Skip to Main

Avenant relatif au traitement des données LexisNexis (LexisNexis Data Processing Addendum)

1. CHAMP D'APPLICATION ET DÉFINITIONS

1.1. Cet Avenant relatif au traitement des données personnelles (ci-après désigné l’« Avenant ») fait partie du contrat (ci-après désigné le «Contrat ») conclu entre le client (« « Client », vous », « votre ») et l'entité LexisNexis (« LexisNexis », « LN », « nous », « notre ») dans le cadre de la fourniture de solutions et de services associés (ci-après désignés les « Services ») au Client ou le cas échéant à ses filiales et dans lequel cet « Avenant » est référencé.

1.2. « Les lois relatives à la protection des données » désignent toutes les lois, règles, réglementations, décrets, ordonnances et autres exigences gouvernementales applicables en matière de confidentialité et de protection des données. Les termes « Responsable de traitement », « personne concernée », « données personnelles », « violation de données personnelles », « traitement » et « sous-traitant » auront la signification qui leur est attribuée dans les lois relatives à la protection des données, et lorsque ces lois utilisent des termes équivalent ou correspondant à « informations personnelles » au lieu de « données personnelles », ils seront lus comme tels dans le présent document.

2. TRAITEMENT

2.1. Nous mettons en œuvre les mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences des lois applicables relatives à la protection des données et qu’il garantisse que la protection des droits de la personne concernée, ainsi que le niveau de protection soient au moins d’un même niveau de protection requis en vertu des lois relatives à la protection des données.

2.2. L’objet de notre traitement est le traitement de données à caractère personnel fournies dans le cadre des Services. La durée du traitement est la durée de la fourniture des Services jusqu'à la suppression des données à caractère personnel conformément au Contrat. La nature et la finalité du traitement sont liés à la fourniture des Services. Les types de données à caractère personnel traitées sont liées à la fourniture des Services. Les catégories de personnes concernées sont celles soumises aux Services.

2.3. Dans la mesure où nous traitons des données à caractère personnel en votre nom, nous nous engageons à :

  1. instructions du Client, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale, à moins qu'il ne soit tenu d'y procéder en vertu des lois applicables; dans ce cas, nous vous informerons de cette obligation avant le traitement, sauf si la loi interdit une telle information pour des motifs importants d'intérêt public ;
  2. nous assurer que les personnes autorisées à traiter les données personnelles se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité appropriée ;
  3. prendre toutes les mesures de sécurité requises en vertu des lois relatives à la protection des données ;
  4. respecter les conditions visées aux paragraphes 3.1 et 3.2 pour engager un autre sous-traitant ;
  5. compte tenu de la nature du traitement, vous assister en prenant les mesures techniques et organisationnelles appropriées, décrites ci-dessous, dans la mesure du possible, pour remplir votre obligation de réponse à des demandes d'exercice des droits de la personne concernée énumérés par les lois relatives à la protection des données ;
  6. vous aider à assurer le respect des obligations découlant des lois relatives à la protection des données, en tenant compte de la nature du traitement et des informations dont nous disposons ;
  7. à votre demande, supprimer ou vous restituer toutes les données personnelles après la fin de la fourniture de Services relatifs au traitement et supprimer les copies existantes à moins que le droit applicable n'exige le stockage des données personnelles ;
  8. mettre à votre disposition toutes les informations nécessaires pour démontrer le respect des obligations énumérées par les lois relatives à la protection des données et permettre et contribuer aux audits, y compris les inspections, menés par vous ou un autre auditeur que vous mandatez.

Nous vous informerons dans les plus brefs délais si, à notre avis, une instruction de votre part à notre égard enfreint les lois relatives à la protection des données. Dans cette hypothèse, l’instruction concernée sera suspendue le temps pour les Parties de trouver un accord par écrit.

2.4. Le Contrat, y compris cet Avenant, ainsi que votre utilisation et votre configuration des Services, constituent vos instructions documentées complètes et finales pour le traitement des données personnelles. Des instructions supplémentaires ou alternatives devront être convenues séparément par les Parties.

