INSIGHTSOFTWARE

INSIGHTSOFTWARE

ADDENDUM RELATIF AU TRAITEMENT DES DONNÉES

Le présent Addendum relatif au traitement des données (« DPA ») fait partie de, et est soumis aux Conditions générales principales ou autres conditions de service ou contrat d’abonnement écrit (le « Contrat ») entre insightsoftware (tel que défini ci-dessous) et le Client qui fait référence au présent DPA, et entre en vigueur à la même date que le Contrat.

Le présent DPA s’applique lorsque, et dans la mesure où, xxxxxxxxxxxxxxx traite des données personnelles pour le compte du Client lorsqu'il fournit des Services en vertu du Contrat. Les parties conviennent que le présent DPA se substitue à tout DPA existant ou aux éventuelles dispositions de protection des données dont les parties peuvent avoir convenu antérieurement en relation avec les Services (tels que définis dans le Contrat). Les éventuels termes capitalisés et non définis dans le présent DPA auront la signification indiquée dans le Contrat.

1. Définitions

1.1 « Affilié » désigne une entité qui contrôle directement ou indirectement, qui est contrôlée par ou qui est sous contrôle commun avec une entité. Aux fins de la présente définition, « Contrôle » signifie la propriété, le droit de vote ou tout intérêt similaire représentant cinquante pour cent (50 %) ou plus des intérêts totaux alors en cours de l’entité en question.

1.2 « CCPA » désigne le Code civil de Californie, section 1798.100 et suivantes (également appelé California Consumer Privacy Act de 2018) et ses éventuels amendements ultérieurs, y compris, sans toutefois s’y limiter, la loi California Privacy Rights Act de 2020 (« CPRA »).

1.3 « Clauses contractuelles standard » signifie, selon le cas :

(a) concernant les données relatives aux Sujets des données basés dans l’Union Européenne, les Clauses contractuelles standard de la Commission Européenne concernant le transfert de données personnelles depuis l’Union Européenne vers des processeurs établis dans des pays tiers, tels que définis dans l’Annexe de la Décision de mise en œuvre de la Commission 2021/91 qui, (i) dans les cas où le Client agit comme Contrôleur des données et où insightsoftware agit comme Processeur, Module Deux : Clauses contractuelles standard du Contrôleur au Processeur disponibles à l’adresse xxxxx://xxxxxxxxxxxxxxx.xxx/xxxxx/xxxxxxxxx/xxxx/xx-xxxxxx-0/ et (ii) dans les cas où le Client agit comme Processeur de données et où insightsoftware agit également comme Processeur de données, Module Trois : Clauses contractuelles standard (UE) de Processeur à Processeur disponibles à l’adresse xxxxx://xxxxxxxxxxxxxxx.xxx/xxxxx/xxxxxxxxx/xxxx/xx-xxxxxx-0/ ; ou toutes clauses ultérieures qui pourraient être approuvées occasionnellement par la Commission de l’UE ; ou

(b) en ce qui concerne les Sujets de données établis au Royaume-Uni, l’Addendum relatif au transfert international des données pour les Clauses contractuelles standard de la Commission de l’UE (version B1.0 ou toute version ultérieure) publiées par le Bureau du Commissaire aux informations du Royaume-Uni (UK Information Commissioner’s Office) disponibles à l’adresse xxxxx://xxxxxxxxxxxxxxx.xxx/xxxxx/xxxxxxxxx/xxxx/xx-xxxxxxxxxxxxx-xxxx- transfer-addendum/ ou toutes clauses ultérieures pouvant être occasionnellement approuvées par le droit britannique.

1.4 « Contrôleur de données » désigne une entité qui détermine les objectifs et les moyens du traitement des Données personnelles.

1.5 « Données clients » signifie toute Donnée personnelle chargée aux fins de stockage ou d’hébergement et traitée par insightsoftware pour le compte du Client dans le cadre de la fourniture des Services.

1.6 « Données personnelles » signifie toute information liée à une personne physique identifiée ou identifiable.

1.7 « EEE » signifie l’Espace Économique Européen.

1.8 « Incident de sécurité » désigne toute infraction à la sécurité non-autorisée ou illégale qui aboutit à la destruction, la perte, l’altération, la divulgation non-autorisée ou l’accès, accidentels ou illégaux, aux Données clients.

