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.

La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue).

Les données sont transférées de manière continue.

Nature du traitement et finalité du transfert de données et du traitement ultérieur

Dans le cadre des activités que le sous-traitant développe en faveur de ses clients, il peut accéder à certaines données à caractère personnel dès lors que cet accès est nécessaire pour fournir les services contractuels.

La portée des services est définie dans le contrat de services conclu entre l’importateur de données et l’exportateur de données, et les données à caractère personnel seront traitées par l’importateur de données en tant que sous-traitant pour fournir ces services et se conformer aux termes du contrat de services et des présentes clauses.

La période pendant laquelle les données à caractère personnel seront conservées ou, si ce n’est pas possible, les critères utilisés pour déterminer cette période

Les données à caractère personnel seront supprimées ou restituées à la demande écrite de l’exportateur de données, après la fin de la prestation des services concernés liés au traitement ou, plus tôt, dès que le traitement par le sous-traitant de toute donnée à caractère personnel n’est plus nécessaire pour l’exécution des obligations des parties en vertu du contrat de services conclu entre le responsable du traitement et le sous-traitant, et les copies existantes seront supprimées de manière sécurisée.

Pour les transferts aux (sous-)traitants, préciser également l’objet, la nature et la durée du traitement

Pour les données utilisées pour émettre des factures en Italie et en Inde, le sous-traitant interagit avec Sovos pour s’assurer que toutes les exigences réglementaires locales sont respectées.

Flexential fournit une plateforme de centre de données, offrant des services de colocation et de reprise après sinistre pour les services Onyx qui ne font pas partie d’une infrastructure basée sur le cloud. Les opérations et les centres de données aux États-Unis sont entièrement exploités par Flexential, tandis que les installations de centres de données basées dans l’UE sont exploitées par Equinix.

Amazon Web Services (AWS) est la plateforme privilégiée pour les services basés sur le cloud fournis par Onyx dans un environnement de cloud privé (VPC). Microsoft Azure fournit également des services de cloud, mais se limite aux services InvoicePro.

Pour l’objet, la nature et la durée visés ci-dessus.

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

MODULE DEUX : Transfert du responsable du traitement au sous-traitant

Identifier l’autorité ou les autorités de contrôle compétentes conformément à la clause 13

L’Agence espagnole de protection des données

ANNEXE II – MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À ASSURER LA SÉCURITÉ DES DONNÉES

Contrôle de l’accès aux zones de traitement

L’importateur de données met en œuvre des mesures appropriées pour empêcher les personnes non autorisées d’accéder aux équipements de traitement des données (serveurs d’équipement réseau et matériel connexe) où les données à caractère personnel sont traitées ou utilisées, notamment :

• L’établissement de zones de sécurité ;
• La protection et la restriction des voies d’accès ;
• L’établissement d’autorisations d’accès pour les employés et les tiers, y compris la documentation correspondante ;
• Tout accès au centre de données où les données à caractère personnel sont hébergées est consigné, surveillé et suivi ; et
• Le centre de données où les données à caractère personnel sont hébergées est sécurisé par un système d’alarme de sécurité et d’autres mesures de sécurité appropriées

Contrôle de l’accès aux systèmes de traitement des données

• L’importateur de données met en œuvre des mesures appropriées pour empêcher que ses systèmes de traitement de données ne soient utilisés par des personnes non autorisées, notamment :
• L’utilisation de technologies de chiffrement adéquates ;
• L’identification du terminal et/ou de l’utilisateur du terminal auprès de l’importateur de données/sous-traitant et des systèmes de traitement ;
• Le verrouillage temporaire automatique du terminal de l’utilisateur s’il est laissé inactif, identification et mot de passe requis pour le rouvrir ;
• Le verrouillage temporaire automatique de l’identifiant de l’utilisateur lorsque plusieurs mots de passe erronés sont saisis, fichier journal des événements, surveillance des tentatives d’intrusion (alertes).

