Règlement général sur la protection des données et avenant sur le transfert de données

AVENANT RELATIF AU PARTAGE DE DONNÉES

(y compris les clauses contractuelles types de l’UE)

Le présent avenant relatif au partage de données (l’Avenant relatif au partage de données) fait partie intégrante du Contrat conclu entre Guidepoint et le Client (tel que défini ci-dessous) (les Parties). Les termes commençant par une majuscule utilisés dans le présent Avenant relatif au partage de données ont la signification qui leur est attribuée au paragraphe ‎1 ci-dessous ou, s’ils n’y sont pas définis, la signification qui leur est donnée dans le Contrat. Lorsqu’un terme commençant par une majuscule n’est défini ni dans le présent Avenant relatif au partage de données ni dans le Contrat, il a la signification attribuée au même terme non capitalisé tel qu’utilisé dans les Clauses contractuelles types.

Le Client conclut le présent Avenant relatif au partage de données pour son propre compte et pour le compte de ses Sociétés affiliées agissant en qualité d’Entités clientes transférantes (telles que définies ci-dessous).

1. Définitions

1.1 Les termes commençant par une majuscule figurant dans le présent Avenant relatif au partage de données ont la signification suivante :

Conseillers désigne des personnes qui sont des praticiens, professionnels et universitaires dans divers secteurs, et qui fournissent des services de conseil aux clients de Guidepoint par le biais de leur adhésion à Guidepoint Global Advisors.

Affilé désigne des personnes qui sont des praticiens, professionnels et universitaires dans divers secteurs, et qui fournissent des services de conseil aux clients de Guidepoint par le biais de leur adhésion à Guidepoint Global Advisors.

Client désigne une entité ou une personne ayant conclu un contrat écrit avec Guidepoint afin que Guidepoint fournisse certains services.

Les Données Personnelles du Client désignent les Données à caractère personnel fournies par le Client à Guidepoint ou à ses Sociétés affiliées conformément au Contrat.

Responsable du traitement désigne une entité qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des Données Personnelles.

Exportateur de données désigne la partie qui transfère des Données Personnelles depuis un Pays de l’EEE Étendu.

Importateur de données désigne la partie qui reçoit des Données Personnelles d’un Exportateur de données dans un Pays Tiers.

Législation sur la protection des données désigne l’ensemble des lois et règlements applicables au traitement des Données Personnelles dans le cadre du Contrat, y compris le RGPD du Royaume-Uni, le Data Protection Act 2018 (DPA 2018), le RGPD ainsi que toute autre loi et réglementation de l’Union européenne, de l’EEE, de leurs États membres et du Royaume-Uni relatives au traitement des données personnelles et à la vie privée.

Personne concernée désigne la personne physique à laquelle se rapportent les Données Personnelles.

Demande de la Personne concernée désigne toute demande d’une Personne concernée visant à exercer ses droits en vertu de la Législation sur la protection des données à l’égard de ses Données Personnelles, y compris, sans limitation, le droit d’accès, de rectification, de modification, de portabilité, d’obtention d’une copie, d’opposition au traitement, de limitation ou de suppression desdites Données Personnelles.

EEE désigne l’Espace économique européen.

L’UE désigne l’Union européenne.

Pays de l’EEE Étendu : un pays de l’EEE, l’Islande, le Liechtenstein ou la Norvège, et les Pays de l’EEE Étendu désignent collectivement les pays susmentionnés.

Données Personnelles de l’EEE Étendu désigne les Données Personnelles dont le traitement est soumis à la Législation sur la protection des données du Pays de l’EEE Étendu applicable.

Par Pays Hors de l’EEE Étendu, on entend la Suisse ou le Royaume-Uni.

RGPD désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 (Règlement général sur la protection des données).

Données Personnelles de Guidepoint désigne toute Donnée Personnelle fournie par Guidepoint au Client et/ou à ses Affiliés conformément au Contrat.