3. SOUS-TRAITANTS

3.1. Dans la mesure où nous traitons des données à caractère personnel en votre nom, vous nous donnez, par cet Avenant, votre consentement général pour le recrutement d'autres sous-traitants à des fins de traitement de ces données à caractère personnel contenus dans notre liste de ces sous-traitants sur https://www.lexisnexis.com/global/privacy/subprocessors.page, que nous pouvons mettre à jour à tout moment. Nous vous informerons de tout changement en mettant à jour la liste sur notre site Web, au moins 14 jours en avance. Vous pouvez vous opposer par écrit au changement en nous avisant dans les 14 jours suivant la mise à jour de la liste en décrivant vos raisons de vous y opposer. Sans préjudice de tout droit de remboursement ou de résiliation applicable que vous avez en vertu du Contrat, nous déploierons tous les efforts raisonnables pour éviter de traiter les données personnelles par ce nouveau sous-traitant auquel vous vous opposez raisonnablement. En cas d’impossibilité pour LexisNexis de traiter les données personnelles sans ce nouveau sous-traitant, le Contrat sera résilié pour convenance entre les Parties dans un délai de 15 jours calendaires à compter de la réception de la notification d’opposition du Client.

3.2. Lorsque nous engageons un autre sous-traitant pour effectuer des activités de traitement spécifiques en votre nom, les mêmes obligations de protection des données que celles énoncées dans le présent Avenant, , seront imposées à cet autre sous-traitant par le biais d'un contrat ou d'un autre acte juridique en vertu des lois applicables, en particulier en fournissant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences des lois relatives à la protection des données. Si cet autre sous-traitant ne remplit pas ces obligations de protection des données, nous restons (sous réserve des conditions du Contrat) entièrement responsables envers vous de l'exécution des obligations de cet autre sous-traitant.

4. DROITS DES PERSONNES CONCERNÉES

4.1. Dans la mesure où nous traitons des données à caractère personnel en votre nom et dans les limites autorisées par la loi, nous vous informerons rapidement de toute demande d’exercice de droits que nous recevons des personnes concernées.

4.2. Chaque Partie coopérera raisonnablement avec l’autre pour l’aider à remplir ses obligations en vertu des lois applicables relatives à la protection des données en relation avec les demandes d’exercice de droits des personnes concernées. Le Client supportera tous frais raisonnables découlant de l'assistance que LexisNexis fournira au regard du respect de telles obligations.

5. TRANSFERT

Nous veillons à ce que, Dans la mesure où des données personnelles provenant de votre pays sont transférées vers un autre pays, ce transfert soit soumis à des mécanismes et protections appropriés conformément aux lois sur la protection des données.

6. SÉCURITÉ DU TRAITEMENT

6.1. LexisNexis s’engage à établir, maintenir et fournir à première demande la description des mesures mis en œuvre pour protéger les données personnelles (étant rappelé que le Client est seul responsable de la sécurité, des modalités d’accès et de la protection des données personnelles sur son propre système d’information).

Compte tenu de l'état de la connaissance, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques pour les droits et libertés des personnes physiques dont le degré de probabilité et de gravité varie, les Parties mettront en œuvre des mesures techniques et des mesures organisationnelles pour assurer un niveau de sécurité adapté au risque, incluant notamment, selon les besoins :

  1. la pseudonymisation et le chiffrement des données à caractère personnel ;
  2. des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement ;
  3. des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à ces dernières en temps utile en cas d'incident physique ou technique ; et
  4. une procédure permettant de tester, d'analyser et d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles, afin d'assurer la sécurité du traitement.

6.2. Lors de l'évaluation du niveau de sécurité approprié, il conviendra de tenir compte en particulier des risques que présente le traitement, liés notamment à la destruction, à la perte, à l'altération, à la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou à l'accès à de telles données et ce, de manière accidentelle ou illicite.