Contrôle de l’accès à l’utilisation de zones spécifiques des systèmes de traitement des données

L’importateur de données/sous-traitant s’engage à ce que les personnes autorisées à utiliser son système de traitement de données ne puissent accéder aux données que dans le cadre et dans la mesure couverts par leur autorisation d’accès respective et à ce que les données à caractère personnel ne puissent être lues, copiées, modifiées ou supprimées sans autorisation. Cela sera accompli par diverses mesures, notamment :

• Des politiques et des formations pour les employés concernant les droits d’accès de chaque employé aux données à caractère personnel ;
• Une capacité de surveillance à l’égard des personnes qui suppriment, ajoutent ou modifient les données à caractère personnel ;
• La communication des données uniquement aux personnes autorisées, y compris l’attribution de droits d’accès et de rôles différenciés ; et
• L’utilisation de technologies de chiffrement adéquates ; et le contrôle des fichiers, la destruction contrôlée et documentée des données

Contrôle de la disponibilité

L’importateur de données met en œuvre des mesures appropriées pour garantir que les données à caractère personnel sont protégées contre toute destruction ou perte accidentelle, notamment :

• La redondance des infrastructures ; et
• La sauvegarde est stockée sur un site alternatif et disponible pour restauration en cas de défaillance du système principal ;
• Des sites primaires et secondaires pour un basculement complet du service.

Contrôle de la transmission

L’importateur de données met en œuvre des mesures appropriées pour empêcher que les données à caractère personnel ne soient lues, copiées, altérées ou supprimées par des tiers non autorisés lors de leur transmission ou lors du transport des supports de données. Cela est accompli par diverses mesures, notamment :

• L’utilisation de pare-feu, de VPN et de technologies de chiffrement adéquats pour protéger les passerelles et les pipelines par lesquels les données transitent ; et
• Dans la mesure du possible, toutes les transmissions de données sont consignées, surveillées et suivies.

Évaluations des sous-traitants et des fournisseurs

L’importateur de données évalue tous les sous-traitants et fournisseurs pour s’assurer que toutes les données à caractère personnel sont protégées conformément aux politiques de sécurité de l’importateur de données et sont conformes au programme de sécurité de l’information de l’importateur de données, notamment :

• Des évaluations annuelles des fournisseurs déterminant le risque ; et
• Des mesures de protection des données, y compris des certifications.

1. SÉCURITÉ DU CENTRE DE DONNÉES ET DU RÉSEAU

a) Centres de données

• Colocation (colo) : l’importateur de données fait appel à un tiers pour héberger les installations du centre de données. Les services de colocation fournissent un hébergement physique sécurisé des serveurs et des connexions réseau, en plus de ressources d’alimentation et de refroidissement redondantes pour protéger l’infrastructure.
• Infrastructure : l’importateur de données maintient des centres de données géographiquement répartis. L’importateur de données stocke toutes les données de production dans des centres de données physiquement sécurisés.
• Redondance : les systèmes d’infrastructure ont été conçus pour éliminer les points de défaillance uniques et minimiser l’impact des risques environnementaux anticipés. Des circuits, commutateurs, réseaux ou autres dispositifs nécessaires en double permettent d’assurer cette redondance. Les services sont conçus pour permettre à l’importateur de données d’effectuer certains types de maintenance préventive et corrective sans interruption. Tous les équipements et installations environnementaux font l’objet de procédures de maintenance préventive documentées qui détaillent le processus et la fréquence d’exécution conformément aux spécifications du fabricant ou aux spécifications internes.
• Alimentation : les systèmes d’alimentation électrique du centre de données sont conçus pour être redondants et maintenables sans impact sur les opérations continues, 24 heures sur 24, 7 jours sur 7. Dans la plupart des cas, une source d’alimentation principale ainsi qu’une source d’alimentation alternative, chacune de capacité égale, sont prévues pour les composants d’infrastructure critiques du centre de données. L’alimentation de secours est fournie par divers mécanismes tels que des batteries d’alimentation sans coupure (UPS), qui fournissent une protection électrique fiable et constante lors des baisses de tension, des pannes de courant, des surtensions, des sous-tensions et des conditions de fréquence hors tolérance. Si l’alimentation secteur est interrompue, l’alimentation de secours est conçue pour fournir une alimentation transitoire au centre de données, à pleine capacité, jusqu’à ce que les systèmes de générateurs diesel prennent le relais. Les générateurs diesel sont capables de démarrer automatiquement en quelques secondes pour fournir suffisamment d’énergie électrique de secours pour faire fonctionner le centre de données à pleine capacité, généralement pendant plusieurs jours.
• Continuité des activités : l’importateur de données réplique les données sur plusieurs systèmes pour aider à se protéger contre toute destruction ou perte accidentelle. L’importateur de données a conçu et planifie et teste régulièrement ses programmes de planification de la continuité des activités/reprise après sinistre.