Guidepoint désigne Guidepoint Global, LLC ou l’entité Guidepoint applicable indiquée dans le Contrat.

Données Personnelles désigne toute information se rapportant à une personne physique identifiée ou identifiable (une personne physique identifiable étant une personne pouvant être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale).

Violation de Données Personnelles désigne toute violation de la sécurité ayant entraîné, ou étant raisonnablement susceptible d’entraîner, la destruction, la perte, l’altération, la divulgation non autorisée ou illégale de Données Personnelles, ou l’accès non autorisé à celles-ci, ou leur chiffrement, qu’elles soient transmises, stockées ou autrement traitées.

Traitement ou Traiter désigne toute opération ou ensemble d’opérations effectuées sur des Données Personnelles, que ce soit ou non à l’aide de procédés automatisés, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Clauses Contractuelles Types désigne les clauses contractuelles types relatives au transfert de Données à caractère personnel vers des pays tiers conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil, adoptées par la décision de la Commission européenne du 4 juin 2021 et publiées sous le numéro de document C(2021) 3972 (disponibles à l’adresse suivante : https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj?locale=en&uri=CELEX:32021D0914).

Pays Tiers désigne un pays qui n’est pas reconnu comme offrant un niveau de protection adéquat pour recevoir des Données Personnelles de l’EEE Étendu au regard de la Législation sur la protection des données du Pays de l’EEE Étendu applicable.

Entité Cliente Transférante désigne le Client ou l’un de ses Affiliés qui transfère, ou facilite le transfert, de Données Personnelles de l’EEE Étendu directement à Guidepoint.

Données Personnelles Transférées désigne les Données Personnelles du Client et/ou les Données Personnelles de Guidepoint, constituant également des Données Personnelles de l’EEE Étendu, et qui sont transférées (a) par l’Entité Cliente Transférante à Guidepoint ou (b) par Guidepoint au Client, selon le cas, conformément au présent Avenant relatif au Partage de Données.

UK Addendum désigne le modèle d’avenant B1.0 publié par l’Information Commissioner’s Office du Royaume-Uni et déposé devant le Parlement conformément à l’article s119A du Data Protection Act 2018 le 2 février 2022, entré en vigueur le 21 mars 2022, tel que révisé en vertu de l’article 18 des Clauses obligatoires du Royaume-Uni (disponible à l’adresse suivante : international-data-transfer-addendum.pdf (ico.org.uk)).

UK GDPR désigne le RGPD tel que modifié et transposé dans le droit du Royaume-Uni conformément au European Union (Withdrawal) Act 2018 et au European Union (Withdrawal Agreement) Act 2020.

Clauses Obligatoires du Royaume-Uni désigne les clauses obligatoires de l’UK Addendum, telles que mises à jour périodiquement et remplacées par toute version finale publiée par l’Information Commissioner’s Office.

2. Responsables de traitement indépendants

2.1 Les Parties reconnaissent et conviennent qu’elles agiront chacune en qualité de Responsable du traitement indépendant en ce qui concerne leur Traitement des Données Personnelles Transférées.

2.2 Chaque Partie est responsable du respect des obligations imposées à un Responsable du traitement par la Législation sur la protection des données, y compris l’obligation de maintenir ou d’effectuer toute inscription et/ou d’obtenir toute autorisation requise par la Législation sur la protection des données en lien avec la réception et le Traitement des Données Personnelles Transférées respectivement reçues et Traitées dans le cadre du Contrat.

2.3 Chaque Partie est responsable de s’assurer que, préalablement au transfert de Données Personnelles de Guidepoint ou de Données Personnelles du Client à l’autre Partie, la Partie transférante a veillé à ce que les Personnes concernées aient été informées du transfert (lorsque cela est requis par la Législation sur la protection des données).