6.3. Les Parties prendront des mesures raisonnables pour garantir que toute personne physique agissant sous l'autorité de l'une ou l'autre Partie et ayant accès aux données à caractère personnel les traite uniquement sur instruction de votre part, sauf si elle est tenue de les traiter autrement par le droit applicable.

7. VIOLATION DE DONNÉES PERSONNELLES

Dans la mesure où nous traitons des données à caractère personnel en votre nom, nous vous informerons, dans les meilleurs délais, après avoir pris connaissance d'une violation de données personnelles et répondrons raisonnablement à vos demandes d'informations complémentaires pour vous aider à remplir vos obligations en vertu des lois relatives à la protection des données.

8. REGISTRES DES ACTIVITÉS DE TRAITEMENT

Nous tenons et maintenons à jour tous les registres requis par les lois applicables relatives à la protection des données et, Dans la mesure où ils sont liés au traitement des données personnelles fait en votre nom, les mettrons à votre disposition sur demande.

9. AUDIT

Les audits du Client concernant les présentes seront effectués, le cas échéant :

  1. sous réserve de l'exécution d'un accord de confidentialité ou de non-divulgation entre l’audité et l’auditeur;
  2. pas plus d’une fois par an, à moins que ne soit démontré le non-respect du présent Avenant, moyennant un préavis écrit de trente (30) jours et après avoir fourni un plan d’audit ; et
  3. à un moment, un lieu et une manière convenus d'un commun accord écrit.

10. CONFLIT

En cas de conflit entre les termes de cet Avenant et le Contrat, les termes de cet Avenant prévalent dans la mesure requise par la loi.

11. CONDITIONS SPÉCIFIQUES AUX JURIDICTIONS

Dans la mesure où nous traitons des données personnelles provenant de, ou autrement, soumises aux lois sur la protection des données de l'une des juridictions énumérées dans l'annexe au présent Avenant, les conditions qui y sont spécifiées en ce qui concerne la ou les juridictions applicables s'appliquent en plus des conditions précédentes.

ANNEXE

Conditions spécifiques à certaines juridictions

1. Espace économique européen, Royaume-Uni et Suisse

1.1. Dans la mesure où vous transférez des données à caractère personnel pour les Services depuis l’Espace économique européen (« EEE »), le Royaume-Uni (« R.-U. ») ou la Suisse à LN, établi en dehors de l’EEE, du Royaume-Uni ou de la Suisse, à moins que les Parties ne puissent se fonder sur un autre mécanisme ou base de transfert en vertu des lois relatives à la protection des données, les Parties seront réputées avoir conclu les clauses contractuelles types (« CCT ») approuvées par la décision d’exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 disponible à l’adresse https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj en ce qui concerne ce transfert, dans lequel :

  1. les notes de bas de page et la Clause 11(a) Option sont omises et les informations contenues dans les annexes applicables correspondent respectivement à celles figurant dans l’Avenant et le Contrat ;
  2. dans la mesure où chaque Partie agit en tant que responsable de traitement , le module un s’applique et les modules deux, trois et quatre et Clause 17 Option 2 sont omis ;
  3. dans la mesure où vous agissez en tant que responsable de traitement et que LN agit en tant que sous-traitant, le module deux s’applique, les modules un, trois et quatre Clause 17 Option 1 sont omis, la Clause 9(a) Option 1 est omise et le délai dans la Clause 9(a) Option 2 est de 14 jours ;
  4. dans la mesure où chaque Partie agit en tant que sous-traitant, le module trois s’applique, les modules un, deux et quatre Clause 17 Option 1 sont omis, la Clause 9(a) Option 1 est omise et le délai dans la Clause 9(a) Option 2 est de 14 jours ;
  5. l’« autorité de contrôle compétente » désigne celle du pays dans lequel l’exportateur de données est établi ;
  6. les CCT sont régies par la loi du pays où l’exportateur de données est établi ;
  7. tout litige découlant des CCT sera résolu par les tribunaux du pays où l’exportateur de données est établi ; et
  8. en cas de conflit entre les termes du Contrat et les CCT, ces dernières prévaudront.