1.9 « Informations personnelles en Californie » désigne les Données personnelles sujettes à la protection du CCPA (tel que défini ci-dessous) et de ses éventuels amendements ultérieurs, y compris, sans toutefois s’y limiter, la loi California Privacy Rights Act de 2020.

1.10 « insightsoftware » désigne insightsoftware, LLC ou son Affilié qui est partie au Contrat.

1.11 « Loi de l’UE sur la protection des données » signifie toutes les lois actuelles de protection des données et de la confidentialité qui s’appliquent au traitement des Données personnelles en vertu du Contrat, y compris, sans toutefois s’y limiter, (i) avant le 25 mai 2018, la Directive 95/46/CE du Parlement européen et du Conseil relative à la protection des personnes physiques concernant le traitement des Données personnelles et les déplacements libres desdites données (la « Directive ») ; (ii) à compter du 25 mai 2018, la Réglementation 2016/679 du Parlement européen et du Conseil relative à la protection des personnes physiques concernant le traitement des données personnelles et le déplacement libre desdites données (Règlement général sur la protection des données) (« RGPD de l'UE ») ; (iii) la Directive de l’UE relative à la vie privée concernant le traitement électronique (Directive 2002/58/EC) ; (iv) la loi fédérale suisse sur la protection des données ; et (v) toute loi nationale sur la protection des données conformément aux alinéas (i) et (ii).

1.12 « Lois de protection des données » désigne toutes les lois de protection des données et de confidentialité applicables au traitement des Données personnelles en vertu du Contrat.

1.13 « Lois du Royaume-Uni sur la protection des données » désigne toutes les lois en vigueur concernant la protection des données et la confidentialité relatives au traitement des Données personnelles en vertu du Contrat au Royaume-Uni, y compris, sans toutefois s’y limiter, le RGPD du R-U, la loi UK Data Protection Xxx 0000 et les réglementations établies en vertu desdites lois.

1.14 « Processeur de données » désigne une entité qui traite les Données personnelles pour le compte d'un Contrôleur de données.

1.15 « RGPD du R-U » a la signification qui lui est attribuée à la Section 310 (telle que complétée par la section 205(4) de la loi UK Data Protection Act 2018.

1.16 « Services » a la signification exposée dans le Contrat.

1.17 « Sous-processeur » a la signification exposée dans le RGPD et inclut tout processeur de données engagé par insightsoftware ou ses Affiliés afin de l’aider à remplir ses obligations en vue de fournir les Services conformément au Contrat ou au présent DPA. Les Sous-processeurs peuvent inclure des tiers ou des Affiliés d’insightsoftware.

1.18 « Traitement » a la signification exposée dans le RGPD et inclut également toute opération ou ensemble d'opérations réalisé sur les Données personnelles, ce qui englobe la collecte, l’enregistrement, l'organisation, la structuration, le stockage, l’adaptation ou l’altération, la récupération, la consultation, l’utilisation, la divulgation par transmission, diffusion ou toute autre mise à disposition, alignement ou combinaison, restriction ou effacement des Données personnelles. Les termes « Traiter », « Traitements » et « Traité » seront interprétés en conséquence.

1.19 « Vendre » ou « Vente » désigne la vente, la location, la libération, la divulgation, la diffusion, la mise à disposition, le transfert ou tout autre type de communication verbale, écrite, électronique ou utilisant tout autre moyen, des Données clients à un tiers en échange d’une contrepartie monétaire ou de valeur.

2. Rôles et portée du traitement

2.1 Rôle des Parties. Entre insightsoftware et le Client, le Client est le Contrôleur des Données clients et insightsoftware traitera les Données clients uniquement comme un Processeur de données, excepté lorsque le Client est le Processeur des données et insightsoftware est un sous-processeur, agissant pour le compte du Client.

2.2 Traitement par le Client des Données clients. Le Client accepte (i) de remplir ses obligations en vertu des Xxxx sur la protection des données concernant son traitement des Données clients et toutes instructions de traitement qu'il adressera à insightsoftware ; et (ii) avoir fourni un avis et obtenu (ou s’attendre à obtenir) tous les consentements et avoir établi la base juridique obligatoire pour permettre à insightsoftware de traiter les Données clients en vertu du Contrat et du présent DPA.