2.4 La finalité du Traitement des Données Personnelles de Guidepoint par le Client est l’exécution de ses obligations au titre du Contrat, ainsi que toute autre finalité précisée à l’Annexe 1 (Détails du Traitement des données) (collectivement, la Finalité). Les types de données à caractère personnel traitées dans le cadre de l’accord et les catégories de personnes concernées sont précisés à l’annexe 1 (détails du traitement des données).

3. Obligations du Client

3.1 Le Client s’engage à :

(a) uniquement Traiter les Données Personnelles de Guidepoint afin de remplir la Finalité, le faire en permanence conformément à la Législation sur la protection des données, et ne pas combiner les Données Personnelles de Guidepoint avec d’autres données ni les utiliser d’une manière contraire au Contrat ou susceptible de porter atteinte aux intérêts, aux droits fondamentaux et aux libertés des Personnes concernées ;

(b) prendre des mesures procédurales, techniques et organisationnelles appropriées afin d’empêcher toute divulgation illicite, tout Traitement non autorisé ou toute perte, destruction, détérioration ou altération accidentelle des Données Personnelles de Guidepoint tant qu’elles sont en sa possession ou sous son contrôle ;

(c) sous réserve d’engagements de confidentialité raisonnables et appropriés, permettre à Guidepoint (ou à son représentant autorisé) d’inspecter et d’auditer ses activités de Traitement des données (et/ou celles de ses agents, filiales et/ou sous-traitants qui Traitent les Données Personnelles de Guidepoint pour le compte du Client) et se conformer à toutes les demandes ou instructions raisonnables de Guidepoint afin de lui permettre de vérifier et/ou de s’assurer que le Client respecte pleinement ses obligations en matière de protection des données au titre du Contrat, et de prendre toute mesure corrective raisonnablement requise par Guidepoint à la suite dudit audit ;

(d) cesser le Traitement des Données Personnelles de Guidepoint lorsque Guidepoint l’exige si le Client enfreint le Contrat ;

(e) à la résiliation du Contrat, pour quelque cause que ce soit, ou sur demande écrite de Guidepoint conformément au paragraphe ‎3.1(d) ci-dessus, cesser immédiatement de Traiter toute Donnée Personnelle de Guidepoint reçue de ou pour le compte de Guidepoint dans le cadre du Contrat, et restituer à Guidepoint, ou détruire (à la discrétion de Guidepoint), toute Donnée Personnelle de Guidepoint en sa possession ou sous son contrôle (sauf si la législation applicable exige la conservation continue de ces Données Personnelles de Guidepoint) ;

(f) informer immédiatement Guidepoint de toute Violation de Données Personnelles, plainte ou Demande de la Personne concernée, avérée ou potentielle, relative à son utilisation (ou à celle de ses agents ou sous-traitants) des Données Personnelles de Guidepoint, et fournir sans délai à Guidepoint, à sa demande, les détails des mesures prises pour répondre à la Violation de Données Personnelles, résoudre la plainte ou traiter la Demande de la Personne concernée ; et

(g) tenir des registres appropriés de l’ensemble des opérations de Traitement des Données Personnelles de Guidepoint.

4. Transferts de données

Application des Clauses Contractuelles Types

4.1 Lorsque :

(a) une Entité Cliente Transférante (en qualité d’Exportateur de données) transfère, ou facilite le transfert, de Données Personnelles Transférées directement à Guidepoint (en qualité d’Importateur de données) dans un Pays Tiers ; ou

(b) Guidepoint transfère (en qualité d’Exportateur de données), ou facilite le transfert, de Données Personnelles Transférées au Client ou à ses Affilés (en qualité d’Importateur de données) dans un Pays Tiers, les Clauses Contractuelles Types s’appliquent conformément au paragraphe 4.4 ci-dessous, sauf si un autre mécanisme de transfert ou une dérogation au transfert reconnu(e) par la Législation sur la protection des données du Pays de l’EEE Étendu concerné s’applique. Dans le cadre des Clauses Contractuelles Types, les parties aux Clauses Contractuelles Types peuvent chacune agir en qualité d’Importateur de données et/ou d’Exportateur de données et/ou de Responsable du traitement, selon le cas, tel que précisé au paragraphe 4.4 ci-dessous.

