Date d’entrée en vigueur
25 mars 2019

Pour consulter la version antérieure, veuillez cliquer ici.

Veuillez lire attentivement le présent Addendum relatif au Traitement des Données (« ATD »), car il constitue un contrat entre vous (« Client ») et nous (« Freshworks »). Comme il est stipulé dans les sections 8.4 (a) et 9.4 des Conditions d’Utilisation de Freshworks disponibles au lien suivant : https://www.freshworks.com/terms (« Les Conditions d’Utilisation »), le présent ATD s’applique lorsque Nous et les Sociétés de notre Groupe agissons en qualité de responsables du traitement des données à caractère personnel de l’UE. Les termes en majuscules utilisés dans le présent ATD, mais non définis aux présentes, possèdent la même signification que celle stipulée dans les Conditions d’Utilisation. En cas de conflit entre le présent ATD et les Conditions d’Utilisation, le présent ATD doit prévaloir.

Cette version française de l’ATD est fournie à titre d'information uniquement. En cas de conflit entre cette version linguistique et la version anglaise de l’ATD, la version anglaise doit prévaloir.

1. Protection des données

1.1 Définitions : Dans le présent ATD, les termes suivants ont la signification suivante :

a) « contrôleur », « responsable du traitement », « sujet des données », « données à caractère personnel », « traitement » et catégories particulières de données à caractère personnel » » ont le sens qui leur est donné dans la loi applicable en matière de protection des données ; et

b) « loi applicable en matière de protection des données » désigne : (i) avant le 25 mai 2018, la directive européenne sur la protection des données (directive 95/46/CE) ; (ii) à compter du 25 mai 2018, le règlement général de l’UE sur la protection des données (règlement 2016/679) et (iii) toute autre loi et règlementation applicables en matière de protection des données.

1.2 Relations entre les parties : Le Client (le contrôleur) désigne Freshworks en qualité de responsable du traitement pour traiter les données à caractère personnel faisant partie des Données de Service (les « Données ») aux fins décrites dans les Conditions d’Utilisation (ou comme il est convenu par écrit par les parties) (les « Fins Autorisées »). Chaque partie s’engage à respecter les obligations qui lui incombent en vertu de la loi applicable en matière de protection des données.

1.3 Données interdites : Le Client ne doit pas divulguer (et ne doit pas permettre à un sujet des données de divulguer) des catégories particulières de données à caractère personnel à Freshworks en vue d’un traitement.

1.4 Transferts internationaux : Freshworks ne doit pas transférer les Données en dehors de l’Espace économique européen (« EEE ») à moins d’avoir pris toutes les mesures nécessaires pour s’assurer qu’un tel transfert se conforme à la loi applicable en matière de protection des données.

1.5 Confidentialité du traitement : Freshworks doit s’assurer que toute personne qu’il autorise à traiter les Données (une « Personne Autorisée ») protège les Données conformément aux obligations de confidentialité de Freshworks en vertu des Conditions d’Utilisation.

1.6 Sécurité : Le responsable du traitement doit mettre en œuvre des mesures techniques et organisationnelles en vue de protéger les Données (i) contre la destruction accidentelle ou illégale et (ii) contre la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé aux Données (une « Violation de la sécurité »).

1.7 Sous-traitance : Le Client consent à ce que Freshworks engage des sous-traitants tiers pour traiter les données aux Fins autorisées, à condition que : (i) Freshworks tienne à jour une liste de ses sous-traitants à l’adresse https://freshworks.com/sub-processor/qu’il tient à jour avec les détails de toute modification apportée aux sous-traitants avant cette modification ; (ii) Freshworks impose des conditions de protection des données à tout sous-traitant qu’il désigne qui oblige ce sous-traitant à protéger les données conformément aux normes requises par la loi applicable en matière de protection des données ; et (iii) Freshworks demeure responsable de toute violation de la présente clause causée par un acte, une erreur ou une omission de son sous-traitant. Le client peut s’opposer à la nomination ou au remplacement d’un sous-traitant par Freshworks avant sa nomination ou son remplacement, à condition que cette objection soit fondée sur des motifs raisonnables liés à la protection des données. Dans ce cas, Freshworks ne nommera pas ou ne remplacera pas le sous-traitant ou, si cela n’est pas possible, le Client pourra suspendre ou résilier son accord aux Conditions d’Utilisation (sans préjudice des frais encourus par le Client avant la suspension ou la résiliation).