2.3 Traitement par insightsoftware des Données clients. insightsoftware traitera les Données clients uniquement (i) aux fins de fournir les Services et conformément aux instructions légales documentées du Client telles qu’exposées dans le Contrat et dans le présent DPA ; (ii) dans le cadre de la relation professionnelle directe entre le Client et insightsoftware ; (iii) pour le compte du Client, dans la mesure nécessaire pour détecter tout incident de sécurité ou protéger le Client contre tout incident frauduleux ou illégal ; ou (iv) comme exigé par la loi, sous réserve qu’insightsoftware informe le Client desdites obligations légales avant de commencer ledit traitement, sauf si cela est interdit par la loi. Les parties conviennent que les instructions complètes et définitives du Client concernant la nature et les objectifs du traitement sont définies dans le présent DPA, lesquels peuvent être amendés occasionnellement par un addendum au présent DPA signé entre les parties.

3. Sous-traitement

3.1 Sous-processeurs autorisés. Le Client approuve l’octroi d’accès à des tiers pour tous les sous-processeurs actuels d’insightsoftware à la dernière date d’exécution du présent DPA. insightsoftware ne peut, concernant les Données personnelles qui lui sont fournies dans le cadre du présent Contrat, autoriser un nouveau sous-processeur à traiter lesdites Données personnelles que si le Client a eu la possibilité de s’opposer à la désignation dudit Sous-processeur concernant le traitement desdites Données personnelles dans un délai de 7 jours ouvrés après la fourniture par insightsoftware au Client des détails complets par écrit concernant ledit Sous-processeur.

3.2 Obligations du Sous-processeur. Lorsqu’insightsoftware autorise tout Sous-processeur :

(a) insightsoftware limitera l’accès du Sous-processeur aux Données clients uniquement à celles qui sont nécessaires pour permettre à insightsoftware de fournir ou de continuer à fournir les Services, et interdira au Sous-processeur d’accéder aux Données clients à toute autre fin ;

(b) insightsoftware conclura ou a déjà conclu un contrat écrit avec le Sous-processeur, imposant des conditions de protection des données qui exigent que le Sous-processeur protège les Données clients selon le niveau requis par les lois en vigueur sur la protection des données ; et

(c) insightsoftware restera responsable de sa conformité aux obligations du présent DPA et de tous les actes ou omissions du Sous-processeur qui entraîneraient un non-respect par insightsoftware de ses obligations en vertu du présent DPA.

4. Mesures techniques et organisationnelles et réponse aux incidents de sécurité

Mesures techniques et organisationnelles. insightsoftware a mis en œuvre et entretiendra des mesures de sécurité techniques et d’entreprise appropriées afin de protéger les Données clients contre les Incidents de sécurité et de préserver la sécurité et la confidentialité des Données du client (les « Mesures techniques et organisationnelles »). Les Mesures techniques et opérationnelles sont décrites dans l’Addendum relatif à la sécurité disponible à l’adresse xxxxx://xxxxxxxxxxxxxxx.xxx/xxxxx/xxxxxxxxx/xxxx-xxxxxxxx-xxxxxxxx/.

4.1 Mises à jour des mesures techniques et organisationnelles. Le Client reconnaît que les Mesures techniques et organisationnelles sont soumises à des progrès techniques et des développements et qu’insightsoftware pourra mettre à jour ou modifier les Mesures techniques et organisationnelles occasionnellement, sous réserve que lesdites mises à jour et modifications n’entraînent pas une dégradation du niveau général de sécurité des Services achetés par le Client.

4.2 Personnel. insightsoftware limite le traitement des Données clients par son personnel sans autorisation d’insightsoftware comme défini dans les Mesures techniques et organisationnelles et veillera à ce que chaque personne autorisée par insightsoftware à traiter les Données clients soit liée par des obligations appropriées de confidentialité et de non-utilisation.