4.2 Lorsque l’Entité Cliente Transférante transfère des Données Personnelles Transférées à Guidepoint qui n’est pas situé dans un Pays Tiers, les Clauses Contractuelles Types ne s’appliquent pas. Dans ce cas, Guidepoint est responsable de s’assurer que toute exportation ultérieure de ces Données Personnelles Transférées par Guidepoint vers un Pays Tiers est conforme à la Législation sur la protection des données applicable.

4.3 Lorsque Guidepoint transfère des Données Personnelles Transférées au Client qui n’est pas situé dans un Pays Tiers, les Clauses Contractuelles Types ne s’appliquent pas. Dans ce cas, le Client est responsable de s’assurer que toute exportation ultérieure de ces Données Personnelles Transférées par le Client vers un Pays Tiers est conforme à la Législation sur la protection des données applicable.Incorporation et interprétation des Clauses Contractuelles Types (y compris le UK Addendum, le cas échéant):

4.4 Conformément au paragraphe ‎4.1‎4.1, les Clauses Contractuelles Types sont par les présentes incorporées par référence. Lorsque les dispositions applicables des Clauses Contractuelles Types exigent que l’Exportateur de données et l’Importateur de données sélectionnent un module, les parties aux Clauses Contractuelles Types reconnaissent que le Module Un des Clauses Contractuelles Types (transfert de responsable du traitement à responsable du traitement) s’applique conformément au tableau ci-dessous.

Data Sharing Table

Parties' Roles	Applicable module in the Standard Contractual Clauses	Description of the transfer (to complete Annex I, Part B of the Standard Contractual Clauses)
Guidepoint (Data Importer): Controller Client or Client Affiliate (Data Exporter): Controller	Module One	Part A of the Appendix of this Data Sharing Addendum
Guidepoint (Data Exporter): Controller Client or Client Affiliate (Data Importer): Controller	Module One	Part B of the Appendix of this Data Sharing Addendum

4.5 Les Clauses Contractuelles Types constituent un accord distinct entre chaque Importateur de données et chaque Exportateur de données.Dispositions générales

4.6 Si une disposition ou une partie de disposition du présent Avenant relatif au partage de données a pour effet de rendre les Clauses Contractuelles Types invalides en tant que mécanisme de transfert dans le Pays de l’EEE Étendu concerné, cette disposition ou partie de disposition sera réputée supprimée, sans que cela n’affecte la validité ni le caractère exécutoire des autres dispositions du présent Avenant relatif au partage de données. Les Parties négocieront alors de bonne foi afin de convenir d’une disposition de remplacement qui atteigne, dans toute la mesure du possible, le résultat commercial initialement recherché par la disposition supprimée.

4.7 Sauf dans la mesure où les Clauses Contractuelles Types ou la Législation sur la protection des données d’un Pays de l’EEE Étendu exigeraient qu’il en soit autrement, les Clauses Contractuelles Types sont régies par le droit de la République d’Irlande et soumises à la compétence exclusive des juridictions de la République d’Irlande.

4.8 Aux fins de l’Annexe I, Partie C (Autorité de contrôle compétente) des Clauses Contractuelles Types, l’autorité de contrôle compétente sera :

(i) lorsque l’Exportateur de données est établi dans l’EU, l’autorité de contrôle de l’État membre de l’EU dans lequel l’Exportateur de données est établi ;

(ii) lorsque l’Exportateur de données est établi en dehors de l’EU dans un Pays de l’EEE Étendu, l’autorité de contrôle du Pays de l’EEE Étendu dans lequel l’Exportateur de données est établi ;