b) Réseaux et transmission

• Transmission de données : les centres de données sont généralement connectés via des liaisons privées à haut débit pour assurer un transfert de données sécurisé et rapide entre les centres de données. Ceci est conçu pour empêcher que les données ne soient lues, copiées, altérées ou supprimées sans autorisation lors du transfert ou du transport électronique. Des liaisons dédiées entre les bureaux et les centres de données sont fournies à l’aide du SD-WAN. L’importateur de données transfère les données via des protocoles standard Internet.
• Surface d’attaque externe : l’importateur de données utilise plusieurs couches de dispositifs réseau et de détection d’intrusion pour protéger sa surface d’attaque externe. L’importateur de données prend en compte les vecteurs d’attaque potentiels et intègre des technologies appropriées conçues à cet effet dans les systèmes orientés vers l’extérieur.
• Détection d’intrusion : la détection d’intrusion est destinée à donner un aperçu des activités d’attaque en cours et à fournir des informations adéquates pour répondre aux incidents. La détection d’intrusion de l’importateur de données implique un contrôle étroit de la taille et de la composition de la surface d’attaque de l’importateur de données par des mesures préventives et l’utilisation de contrôles de détection intelligents aux points d’entrée des données.
• Réponse aux incidents : l’importateur de données surveille divers canaux de communication pour détecter les incidents de sécurité, et le personnel de sécurité de l’importateur de données réagira rapidement aux incidents connus.
• Technologies de chiffrement : l’importateur de données met à disposition le chiffrement HTTPS (également appelé connexion TLS) pour le chiffrement des données en transit ; des configurations (algorithmes) et des protocoles conformes aux meilleures pratiques du secteur sont utilisés et configurés de manière appropriée. Lorsque les données sont transférées par FTP, un canal sécurisé est utilisé (SFTP ou FTPS).
• Sécurité des applications : l’importateur de données a élaboré et mis en œuvre un programme de développement sécurisé, basé sur l’Open Web Application Security Project (OWASP) et le Microsoft Security Development Lifecycle. Une fois terminés, les développements de produits sensibles sont testés pour s’assurer que la sécurité des applications a été traitée de manière approfondie et appropriée.
• Surveillance de la vulnérabilité par des tests d’intrusion : l’importateur de données effectue au moins deux tests d’intrusion annuels sur la sécurité de l’information, qui sont menés par des sociétés de sécurité de l’information accréditées et totalement indépendantes. L’importateur de données effectue une analyse d’évaluation de la vulnérabilité à l’aide d’outils tiers au moins une fois par mois, et après tout changement majeur d’infrastructure dans notre environnement de production.

2. CONTRÔLES D’ACCÈS ET DE SITE

a) Contrôles de site

• Opération de sécurité du centre de données sur site : les centres de données de l’importateur de données maintiennent une opération de sécurité sur site responsable de toutes les fonctions de sécurité physique du centre de données 24 heures sur 24, 7 jours sur 7. Le personnel de l’opération de sécurité sur site surveille les caméras de télévision en circuit fermé (CCTV) et tous les systèmes d’alarme. Le personnel de l’opération de sécurité sur site effectue régulièrement des patrouilles internes et externes du centre de données.
• Procédures d’accès au centre de données : l’importateur de données maintient des procédures d’accès formelles pour autoriser l’accès physique aux centres de données. Les centres de données sont hébergés dans des installations qui nécessitent un accès par carte électronique, avec des alarmes reliées à l’opération de sécurité sur site. Tous les entrants dans le centre de données sont tenus de s’identifier et de présenter une preuve d’identité aux opérations de sécurité sur site. Seuls les employés, sous-traitants et visiteurs autorisés sont admis dans les centres de données. Seuls les employés et sous-traitants autorisés sont autorisés à demander un accès par carte électronique à ces installations. Les demandes d’accès par carte électronique au centre de données doivent être faites par e-mail et nécessitent l’approbation des gestionnaires du centre de données. Tous les autres entrants nécessitant un accès temporaire au centre de données doivent : (i) obtenir l’approbation préalable des gestionnaires du centre de données pour le centre de données spécifique et les zones internes qu’ils souhaitent visiter ; (ii) s’enregistrer auprès des opérations de sécurité sur site ; et (iii) se référer à un registre d’accès au centre de données approuvé identifiant la personne comme étant autorisée.
• Dispositifs de sécurité du centre de données sur site : les centres de données de l’importateur de données utilisent une carte électronique et un système de contrôle d’accès biométrique relié à une alarme système. Le système de contrôle d’accès surveille et enregistre la carte électronique de chaque individu et le moment où il accède aux portes périmétriques, à l’expédition et à la réception, ainsi qu’à d’autres zones critiques. Les activités non autorisées et les tentatives d’accès infructueuses sont consignées par le système de contrôle d’accès et font l’objet d’une enquête, le cas échéant. L’accès autorisé dans l’ensemble des opérations commerciales et des centres de données est restreint en fonction des zones et des responsabilités professionnelles de l’individu. Les portes coupe-feu des centres de données sont munies d’une alarme. Des caméras CCTV sont en service à l’intérieur et à l’extérieur des centres de données. Le positionnement des caméras a été conçu pour couvrir des zones stratégiques comprenant, entre autres, le périmètre, les portes du bâtiment du centre de données et l’expédition/réception. Le personnel des opérations de sécurité sur site gère l’équipement de surveillance, d’enregistrement et de contrôle CCTV. Des câbles sécurisés dans l’ensemble des centres de données connectent l’équipement CCTV. Les caméras enregistrent sur site via des enregistreurs vidéo numériques 24 heures sur 24, 7 jours sur 7. Les enregistrements de surveillance sont conservés au minimum 30 jours en fonction de l’activité et des exigences de conformité.