1.2. En ce qui concerne les transferts de données à caractère personnel depuis le Royaume-Uni, les CCT telles que mises en œuvre en vertu de la section 1.1 ci-dessus s’appliqueront sous réserve des modifications suivantes :

  1. les CCT sont modifiées comme spécifié dans la partie 2 de l’avenant sur le transfert international de données aux clauses contractuelles types de la Commission européenne émises en vertu de la Section 119A de la loi britannique sur la protection des données de 2018, telle qu’elle peut être modifiée ou remplacée à tout moment (l’« Avenant britannique ») ;
  2. les informations figurant dans les tableaux 1 à 3 de la partie 1 de l’Avenant britannique correspondent respectivement à celles figurant dans l’Avenant et le Contrat (selon le cas) ; et
  3. le tableau 4 de la partie 1 de l’Avenant britannique est rempli en sélectionnant « neither party».

1.3. En ce qui concerne les transferts de données à caractère personnel depuis la Suisse, les CCT telles que mises en œuvre en vertu de la section 1.1 ci-dessus s’appliqueront sous réserve des modifications suivantes :

  1. les références au « Règlement (UE) 2016/679 » seront interprétées comme des références à la loi fédérale suisse sur la protection des données (« LPDFA ») ;
  2. les références à des articles spécifiques du « Règlement (UE) 2016/679 » seront remplacées par l’article ou la section équivalent(e) de la LPDFA;
  3. les références à l’« UE », l’« Union », « un État membre » et au « droit d’un État membre » seront remplacées par des références à la « Suisse » ou au « droit suisse », selon le cas ;
  4. le terme « État membre » ne sera pas interprété de manière à empêcher les personnes concernées en Suisse de la possibilité d’accéder à leurs droits ;
  5. la Clause 13(a) et la partie C de l’Annexe I ne sont pas utilisées et l’« autorité de contrôle compétente » est le Préposé fédéral à la protection des données et à la transparence ;
  6. les CCT sont régies par le droit suisse ; et
  7. tout litige découlant des CCT sera résolu par les tribunaux suisses.

2. Brésil

2.1. Chaque Partie s’engage à :

  1. s’acquitter de ses obligations en vertu de la loi générale brésilienne sur la protection des données, nº 13.709 de 2018 (Lei Geral de Proteção de Dados Pessoais) (« LGPD ») ;
  2. tenir un registre des opérations de traitement des données à caractère personnel qu’elle effectue ;
  3. nommer un délégué à la protection des données ; et
  4. adopter des mesures de sécurité, techniques et administratives permettant de protéger les données à caractère personnel contre tout accès non autorisé et contre toute destruction, perte, altération, communication accidentelle ou illicite ou toute forme de traitement inapproprié ou illégal, y compris des normes techniques minimales applicables telles que définies par l’autorité nationale.

2.2. Dans la mesure où vous transférez des informations personnelles depuis le Brésil à LN, établi en dehors du Brésil, LN se conformera aux principes, aux droits de la personne concernée et au régime de protection des données prévu par la LGPD, à moins que les Parties ne puissent se fonder sur un autre mécanisme ou base de transfert en vertu des lois relatives à la protection des données.

3. Afrique du Sud

3.1. Dans la mesure où LN traite en tant qu’opérateur des informations personnelles dans le cadre de la loi sud-africaine sur la protection des informations personnelles n° 4 de 2013 (POPIA) pour vous en tant que Partie responsable, LN renforcera et maintiendra les mesures de sécurité mentionnées dans la section 19 de la POPIA et vous informera immédiatement lorsqu’il existe des motifs raisonnables de croire que les informations personnelles d’une personne concernée ont été consultées ou acquises par une personne non autorisée.

4. États-Unis

Avenant relatif aux lois sur la confidentialité des États américains à l’Avenant relatif au traitement des données LexisNexis.

Dernière mise à jour : 28 février 2023