(iii) lorsque l’Exportateur de données est établi dans un pays qui n’est pas un Pays de l’EEE Étendu et que les Données Personnelles proviennent de l’EU, l’autorité de contrôle de l’État membre de l’EU dans lequel l’Exportateur de données a désigné un représentant dans l’EU conformément à l’article 27, paragraphe 2, du RGPD ; lorsqu’aucun représentant dans l’EU n’a été désigné, l’autorité de contrôle compétente sera l’autorité de contrôle de la République d’Irlande ; et

(iv) lorsque l’Exportateur de données est établi dans un pays qui n’est pas un Pays de l’EEE Étendu et que les Données Personnelles proviennent d’un Pays de l’EEE Étendu qui n’est pas situé dans l’EU, l’autorité de contrôle du Pays de l’EEE Étendu à partir duquel les Données Personnelles proviennent.

4.9 Sous réserve du paragraphe 4.11 ci-dessous, lorsque le Pays de l’EEE Étendu applicable dans lequel l’Exportateur de données est établi ou à partir duquel les Données Personnelles Transférées proviennent n’est pas un État membre de l’EU, toute référence figurant dans les Clauses Contractuelles Types à :

(a) « Union européenne », « Union », « EU », « État membre », « État membre de l’EU » devra être interprétée comme une référence au Pays de l’EEE Étendu applicable dans lequel l’Exportateur de données est établi ou à partir duquel les Données Personnelles Transférées proviennent ;

(b) « Règlement (UE) 2016/679 » devra être interprété comme une référence à la Législation sur la protection des données applicable du Pays de l’EEE Étendu dans lequel l’Exportateur de données est établi ou à partir duquel les Données Personnelles Transférées proviennent ; et

(c) « autorité de contrôle » devra être interprétée comme une référence à l’autorité de protection des données compétente dans le Pays de l’EEE Étendu concerné.

4.10 Lorsque le transfert de Données Personnelles vers l’Importateur de données est soumis au UK GDPR, les Clauses Contractuelles Types sont complétées par le UK Addendum, et la Partie 1 de l’avenant approuvé au Royaume-Uni est renseignée conformément aux dispositions ci-dessous :

(a) Tableau 1. La « date de début » correspond à la date d’entrée en vigueur du présent Avenant relatif au partage de données. Les « Parties » sont le Client ou l’Affilé du Client, et Guidepoint ou l’Affilé de Guidepoint.

(b) Tableau 2. Le Module Un est le module des Clauses Contractuelles Types applicable conformément au paragraphe 4.4 du présent Avenant relatif au partage de données.

(c) Tableau 3. Les « Informations de l’Annexe » sont celles définies aux paragraphes 4.11(a) à 4.11(d) du présent Avenant relatif au partage de données.

(d) Tableau 4. Les Parties peuvent mettre fin au UK Addendum conformément à la clause 19 des Clauses Obligatoires du Royaume-Uni.

4.11 Les annexes aux Clauses Contractuelles Types sont complétées comme suit :

(a) l’Annexe I, Partie A (Liste des Parties) des Clauses Contractuelles Types est complétée par référence aux rôles respectifs du Client ou de l’Affilé du Client, et de Guidepoint ou de l’Affilé de Guidepoint, tels qu’indiqués dans l’entrée correspondante de la colonne « Rôle des Parties » du tableau figurant au paragraphe 4.4 ci-dessus, ainsi qu’aux informations relatives à ces Parties telles que prévues dans le Contrat ;

(b) l’Annexe I, Partie B (Description du transfert) des Clauses Contractuelles Types est complétée à l’aide des informations figurant dans l’entrée correspondante de la colonne « Description du transfert » du tableau figurant au paragraphe 4.4 ci-dessus ;

(c) l’Annexe I, Partie C (Autorité de contrôle compétente) des Clauses Contractuelles Types est complétée par référence au paragraphe ‎4.7 ci-dessus ; et