b) Contrôles d’accès

• Personnel de sécurité de l’infrastructure : l’importateur de données a établi et maintient une politique de sécurité pour son personnel, et exige une formation à la sécurité dans le cadre du programme de formation de son personnel. Le personnel de l’infrastructure et de la sécurité de l’importateur de données est responsable de la surveillance continue de l’infrastructure de sécurité de l’importateur de données, de l’examen des services et de la réponse aux incidents de sécurité.
• Contrôle d’accès et gestion des privilèges : les administrateurs de l’exportateur de données doivent s’authentifier via un système d’authentification central ou via un système d’authentification unique afin d’administrer les services.
• Processus et politiques internes d’accès aux données : les processus et politiques internes d’accès aux données de l’importateur de données sont conçus pour empêcher les personnes et/ou systèmes non autorisés d’accéder aux systèmes utilisés pour traiter les données à caractère personnel. L’importateur de données conçoit ses systèmes pour : (i) n’autoriser que les personnes autorisées à accéder aux données qu’elles sont autorisées à consulter ; et (ii) garantir que les données à caractère personnel ne peuvent être lues, copiées, altérées ou supprimées sans autorisation pendant le traitement, l’utilisation et après l’enregistrement. Les systèmes sont conçus pour détecter tout accès inapproprié. L’importateur de données utilise un système de gestion des accès centralisé pour contrôler l’accès du personnel aux serveurs de production, et ne donne accès qu’à un nombre limité de membres du personnel autorisé. Active Directory, LDAP et Kerberos sont conçus pour fournir à l’importateur de données des mécanismes d’accès sécurisés et flexibles. Ces mécanismes sont conçus pour n’accorder que des droits d’accès approuvés aux hôtes du site, aux journaux, aux données et aux informations de configuration. L’importateur de données exige l’utilisation d’identifiants d’utilisateur uniques, de mots de passe forts et d’une authentification à deux facteurs le cas échéant pour minimiser le risque d’utilisation non autorisée des comptes. L’octroi ou la modification des droits d’accès est basé sur les responsabilités professionnelles du personnel autorisé, les exigences liées aux fonctions nécessaires pour effectuer les tâches autorisées et le principe du besoin d’en connaître. L’octroi ou la modification des droits d’accès doit également être conforme aux politiques internes d’accès aux données et à la formation de l’importateur de données. Les approbations sont gérées par des outils de flux de travail qui conservent des enregistrements d’audit de tous les changements. L’accès aux systèmes est consigné pour créer une piste d’audit à des fins de responsabilité. Lorsque des mots de passe sont utilisés pour l’authentification (par exemple, connexion aux postes de travail), des politiques de mots de passe conformes au moins aux pratiques standard du secteur sont mises en œuvre. Ces normes incluent des restrictions sur la réutilisation des mots de passe et une force de mot de passe suffisante.

3. STOCKAGE ET ÉLIMINATION DES DONNÉES

a) Stockage des données

L’importateur de données stocke les données dans un environnement multi-locataire sur des serveurs gérés/privés par l’importateur de données. L’architecture des données et du système de fichiers est répliquée entre plusieurs centres de données géographiquement dispersés. L’importateur de données chiffre toutes les données au repos, l’importateur de données isole également logiquement les données de l’exportateur de données, et l’exportateur de données aura le contrôle sur des politiques spécifiques de partage de données.

b) Élimination des données

Les disques contenant des données peuvent présenter des problèmes de performance, des erreurs ou des défaillances matérielles entraînant leur mise hors service. Chaque disque mis hors service est soumis à une série de processus de destruction de données avant de quitter les locaux de l’importateur de données, que ce soit pour réutilisation ou destruction. Les disques mis hors service sont effacés selon un processus en plusieurs étapes et la réussite de l’opération est vérifiée. Les résultats de l’effacement sont consignés par le numéro de série du disque mis hors service à des fins de suivi.