1.8 Coopération et droits des sujets des données : Freshworks doit fournir une assistance raisonnable et opportune au Client (aux frais du Client) pour permettre au Client de répondre à : (i) toute demande d’un sujet des données d’exercer l’un de ses droits en vertu de la loi applicable en matière de protection des données (y compris, le cas échéant, ses droits d’accès, de rectification, d’opposition, d’effacement et de portabilité des données) ; et (ii) toute autre correspondance, demande de renseignements ou plainte reçue d’un sujet des données, d’un régulateur ou d’un tiers se rapportant au traitement des Données. Dans l’éventualité où une telle demande, correspondance, demande de renseignements ou plainte est effectuée directement à Freshworks, Freshworks doit en informer promptement le Client en fournissant tous les détails.

1.9 Analyse d’impact relative de la protection des données : Si Freshworks pense ou est averti que son traitement des Données est susceptible d’entrainer un risque élevé pour les droits et libertés des sujets des données en matière de protection des données, il doit en informer le Client et lui apporter une coopération raisonnable (aux frais du Client) dans le cadre de toute analyse d’impact relative à la protection des données qui pourrait être exigée en vertu de la Loi sur la protection des données applicable.

1.10 Violations de la sécurité : S’il prend connaissance d’une violation de la sécurité confirmée, Freshworks doit informer le Client sans délai indu et fournir des informations et une coopération raisonnables au Client afin que ce dernier puisse remplir ses obligations en matière de signalement de la violation de la sécurité de données (et conformément aux délais requis par la loi applicable en matière de protection des données). Freshworks doit prendre les mesures et les actions raisonnablement nécessaires pour remédier ou atténuer les effets de la violation de la sécurité et doit tenir le client informé de toutes les conséquences importantes liées à la violation de la sécurité.

1.11 Suppression des Données : Le Client peut exporter toutes les données à caractère personnel avant la résiliation du Compte Client. En tout état de cause, après la résiliation du Compte Client par l’une ou l’autre partie, sous réserve des points (ii) et (iii) ci-dessous, les données du Compte Client seront conservées pendant une période de 14 jours à compter de cette résiliation, période au cours de laquelle le Client pourra contacter le Fournisseur pour exporter les Données de Service ; (ii) la fonctionnalité e-mail, si elle est disponible dans le(s) Service(s), archive automatiquement tous les e-mails faisant partie des Données de Service pendant une période de 3 mois ; et (iii) les journaux sont archivés pour une période de 1 an (chacune une « Période de Conservation des Données »). Au-delà de chaque Période de Conservation des Données, le Responsable du traitement se réserve le droit de supprimer toutes les Données à caractère personnel dans le cours normal des opérations. Cette exigence ne s’applique pas dans la mesure où Freshworks est tenue par la loi en vigueur de conserver une partie ou la totalité des Données, ou aux Données qu’il a archivées sur des systèmes de sauvegarde, lesquelles Freshworks doit protéger de manière sécurisée contre tout traitement ultérieur, sauf dans la mesure requise par cette loi.

1.12 Audit : Le Client accepte que Freshworks est régulièrement audité selon les normes ISO 27001 et SSAE 18 SOC 2 par des auditeurs indépendants. Sur demande, Freshworks doit fournir une copie sommaire de son (ses) rapport(s) d’audit au Client, lesquels rapports seront soumis aux obligations de confidentialité stipulées dans les Conditions d’Utilisation.

 

Annexe 1
Détails du traitement
Sujets des données

Les sujets de données sont les personnes auxquelles les données à caractère personnel se rapportent et qui sont des Utilisateurs ou des Utilisateurs finaux qui interagissent en utilisant le(s) Service(s).

Catégories de données

Les catégories de données se réfèrent aux données à caractère personnel des Utilisateurs et des Utilisateurs finaux, contenues dans les données électroniques, les textes, messages ou autres documents, soumis au(x) Service(s) par le Client via le Compte Client relativement à l'utilisation par le Client du (des) Service(s).

Objet et nature du traitement

Les données à caractère personnel traitées feront l'objet des activités de traitement de base nécessaires à la fourniture du (des) Service(s) par Freshworks au Client nécessitant le traitement de données à caractère personnel. Les données à caractère personnel feront l'objet des activités de traitement spécifiées dans les Conditions et dans l’ATD (Accord de Traitement de Données).

Finalité du traitement

Les données à caractère personnel seront traitées dans le but de fournir le(s) Service(s) défini(s) dans un Formulaire, conformément aux instructions du Client quant à l'utilisation du (des) Service(s), et autrement convenu dans les Conditions, le présent ATD et tout Formulaire concerné.