4.3 Responsabilités du Client. Le Client accepte que, sauf dans les limites prévues par le présent DPA, le Client est responsable de son utilisation sécurisée des Services. Le Client peut choisir de mettre en œuvre des mesures techniques ou d’entreprise en relation avec les Données clients, lesquelles peuvent inclure (i) la protection des identifiants d’authentification du compte ; (ii) la protection de la sécurité des Données clients lors de leur transit et à partir des Services ; (iii) la mise en place de mesures visant à permettre au Client de sauvegarder et d’archiver correctement afin de restaurer la disponibilité et l’accès aux Données clients en temps voulu en cas d'incident physique ou technique ; et (iv) l’utilisation de mesures appropriées pour crypter de façon sécurisée ou pseudonymiser les éventuelles Données clients chargées dans les Services.

4.4 Réponse aux incidents de sécurité. Dès qu’il aura connaissance d'un incident de sécurité, insightsoftware informera le Client sans retard indu et lui fournira des informations au sujet de l’Incident de sécurité à mesure qu’elles seront connues ou raisonnablement demandées par le Client. insightsoftware prendra également des mesures raisonnables pour atténuer et, dans la mesure du possible, remédier aux effets de tout Incident de sécurité.

5. Audits des clients

5.1 Rapports. Sur demande, insightsoftware fournira une copie résumée du (des) rapport(s) d’audit de sécurité (le « Rapport ») au Client conformément au Mesures techniques et organisationnelles, lesquels rapports seront soumis aux dispositions de sécurité du Contrat. insightsoftware répondra également à toutes les questions raisonnables par écrit concernant l’audit qui lui seront adressées par le Client pour réviser la conformité d’insightsoftware aux Lois sur la protection des données, sous réserve que le Client n’exerce pas ce droit plus d'une fois par an.

5.2 Audits des clients. insightsoftware permettra au Client et à ses représentants tiers d’auditer la conformité d’insightsoftware à ses obligations contractuelles, sur préavis d’au moins 60 jours, pendant la durée du Contrat. insightsoftware fournira au Client et à ses représentants tiers toute l’assistance nécessaire pour réaliser lesdits audits. Lesdits audits n'interviendront pas plus d'une fois par an.

6. Transferts internationaux

6.1 Emplacements des centres de données. insightsoftware pourra transférer les Données clients n’importe où dans le monde où insightsoftware, ses Affiliés ou Sous-processeurs, exercent des opérations de traitement des données. insightsoftware fournira à tout moment un niveau de protection approprié aux Données clients traitées, conformément aux exigences des Xxxx sur la protection des données.

6.2 Transferts hors de l’EEE et/ou du Royaume-Uni. insightsoftware ne pourra traiter, ou permettre le traitement de Données personnelles hors de l’EEE et/ou du Royaume-Uni que dans les circonstances suivantes :

(a) insightsoftware traite les Données personnelles, ou permet le traitement des Données personnelles, sur un territoire soumis à des réglementations adéquates en vertu des Lois de l’UE relatives à la protection des données et/ou des Lois du Royaume-Uni relatives à la protection de la vie privée (selon le cas) et s’assure que le territoire fournit une protection adéquate des droits à la confidentialité des personnes ; ou

(b) insightsoftware, ses Affiliés et/ou ses Sous-processeurs (selon le cas) signent des Clauses contractuelles standard adéquates afin que des protections appropriées soient mises en place pour assurer un niveau de protection adéquat concernant les droits de confidentialité des personnes, comme requis par l’Article 46 du RGPD du Royaume-Uni et du RGPD de l’UE.

Si un transfert de Données personnelles entre le client et insightsoftware requiert la signature de Clauses contractuelles standard afin de se conformer aux Lois de l’UE relatives à la protection des données et/ou des Lois du Royaume-Uni relatives à la protection de la vie privée (lorsque le Client est l’entité qui exporte des Données personnelles concernant des personnes basées dans l’UE et/ou au Royaume-Uni à insightsoftware en dehors de l’EEE et/ou du R-U), les Clauses contractuelles standard sont intégrées par référence et font partie du présent DPA. En cas d’ambigüité entre le présent DPA et les Clauses modèles, les Clauses contractuelles standard prévaudront, sauf si le présent DPA offre à un Sujet de données un niveau de protection supérieur, auquel cas et uniquement en ce qui concerne la protection supérieure offerte, le présent DPA prévaudra.