4. SÉCURITÉ DU PERSONNEL

Le personnel de l’importateur de données est tenu de se comporter d’une manière conforme aux directives de l’entreprise concernant la confidentialité, l’éthique des affaires, l’utilisation appropriée et les normes professionnelles. L’importateur de données effectue des vérifications d’antécédents raisonnablement appropriées dans la mesure permise par la loi et conformément au droit du travail local et aux réglementations statutaires applicables.

Le personnel est tenu de signer un accord de confidentialité et doit accuser réception et respect des politiques de sécurité et de confidentialité de l’importateur de données. Le personnel reçoit une formation en sécurité. Le personnel manipulant les données des clients est tenu de remplir des exigences supplémentaires appropriées à son rôle. Le personnel de l’importateur de données ne traitera pas les données des clients sans autorisation.

5. SÉCURITÉ DES SOUS-TRAITANTS

Avant d’intégrer des sous-traitants, l’importateur de données effectue un audit des pratiques de sécurité et de confidentialité des sous-traitants afin de s’assurer qu’ils fournissent un niveau de sécurité et de confidentialité approprié à leur accès aux données et à la portée des services qu’ils sont chargés de fournir.

ANNEXE III – LISTE DES SOUS-TRAITANTS

Sovos : Sovos permet l’émission de factures via le processus Onyx InvoicePro CTC pour l’Italie et l’Inde.

Kurt D. Ring
Global Alliances Manager | Sovos Compliance
B : 978.527.1276 | M : 617.877.2115
200 Ballardvale Street, Building 1, 4th Floor, Wilmington MA 01887

Flexential : Flexential fournit une plateforme de centre de données, offrant des services de colocation et de reprise après sinistre.

Derek Sieburg | Sr. Customer Success Manager | Flexential
B : 720.354.3758 | [email protected] | www.flexential.com [email protected]
À l’attention de : Privacy & Security Officer, Flexential Corp., 8809 Lenox Pointe Drive, Suite G, Charlotte, NC 28273
https://www.flexential.com/flexential-gdpr-policy-statement

Equinix : Equinix fournit des installations et des infrastructures de centres de données pour les services situés dans l’UE fournis par Flexential

[email protected] +1.866.977.3749
https://www.equinix.nl/about/legal/privacy

Amazon Web Services (AWS) : AWS est la plateforme privilégiée pour les services basés sur le cloud fournis par Onyx. Pour plus de détails, veuillez vous référer à l’Addendum relatif au traitement des données (DPA) RGPD d’AWS qui est intégré aux conditions de service d’AWS

https://aws.amazon.com/privacy/

Microsoft Azure : Azure fournit des services de cloud pour l’hébergement de l’interface Onyx InvoicePro. Veuillez consulter l’Addendum sur la protection des données des services en ligne de Microsoft pour plus d’informations.

Microsoft Corporation
À l’attention de : Chief Privacy Officer
1 Microsoft Way
Redmond, WA 98052 USA

ADDENDUM SUR LE TRANSFERT INTERNATIONAL DE DONNÉES AUX CLAUSES CONTRACTUELLES TYPES DE LA COMMISSION EUROPÉENNE

PARTIE 1 : TABLEAUX

Tableau 1 : Parties

Date de début	Date d’entrée en vigueur de l’addendum relatif au traitement des données
Les parties	Exportateur (qui envoie le transfert restreint)	Importateur (qui reçoit le transfert restreint)
Détails des parties	Voir Annexe 1, Section A du programme 1	Voir Annexe 1, Section A du programme 1
Contact clé	Voir Annexe 1, Section A du programme 1	Voir Annexe 1, Section A du programme 1
Signature (si nécessaire aux fins de la section 2)	L’exécution de l’addendum relatif au traitement des données à la date d’entrée en vigueur est réputée valoir exécution du présent addendum	L’exécution de l’addendum relatif au traitement des données à la date d’entrée en vigueur est réputée valoir exécution du présent addendum

