Addenda sur le traitement des données

  1. Définitions
    Dans le présent Addenda sur le traitement des données, « RGPD » signifie le Règlement général sur la protection des données (règlement (UE) 2016/679) ; « Responsable », « Sous-traitant », « Personne concernée », « Données à caractère personnel », « Violation de données à caractère personnel » et « Traitement » devront avoir les mêmes significations que celles définies dans le RGPD. Les termes « Traité » et « Traiter » devront être interprétés au sens du terme « Traitement ». Tous les autres termes définis aux présentes ont les mêmes significations que celles définies dans le présent Accord.
  2. Traitement des données
    1. En agissant en tant que Sous-traitant de vos Données à caractère personnel (« Vos données à caractère personnel ») en vertu du présent Accord, Facebook confirme que :
      1. la durée, l’objet, la nature et le but du Traitement doivent être conformes à ce qui est indiqué dans l’Accord ;
      2. les types de Données à caractère personnel traitées incluent ceux indiqués dans la définition de Vos données ;
      3. les catégories de Personnes concernées comprennent vos représentants, vos Utilisateurs et toute autre personne identifiée ou identifiable dans Vos données à caractère personnel ; et
      4. vos obligations et vos droits en tant que Responsable du traitement de Vos données à caractère personnel sont tels qu’ils sont prévus dans le présent Accord.
    2. Dans la mesure où Facebook traite Vos données à caractère personnel en vertu de l’Accord ou dans le cadre de celui-ci, Facebook devra :
      1. traiter uniquement Vos données à caractère personnel conformément aux instructions que vous avez énoncées dans le cadre du présent Accord, notamment en ce qui concerne le transfert de Vos données à caractère personnel, sous réserve des exceptions autorisées par l’Article 28(3)(a) du RGPD ;
      2. s’assurer que ses employés autorisés à traiter Vos données à caractère personnel en vertu du présent Accord se sont engagés à respecter la confidentialité ou sont soumis à une obligation légale appropriée de confidentialité en rapport avec Vos données à caractère personnel ;
      3. mettre en œuvre les mesures techniques et organisationnelles énoncées dans l’Addenda sur la sécurité des données ;
      4. respecter les conditions évoquées ci-après dans les Sections 2.c et 2.d du présent Addenda sur le traitement des données lors de la désignation de Sous-traitants ;
      5. vous aider, par des mesures techniques et organisationnelles appropriées, dans la mesure où cela est possible via Workplace, à vous acquitter de toute obligation de donner suite aux demandes d’exercice des droits par une Personne concernée en vertu du Chapitre III du RGPD ;
      6. vous aider à garantir le respect de vos obligations prévues aux Articles 32 à 36 du RGPD, compte tenu de la nature du Traitement et des informations à la disposition de Facebook ;
      7. au terme de l’Accord, supprimer les Données à caractère personnel conformément à l’Accord, sauf si la législation de l’Union européenne ou d’un État membre exige la conservation desdites données ;
      8. mettre à votre disposition les informations décrites dans le présent Accord et via Workplace pour remplir l’obligation de Facebook de fournir toutes les informations nécessaires afin de démontrer le respect des obligations de Facebook prévues par l’Article 28 du RGPD ; et
      9. veiller, tous les ans, à ce qu’un auditeur tiers de son choix effectue un audit SOC 2 Type II ou un autre audit standard des contrôles mené par Facebook concernant Workplace, comme un auditeur mandaté, par les présentes, par vos soins. À votre demande, Facebook vous fournira une copie de la version à jour de son rapport d’audit, lequel sera considéré comme des Informations confidentielles de Facebook.
    3. Vous autorisez Facebook à sous-traiter ses obligations de Traitement des données en vertu du présent Accord à ses Sociétés affiliées et à d’autres tiers, dont Facebook vous fournira la liste sur demande écrite de votre part. Facebook devra pour cela établir un accord écrit avec ledit Sous-traitant, ce dernier étant soumis aux mêmes obligations de protection des données que Facebook en vertu du présent Accord. Si ledit Sous-traitant ne remplit pas ces obligations, Facebook devra demeurer pleinement responsable envers vous de l’exécution des obligations de protection des données de ce Sous-traitant.
    4. Si Facebook engage un ou plusieurs Sous-traitants supplémentaires ou de substitution à partir (i) du 25 mai 2018 ou (ii) de la Date d’entrée en vigueur (la date la plus postérieure étant retenue), Facebook devra vous en informer dans les quatorze (14) jours précédant la désignation desdits Sous-traitants. Vous pouvez vous opposer à cet engagement dans les quatorze (14) jours suivant la notification de Facebook en résiliant immédiatement l’Accord moyennant un avis écrit communiqué à Facebook.
    5. Facebook devra vous informer dans les meilleurs délais dès qu’une Violation de Vos données à caractère personnel est portée à sa connaissance. Un tel avis devra comprendre, au moment de la notification ou le plus rapidement possible par la suite, des détails relatifs à la Violation des Données à caractère personnel, notamment le nombre de dossiers concernés, la catégorie et le nombre approximatif d’Utilisateurs concernés, les conséquences prévues de la violation et tout recours effectif ou proposé pour atténuer, le cas échéant, les éventuels effets négatifs de la violation.