Durée du traitement

Les données à caractère personnel seront traitées pendant toute la durée des Conditions.

Annexe 2
Clauses contractuelles types de l'UE (sous-traitants)

Aux fins de l'article 26, paragraphe 2, de la directive 95/46/CE pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données

L'entité identifiée comme « Client » dans l’ATD

(« L’exportateur des données »)

Et

Freshworks, Inc.

2950 S. Delaware Street, Suite 201, San Mateo, CA 94403

(« L’importateur des données ») 

chacun «une partie » ; ensemble « les parties »,

ONT CONVENU des clauses contractuelles suivantes (ci-après dénommées « les Clauses ») afin d'offrir des garanties adéquates en ce qui concerne la protection de la vie privée et des droits et libertés fondamentaux des personnes physiques pour le transfert par l'exportateur des données à l'importateur des données des données à caractère personnel visées à l’Annexe 1.

Clause 1

Définitions

Aux fins des présentes Clauses :

(a) « données à caractère personnel », « catégories spéciales de données », « traitement », « responsable du traitement », « sous-traitant », « sujet des données » et « autorité de contrôle » ont la même signification que celle de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

(b) « L'exportateur des données » désigne le responsable du traitement qui transfère les données à caractère personnel ;

(c) « L'importateur des données » désigne le sous-traitant qui accepte de recevoir de l'exportateur des données des données à caractère personnel destinées à être traitées pour son compte après le transfert conformément aux instructions et aux stipulations des présentes Clauses et qui n'est pas soumis au système d'un pays tiers garantissant une protection adéquate au sens de l'article 25, paragraphe 1, de la directive 95/46/Conseil d'État ;

(d) « Le sous-traitant » désigne tout sous-traitant engagé par l'importateur des données ou par tout autre sous-traitant de l’importateur des données qui accepte de recevoir de l’importateur des données, ou de tout autre sous-traitant de l’importateur des données, des données à caractère personnel exclusivement destinées aux activités de traitement devant être effectuées pour le compte de l’exportateur des données après le transfert conformément aux instructions, aux stipulations des Clauses et aux stipulations du contrat de sous-traitance ;

(e) « Loi applicable en matière de protection des données » désigne la législation protégeant les droits et libertés fondamentaux des personnes physiques et, en particulier, leur droit à la vie privée à l'égard du traitement des données à caractère personnel, applicable à un responsable du traitement dans l'État membre dans lequel l’exportateur des données est établi ;

(f) « Mesures techniques et organisationnelles de sécurité » désigne les mesures visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la divulgation ou l'accès non autorisés, notamment lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme illicite de traitement.

Clause 2

Détails du transfert

Les modalités du transfert et en particulier les catégories spéciales de données à caractère personnel, le cas échéant, sont précisées à l’Annexe 1, qui fait partie intégrante des Clauses

Clause 3

Clause du tiers bénéficiaire

Aux fins des présentes Clauses :

1. Le sujet des données peut faire valoir, à l'encontre de l’exportateur des données, la présente Clause, la Clause 4(b) à (i), la Clause 5(a) à 5(e), et 5(g) à 5(j), la Clause 6(1) et 6(2), la Clause 7, la Clause 8(2), et les Clauses 9 à 12 en qualité de tiers bénéficiaire.

2. Le sujet des données peut faire valoir, à l'encontre de l'importateur des données, la présente Clause, la Clause 5(a) à 5(e), et 5(g), la Clause 6, la Clause 7, la Clause 8(2), et les Clauses 9 à 12, dans les cas où l’exportateur des données a matériellement disparu, a cessé d'exister en droit ou est devenu insolvable, à moins qu'une entité successeur n'ait assumé l'ensemble des obligations légales de l’exportateur des données par contrat ou par effet de la loi, en conséquence de quoi elle assume les droits et obligations de l’exportateur des données, auquel cas le sujet des données peut les faire valoir contre une telle entité.

3. Le sujet des données peut faire valoir, à l'encontre du sous-traitant, la présente Clause, la Clause 5(a) à 5(e), et 5(g), la Clause 6, la Clause 7, la Clause 8(2), et les Clauses 9 à 12, dans les cas où l’exportateur des données et l’importateur des données ont matériellement disparu, ont cessé d'exister en droit ou sont devenus insolvables, à moins qu'une entité successeur n'ait assumé l'ensemble des obligations légales de l’exportateur des données par contrat ou par effet de la loi, en conséquence de quoi elle assume les droits et obligations de l’exportateur des données, auquel cas le sujet des données peut les faire valoir contre une telle entité. Cette responsabilité du sous-traitant est limitée à ses propres activités de traitement en vertu des présentes Clauses.