Tableau 2 : CCT sélectionnées, modules et clauses sélectionnées

CCT UE de l’addendum

La version des CCT UE approuvées auxquelles le présent addendum est annexé, détaillée ci-dessous, y compris les informations de l’appendice : Date : Date d’entrée en vigueur de l’addendum relatif au traitement des données Référence (le cas échéant) : Aucune Autre identifiant (le cas échéant) : Aucun

Tableau 3 : Informations de l’appendice

« Informations de l’appendice » désigne les informations qui doivent être fournies pour les modules sélectionnés comme indiqué dans l’appendice des CCT UE approuvées (autres que les parties), et qui pour le présent addendum sont énoncées dans :

Annexe 1A : Liste des parties : voir Annexe 1, Section A du programme 1

Annexe 1B : Description du transfert : voir Annexe 1, Section B du programme 1

Annexe II : Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à assurer la sécurité des données : voir Annexe II du programme 1

Annexe III : Liste des sous-traitants (modules 2 et 3 uniquement) : voir Annexe III du programme 1

Tableau 4 : Résiliation du présent addendum en cas de modification de l’addendum approuvé

Résiliation du présent addendum en cas de modification de l’addendum approuvé

Quelles parties peuvent mettre fin au présent addendum comme indiqué à la section 19 : ☐ Importateur ☐ Exportateur ☐ Aucune des parties

PARTIE 2 : CLAUSES OBLIGATOIRES

Adhésion au présent addendum

1. Chaque partie accepte d’être liée par les termes et conditions énoncés dans le présent addendum, en échange de l’acceptation par l’autre partie d’être également liée par le présent addendum.
2. Bien que l’annexe 1A et la clause 7 des CCT UE approuvées exigent la signature des parties, aux fins de la réalisation de transferts restreints, les parties peuvent conclure le présent addendum de toute manière qui les lie juridiquement et permet aux personnes concernées de faire valoir leurs droits tels qu’énoncés dans le présent addendum. La conclusion du présent addendum aura le même effet que la signature des CCT UE approuvées et de toute partie des CCT UE approuvées.

Interprétation du présent addendum

3. Lorsque le présent addendum utilise des termes définis dans les CCT UE approuvées, ces termes ont la même signification que dans les CCT UE approuvées. En outre, les termes suivants ont les significations suivantes :

Addendum	Le présent addendum sur le transfert international de données qui est constitué du présent addendum intégrant les CCT UE de l’addendum.
CCT UE de l’addendum	La ou les versions des CCT UE approuvées auxquelles le présent addendum est annexé, comme indiqué dans le tableau 2, y compris les informations de l’appendice. Les CCT UE de l’addendum sont incluses au programme 1 de l’addendum relatif au traitement des données.
Informations de l’appendice	Comme indiqué dans le tableau 3.
Garanties appropriées	Le niveau de protection des données à caractère personnel et des droits des personnes concernées, requis par les lois britanniques sur la protection des données lorsque vous effectuez un transfert restreint en vous appuyant sur des clauses types de protection des données en vertu de l’article 46, paragraphe 2, point d) du RGPD britannique.
Addendum approuvé	Le modèle d’addendum publié par l’ICO et déposé devant le Parlement conformément à l’article 119A de la loi de 2018 sur la protection des données le 28 janvier 2022, tel qu’il est révisé en vertu de la section 18.
CCT UE approuvées	Les clauses contractuelles types énoncées dans l’annexe de la décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021.
ICO	L’Information Commissioner (Commissaire à l’information).
Transfert restreint	Un transfert qui est couvert par le chapitre V du RGPD britannique.
UK	Le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord.
Lois britanniques sur la protection des données	Toutes les lois relatives à la protection des données, au traitement des données à caractère personnel, à la vie privée et/ou aux communications électroniques en vigueur de temps à autre au Royaume-Uni, y compris le RGPD britannique et la loi de 2018 sur la protection des données.
RGPD britannique	Tel que défini à l’article 3 de la loi de 2018 sur la protection des données.