6.3 Solutions alternatives d’exportation des données. Nonobstant ce qui précède, les parties conviennent qu’au cas où insightsoftware adopterait une solution alternative d’exportation des données (telle que reconnue en vertu des Lois européennes sur la protection des données et/ou des Lois du Royaume-Uni sur la protection des données (selon le cas)), alors la solution alternative d’exportation des données s’appliquera à la place des Clauses contractuelles standard. Au cas où il serait déterminé plus tard que la solution alternative d’exportation des données n’offre pas un niveau adéquat de protection des données en vertu des Lois européennes sur la protection des données, les Clauses contractuelles standard s’appliqueront en tant que solution d’exportation des données ; de même, s'il est déterminé ultérieurement qu’une telle solution alternative d’exportation des données ne constitue pas un niveau de protection des données suffisant en vertu des Lois du Royaume-Uni sur la protection des données, les Clauses contractuelles standard (ou tout texte équivalent reconnu par les Lois sur la protection des données) s’appliqueront.

7. Restitution ou suppression des données

7.1 Général. Lors de la résiliation ou de l’expiration du Contrat, insightsoftware (au choix du Client) supprimera ou restituera au Client toutes les Données clients qui sont en sa possession ou sous son contrôle, conformément aux dispositions du Contrat.

7.2 Dérogation. Cette exigence ne s’appliquera pas dans la mesure où insightsoftware serait tenu par la législation en vigueur de conserver tout ou partie des Données clients, ni aux Données clients archivées sur des systèmes de sauvegarde, lesquelles Données clients seront isolées et protégées en toute sécurité par insightsoftware contre tout traitement ultérieur, excepté dans la mesure requise par la loi.

8. Coopération

8.1 Accès aux Données clients. Dans la mesure où le Client n’est pas à même d’accéder indépendamment aux Données clients pertinentes dans les Services et sous réserve que le Client ait configuré les Services conformément aux recommandations d’insightsoftware, insightsoftware (aux frais du client) coopérera raisonnablement pour aider le Client à répondre à toute demande émanant de personnes physiques ou des autorités adéquates en matière de protection des données en relation avec le traitement des

Données personnelles en vertu du Contrat lorsque le Client est tenu de répondre à de telles demandes selon les Lois applicables sur la protection des données. Au cas où une telle demande serait adressée directement à insightsoftware, xxxxxxxxxxxxxxx ne répondra pas directement à cette communication sans l’autorisation préalable du Client, sauf s’il est légalement tenu de le faire. Si insightsoftware est tenu de répondre à une telle demande, insightsoftware informera rapidement le Client et lui fournira une copie de la demande, sauf si la loi l'interdit.

8.2 Demande d’application de la loi. Si un organisme des forces de l’ordre envoie à insightsoftware une demande de Données clients (par exemple, par le biais d'une assignation ou d'une ordonnance du tribunal), insightsoftware tentera d’inciter l’organisme des forces de l’ordre à demander ces données directement au Client. Dans le cadre de cet effort, insightsoftware pourra fournir les coordonnées de base du client à l’organisme des forces de l’ordre. En cas d'obligation de divulguer des Données clients à un organisme des forces de l’ordre, insightsoftware fournira au Client un préavis raisonnable de la demande afin de permettre au Client de rechercher une ordonnance de protection ou un autre recours approprié, sauf s'il est légalement interdit à insightsoftware de le faire.

8.3 Conformité juridique. Dans la mesure où insightsoftware est contraint par la Loi sur la protection des données, insightsoftware (aux frais du Client) fournira les informations raisonnablement demandées concernant les Services pour aider le Client à effectuer des évaluations d'impact de la protection des données et à organiser des consultations privées au préalable avec les autorités de protection des données, comme l’exige la loi.

9. Dispositions supplémentaires relatives à la loi de Californie sur les Données personnelles

9.1 Rôle des Parties. Lors du traitement des Données personnelles relevant du droit de Californie, conformément aux instructions du Client, les parties reconnaissent et acceptent que le Client est une « Entreprise » et insightsoftware un « Prestataire de services » aux fins du CCPA et selon la définition de ces termes dans le CCPA.