(d) l’Annexe II (Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à garantir la sécurité des données) des Clauses Contractuelles Types est réputée complétée comme suit : l’Importateur de données met en œuvre et maintient des mesures de sécurité techniques et organisationnelles appropriées afin de protéger de manière adéquate les Données Personnelles de l’Exportateur de données contre les risques inhérents au Traitement des Données Personnelles aux fins identifiées dans le Contrat, ainsi que contre les risques liés à un Traitement non autorisé ou illicite, à la destruction, à l’altération, à l’utilisation abusive ou à la perte, tels que précisés à l’Annexe 2 du présent Avenant relatif au partage de données, y compris tout avenant ou annexe pertinente précisant les exigences de sécurité, notamment une annexe relative aux exigences de sécurité, ainsi que toute mesure de sécurité technique et organisationnelle supplémentaire que l’Importateur de données notifiera à l’Exportateur de données de temps à autre.

4.12 En cas de conflit entre les Clauses Contractuelles Types et le présent Avenant relatif au partage de données et/ou le Contrat (y compris tout avenant) (le cas échéant), les Clauses Contractuelles Types prévaudront.

5. Général

5.1 Responsabilité

(a) Les Parties conviennent qu’aucune limitation ni exclusion de responsabilité prévue dans le Contrat ne s’appliquera à la responsabilité d’une quelconque Partie envers les Personnes concernées au titre des dispositions relatives aux bénéficiaires tiers des Clauses Contractuelles Types, dans la mesure où de telles limitations ou exclusions sont interdites par la Législation sur la protection des données.

(b) Nonobstant le paragraphe 4.12, les Parties conviennent que l’ensemble des responsabilités entre elles et/ou leurs Affilés au titre des Clauses Contractuelles Types sera soumis aux limitations et exclusions de responsabilité prévues dans le Contrat, sauf dans la mesure où la législation applicable l’interdit.

5.2 Effet juridique

Le présent Avenant relatif au partage de données (qui est incorporé au Contrat et en constitue une partie intégrante) constitue l’intégralité de l’accord et de l’entente entre les Parties et remplace l’ensemble des négociations, accords et ententes antérieurs ou concomitants, verbaux ou écrits, le cas échéant, portant sur l’objet spécifique du présent Avenant relatif au partage de données. Le présent Avenant relatif au partage de données ne peut être modifié que par un accord écrit signé par un représentant dûment autorisé de chaque Partie.

ANNEXE 1

Détails du Traitement des données

PARTIE A – Responsable du traitement à Responsable du traitement (Guidepoint en qualité d’Importateur de données)

Catégories de Personnes concernées dont les Données Personnelles sont transférées :
Personnel employé par l’Entité Cliente Transférante.

• Employés (y compris les travailleurs indépendants)• Utilisateurs finaux• Prestataires indépendants• Investisseurs• Propriétaires• Autres personnes pertinentes en lien avec l’activité de l’entreprise

Catégories de Données Personnelles transférées :
Les Données Personnelles transférées concernent les catégories de données suivantes, chacune relative au personnel de l’Entité Cliente Transférante :

1. Nom
2. Coordonnées (y compris l’adresse e-mail professionnelle, l’adresse postale et le numéro de téléphone)
3. Adresses IP
4. Cookies de navigation
5. Identifiants d’appareils
6. Autres informations fournies à la discrétion de l’Entité Cliente Transférante
7. Autres informations nécessaires au fonctionnement de l’activité et à la fourniture de services et d’assistance à l’Entité Cliente Transférante
8. Informations associées liées aux Données Personnelles

Catégories particulières de Données Personnelles transférées (le cas échéant) :
Aucune

Nature et finalité(s) du transfert de données et du Traitement ultérieur :
Le Client a retenu les services de Guidepoint afin d’obtenir des services de conseil fournis par des experts en la matière issus du réseau mondial de professionnels de Guidepoint, conformément au Contrat. Les données fournies relatives aux Personnes concernées listées sont utilisées afin de permettre à Guidepoint de fournir des services et une assistance au Client ou à l’Entité Cliente Transférante dans le cadre de ses activités courantes, y compris pour l’établissement de communications à diverses fins professionnelles, le respect des obligations légales (y compris la conformité au RGPD et la formalisation des instructions écrites), ainsi que pour toute autre utilisation professionnelle pertinente et anticipée entrant dans le champ du Contrat.