4. Le présent addendum doit toujours être interprété d’une manière cohérente avec les lois britanniques sur la protection des données et de manière à remplir l’obligation des parties de fournir les garanties appropriées.
5. Si les dispositions incluses dans les CCT UE de l’addendum modifient les CCT approuvées d’une manière qui n’est pas autorisée par les CCT UE approuvées ou l’addendum approuvé, cette ou ces modifications ne seront pas intégrées au présent addendum et la disposition équivalente des CCT UE approuvées les remplacera.
6. En cas d’incohérence ou de conflit entre les lois britanniques sur la protection des données et le présent addendum, les lois britanniques sur la protection des données s’appliquent.
7. Si le sens du présent addendum n’est pas clair ou s’il y a plus d’un sens, le sens qui correspond le plus étroitement aux lois britanniques sur la protection des données s’applique.
8. Toute référence à la législation (ou à des dispositions spécifiques de la législation) désigne cette législation (ou cette disposition spécifique) telle qu’elle peut évoluer au fil du temps. Cela inclut les cas où cette législation (ou cette disposition spécifique) a été consolidée, remise en vigueur et/ou remplacée après la conclusion du présent addendum.

Hiérarchie

9. Bien que la clause 5 des CCT UE approuvées stipule que celles-ci prévalent sur tous les accords connexes entre les parties, les parties conviennent que, pour les transferts restreints, la hiérarchie de la section 10 prévaudra.
10. En cas d’incohérence ou de conflit entre l’addendum approuvé et les CCT UE de l’addendum (selon le cas), l’addendum approuvé l’emporte sur les CCT UE de l’addendum, sauf si (et dans la mesure où) les termes incohérents ou conflictuels des CCT UE de l’addendum offrent une protection accrue aux personnes concernées, auquel cas ces termes l’emporteront sur l’addendum approuvé.
11. Lorsque le présent addendum intègre des CCT UE de l’addendum qui ont été conclues pour protéger les transferts soumis au règlement général sur la protection des données (UE) 2016/679, les parties reconnaissent que rien dans le présent addendum n’a d’incidence sur ces CCT UE de l’addendum.

Intégration et modifications des CCT UE

12. Le présent addendum intègre les CCT UE de l’addendum qui sont modifiées dans la mesure nécessaire pour que :
    1. ensemble, ils s’appliquent aux transferts de données effectués par l’exportateur de données vers l’importateur de données, dans la mesure où les lois britanniques sur la protection des données s’appliquent au traitement de l’exportateur de données lors de la réalisation de ce transfert de données, et qu’ils fournissent des garanties appropriées pour ces transferts de données ;
    2. les sections 9 à 11 l’emportent sur la clause 5 (Hiérarchie) des CCT UE de l’addendum ; et
    3. le présent addendum (y compris les CCT UE de l’addendum qui y sont intégrées) est (1) régi par les lois d’Angleterre et du pays de Galles et (2) tout litige en découlant est résolu par les tribunaux d’Angleterre et du pays de Galles, dans chaque cas à moins que les lois et/ou les tribunaux d’Écosse ou d’Irlande du Nord n’aient été expressément choisis par les parties.
13. Sauf si les Parties ont convenu de modifications alternatives répondant aux exigences de la Section 12, les dispositions de la Section 15 s’appliqueront.
14. Aucune modification des CCT UE approuvées, autre que pour répondre aux exigences de la Section 12, ne peut être apportée.
15. Les modifications suivantes des CCT UE de l’Addendum (aux fins de la Section 12) sont apportées :
    1. Les références aux « Clauses » désignent le présent Addendum, intégrant les CCT UE de l’Addendum ;
    À la Clause 2, supprimer les termes :

    « et, en ce qui concerne les transferts de données des responsables du traitement vers les sous-traitants et/ou des sous-traitants vers des sous-traitants, des clauses contractuelles types conformément à l’article 28(7) du Règlement (UE) 2016/679 » ;

    3. La Clause 6 (Description du/des transfert(s)) est remplacée par :

    « Les détails du/des transfert(s), et notamment les catégories de données à caractère personnel transférées et la/les finalité(s) pour lesquelles elles sont transférées, sont ceux précisés à l’Annexe I.B lorsque les lois du Royaume-Uni en matière de protection des données s’appliquent au traitement de l’exportateur de données lors de la réalisation de ce transfert. » ;

    4. La Clause 8.7(i) du Module 1 est remplacée par :

    « il s’agit d’un pays bénéficiant de règlements d’adéquation en vertu de la Section 17A du UK GDPR couvrant le transfert ultérieur » ;

    5. La Clause 8.8(i) des Modules 2 et 3 est remplacée par :

    « le transfert ultérieur est effectué vers un pays bénéficiant de règlements d’adéquation en vertu de la Section 17A du UK GDPR couvrant le transfert ultérieur ; »