9.2 Responsabilités. Les parties conviennent qu’insightsoftware traitera les Données personnelles de Californie en tant que‌

« Prestataire de services » (comme défini dans le CCPA) strictement aux fins de réaliser les Services en vertu du Contrat ou comme prévu autrement par le CCPA. insightsoftware fournira une assistance commercialement raisonnable pour coopérer avec les efforts du Client de se conformer aux droits applicables des consommateurs. Insightsoftware, conformément au Contrat, ne vendra pas de Données personnelles et s’abstiendra de conserver, d’utiliser ou de divulguer des Données personnelles à toute autre fin que celles spécifiées dans le présent Contrat. insightsoftware certifie comprendre les restrictions de la présente section 9.2 et se conformera à ces restrictions.

10. Général

10.1 Limites de responsabilité. Afin d’éliminer tout doute, toute réclamation ou tout recours que pourrait avoir le Client à l’encontre d’insightsoftware, d'un ou plusieurs de ses Affiliés et de leurs employés, agents et Sous-processeurs respectifs résultant de ou lié au présent GPA, y compris : (i) pour violation du présent DPA ; (ii) en conséquence d’amendes (administratives, réglementaires ou autres) infligées au Client ; et (iii) en vertu des lois en vigueur sur la protection des données, y compris toute plainte liée à des dommages-intérêts versés au sujet des données, seront soumises à toute disposition de limite de responsabilité (y compris tout plafond financier global convenu) qui s’applique selon le Contrat. Le Client accepte en outre que toute pénalité réglementaire encourue par insightsoftware en relation avec les Données clients qui résulterait de, ou serait liée au non-respect par le Client de ses obligations en vertu du présent DPA ou des éventuelles lois en vigueur sur la protection des données contribuera à réduire la responsabilité d’insightsoftware en vertu du Contrat comme s’il s’agissait d’une responsabilité du Client en vertu du Contrat. Nonobstant ce qui précède, en aucun cas l’une ou l’autre des parties ne limitera sa responsabilité concernant les droits à la protection des données de toute personne en vertu du présent DPA ou autrement.

10.2 Entité responsable. Toute plainte déposée contre insightsoftware ou ses Affiliés en vertu du présent DPA sera portée uniquement contre l’entité qui est partie au Contrat. Personne d’autre qu’une partie au présent DPA, ses successeurs et mandataires autorisés, n’aura le moindre droit de faire appliquer une ou plusieurs de ses dispositions.

10.3 Conformité. Dans la mesure raisonnablement nécessaire pour se conformer aux modifications des Lois en vigueur sur la protection des données ou en réponse aux conseils ou aux mandats émis par tout tribunal, organisme réglementaire ou autorité de supervision ayant juridiction sur insightsoftware, insightsoftware pourra modifier, amender ou compléter les dispositions du présent DPA. insightsoftware fournira un préavis écrit concernant de tels changements au Client en publiant un avis sur le site Web d’insightsoftware.

10.4 Droit applicable. Le présent DPA sera régi par et interprété selon le droit en vigueur et les dispositions de juridiction prévues dans le Contrat, sauf obligation contraire imposée par les Lois sur la protection des données.

10.5 Divulgation autorisée. Le Client reconnait qu’insightsoftware peut divulguer les dispositions de confidentialité du présent DPA au Ministère américain du commerce, à la Commission fédérale du commerce, à une autorité de supervision européenne ou à tout autre organisme américain ou de l’EEE (y compris le Royaume-Uni) judiciaire ou réglementaire à leur demande légale.

10.6 Primauté. En cas de conflit entre le présent DPA et le Contrat, le présent DPA prévaudra en ce qui concerne ledit conflit. En cas de conflit entre le présent DPA et les Clauses contractuelles standard, dans la mesure où le présent DPA offre davantage de droits et de protections au sujet que ceux que permettent les Clauses contractuelles standard, le présent DPA prévaudra ; dans toutes les autres situations (c’est-à-dire lorsque le sujet des données bénéficie de droits et de protections égaux ou inférieurs en vertu de ce DPA), les Clauses contractuelles standard prévaudront.

10.7 Divisibilité. Les dispositions du présent DPA sont divisibles. Si toute expression, clause ou disposition n’est pas valide ou inapplicable en tout ou en partie, ladite non-validité ou inapplicabilité n’affectera que ladite expression, clause ou disposition et le reste du présent DPA restera pleinement en vigueur.