Fréquence du transfert :
Aussi régulièrement que nécessaire afin de recevoir et/ou fournir les services prévus au titre du Contrat.

Durée de conservation des Données Personnelles, ou, lorsque cela n’est pas possible, critères utilisés pour déterminer cette durée :
Guidepoint conservera les Données Personnelles conformément aux stipulations du Contrat et à sa politique de conservation des documents raisonnable sur le plan commercial.

PARTIE B – Responsable du traitement à Responsable du traitement (Guidepoint en qualité d’Exportateur de données)

Catégories de Personnes concernées dont les Données Personnelles sont transférées :
Employés et Conseillers de Guidepoint.

Catégories de Données Personnelles transférées :
Les Données Personnelles transférées concernent les catégories de données suivantes, chacune relative au personnel de Guidepoint et à ses Conseillers :

1. Nom
2. Coordonnées (y compris l’adresse e-mail professionnelle ou personnelle, l’adresse postale et le numéro de téléphone)
3. Adresses IP
4. Cookies de navigation
5. Identifiants d’appareils
6. Autres informations fournies à la discrétion de l’Entité Cliente Transférante
7. Autres informations nécessaires au fonctionnement de l’activité et à la fourniture de services et d’assistance à l’Entité Cliente Transférante
8. Informations associées liées aux Données Personnelles

Catégories particulières de Données Personnelles transférées (le cas échéant) :
Aucune

Nature et finalité(s) du transfert de données et du Traitement ultérieur :
Le Client a retenu les services de Guidepoint afin d’obtenir des services de conseil fournis par des experts en la matière issus du réseau mondial de professionnels de Guidepoint (les « Conseillers »), conformément au Contrat. Les données fournies relatives aux Personnes concernées listées sont utilisées afin de permettre à Guidepoint de fournir des services et une assistance au Client ou à l’Entité Cliente Transférante dans le cadre de ses activités courantes, y compris pour l’établissement de communications à diverses fins professionnelles, le respect des obligations légales (y compris la conformité au RGPD et la formalisation des instructions écrites), ainsi que pour toute autre utilisation professionnelle pertinente et anticipée entrant dans le champ du Contrat.

Fréquence du transfert :
Aussi régulièrement que nécessaire afin de recevoir et/ou fournir les services prévus au titre du Contrat.

Durée de conservation des Données Personnelles, ou, lorsque cela n’est pas possible, critères utilisés pour déterminer cette durée :
Le Client (y compris l’Affilé du Client) conservera les Données Personnelles conformément aux stipulations du Contrat.

Pour les transferts vers les (Sous-)Traitants, préciser également l’objet, la nature et la durée du Traitement :
N/A

ANNEXE 2

MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À ASSURER LA SÉCURITÉ DES DONNÉES

L’Importateur de données doit mettre en place au minimum les mesures suivantes :

• Politique ou plan de sécurité écrit
• Plan de reprise après sinistre
• Plan de réponse aux incidents
• Segmentation du réseau
• Pare-feu
• Dispositifs de prévention d’intrusion
• Chiffrement en transit et au repos
• Protection antivirus
• Programme de gestion des mots de passe
• Accès basé sur les rôles
• Application régulière de correctifs et mises à jour des systèmes critiques et autres systèmes connectés aux systèmes critiques
• Formation des utilisateurs
• Manuel de l’employé
• Contrôles anti-spam
• Pratiques de codage sécurisé