    6. Les références au « Règlement (UE) 2016/679 », au « Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) » et à « ce Règlement » sont toutes remplacées par « lois du Royaume-Uni en matière de protection des données ». Les références à un/des article(s) spécifique(s) du « Règlement (UE) 2016/679 » sont remplacées par l’article ou la section équivalente des lois du Royaume-Uni en matière de protection des données ;
    7. Les références au Règlement (UE) 2018/1725 sont supprimées ;
    8. Les références à l’« Union européenne », à l’« Union », à l’« UE », à l’« État membre de l’UE », à l’« État membre » et à l’« UE ou État membre » sont toutes remplacées par le « Royaume-Uni » ;
    9. La référence à la « Clause 12(c)(i) » à la Clause 10(b)(i) du Module 1 est remplacée par la « Clause 11(c)(i) » ;
    10. La Clause 13(a) et la Partie C de l’Annexe I ne sont pas utilisées ;
    11. L’« autorité de contrôle compétente » et l’« autorité de contrôle » sont toutes deux remplacées par l’« Information Commissioner » ;
    12. À la Clause 16(e), le sous-paragraphe (i) est remplacé par :

    « le Secretary of State adopte des règlements en vertu de la Section 17A du Data Protection Act 2018 couvrant le transfert de données à caractère personnel auquel ces clauses s’appliquent ; » ;

    13. La Clause 17 est remplacée par :

    « Les présentes Clauses sont régies par les lois de l’Angleterre et du pays de Galles. » ;

    14. La Clause 18 est remplacée par :

    « Tout litige découlant des présentes Clauses sera tranché par les tribunaux d’Angleterre et du pays de Galles. Une personne concernée peut également engager une action en justice contre l’exportateur de données et/ou l’importateur de données devant les tribunaux de tout pays du Royaume-Uni. Les Parties conviennent de se soumettre à la compétence de ces tribunaux. » ; et

    15. Les notes de bas de page des CCT UE approuvées ne font pas partie de l’Addendum, à l’exception des notes de bas de page 8, 9, 10 et 11.

Modifications du présent Addendum

16. Les Parties peuvent convenir de modifier les Clauses 17 et/ou 18 des CCT UE de l’Addendum afin de faire référence aux lois et/ou aux tribunaux d’Écosse ou d’Irlande du Nord.
17. Si les Parties souhaitent modifier le format des informations incluses dans la Partie 1 : Tableaux de l’Addendum approuvé, elles peuvent le faire en convenant de la modification par écrit, à condition que cette modification ne réduise pas les Garanties appropriées.
18. De temps à autre, l’ICO peut publier un Addendum approuvé révisé qui :
    1. apporte des modifications raisonnables et proportionnées à l’Addendum approuvé, y compris la correction d’erreurs dans l’Addendum approuvé ; et/ou
    2. reflète les modifications apportées aux lois du Royaume-Uni en matière de protection des données ;
    L’Addendum approuvé révisé précisera la date de début à partir de laquelle les modifications de l’Addendum approuvé prennent effet et indiquera si les Parties doivent réexaminer le présent Addendum, y compris les Informations de l’Annexe. Le présent Addendum est automatiquement modifié comme indiqué dans l’Addendum approuvé révisé à compter de la date de début précisée.
19. Si l’ICO publie un Addendum approuvé révisé en vertu de la Section 18, si une Partie sélectionnée dans le Tableau 4 « Mettre fin à l’Addendum lorsque l’Addendum approuvé change » subit, du fait direct des modifications de l’Addendum approuvé, une augmentation substantielle, disproportionnée et démontrable :
    1. de ses coûts directs d’exécution de ses obligations au titre de l’Addendum ; et/ou
    2. de son risque au titre de l’Addendum,
    et si, dans les deux cas, elle a d’abord pris des mesures raisonnables pour réduire ces coûts ou risques afin qu’ils ne soient pas substantiels et disproportionnés, alors cette Partie peut mettre fin au présent Addendum à l’issue d’un délai de préavis raisonnable, en adressant à l’autre Partie une notification écrite couvrant cette période avant la date de début de l’Addendum approuvé révisé.
20. Les Parties n’ont pas besoin du consentement d’un tiers pour apporter des modifications au présent Addendum, mais toute modification doit être effectuée conformément à ses conditions.

PARTIE 2 ALTERNATIVE — CLAUSES OBLIGATOIRES :

Clauses obligatoires

Partie 2 : Clauses obligatoires de l’Addendum approuvé, constituant le modèle d’Addendum B.1.0 publié par l’ICO et présenté au Parlement conformément à l’article s119A du Data Protection Act 2018 le 28 janvier 2022, tel que révisé en vertu de la Section 18 de ces Clauses obligatoires.