4. Les parties ne s'opposent pas à ce qu'un sujet des données soit représenté par une association ou un autre organisme s’il le souhaite expressément et si le droit national le permet.

Clause 4

Obligations of the data exporter

 

L’exportateur des données accepte et garantit :

a) que le traitement, y compris le transfert lui-même, des données à caractère personnel a été et continuera d'être effectué conformément aux dispositions applicables de la législation en vigueur en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l'État membre où l’exportateur des données est établi) et ne viole pas les dispositions en vigueur dudit État ;

b) qu'il a chargé l’importateur des données de traiter les données à caractère personnel transférées uniquement pour le compte de l’exportateur des données et conformément à la législation en vigueur en matière de protection des données et aux Clauses, et ce pendant toute la durée du traitement ;

c) que l’importateur des données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à L’Annexe 2 du présent contrat ;

d) qu'après évaluation des exigences de la législation en vigueur en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la divulgation ou l'accès non autorisés, en particulier lorsque le traitement implique la transmission de données sur un réseau, et contre toute autre forme de traitement illicite, et que ces mesures garantissent un niveau de sécurité approprié au regard des risques présentés par ce traitement et à la nature des données à protéger, compte tenu des possibilités techniques et du coût de leur mise en œuvre ;

e) qu'il veillera à sa conformité aux mesures de sécurité ;

f) que, si le transfert concerne des catégories spéciales de données, le sujet des données a été ou sera informé, avant ou dès que possible après le transfert, que ses données sont susceptibles d’être transmises vers un pays tiers ne garantissant pas une protection adéquate au sens de la directive 95/46/CE ;

(g) qu’il transmettra toute notification reçue de l’importateur des données ou de tout sous-traitant conformément à la Clause 5(b) et à la Clause 8(3), à l'autorité de contrôle chargée de la protection des données si l’exportateur des données décide de continuer le transfert ou de lever la suspension ;

h) qu’il mettra à la disposition des sujets des données, sur demande, une copie des Clauses, à l'exception de l’Annexe 2, et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de sous-traitance de services qui doit être conclu conformément aux Clauses, à moins que les Clauses ou le contrat ne contiennent des informations commerciales, auquel cas l’exportateur des données peut supprimer ces informations commerciales ;

i) qu'en cas de traitement partiel, l'activité de traitement est effectuée conformément à la Clause 11 par un sous-traitant assurant au moins un niveau équivalant de protection des données à caractère personnel et des droits du sujet des données que l'importateur des données en vertu des Clauses ; et

j) qu'il veillera au respect de la Clause 4(a) à 4(i).

Clause 5

Obligations de l'importateur des données

L'importateur des données accepte et garantit :

(a) de traiter les données à caractère personnel uniquement pour le compte de l’exportateur des données et conformément à ses instructions et aux Clauses ; si, pour quelque raison que ce soit, l’importateur des données n'est pas en mesure de le faire, il accepte d'en informer rapidement l'exportateur des données, auquel cas l’exportateur des données est autorisé à suspendre le transfert des données et/ou à résilier le contrat ;

b) qu’il n'a aucune raison de penser que la législation qui lui est applicable l'empêche d'exécuter les instructions reçues de l’exportateur des données et ses obligations au titre du contrat et qu'en cas de modification de cette législation susceptible d'avoir un impact négatif important sur les garanties et obligations prévues par les Clauses, il notifiera rapidement la modification à l'exportateur des données dès qu’il en aura connaissance, auquel cas l'exportateur des données est autorisé à suspendre le transfert des données et/ou à résilier le contrat ;

c) qu'il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l’Annexe 2 avant de traiter les données à caractère personnel transférées ;

(d) qu'il informera rapidement l’exportateur des données de :

i) toute demande juridiquement contraignante de divulgation des données à caractère personnel par une autorité répressive, sauf interdiction contraire, telle qu'une interdiction pénale visant à préserver la confidentialité d'une enquête policière,

ii) tout accès accidentel ou non autorisé, et

iii) toute demande reçue directement des sujets des données sans réponse à cette demande, à moins qu’il n'ait été autrement autorisé à le faire ;

e) de répondre rapidement et correctement à toutes les demandes de l’exportateur des données concernant le traitement des données à caractère personnel faisant l'objet du transfert et de se conformer à l'avis de l'autorité de contrôle en ce qui concerne le traitement des données transmises ;

f) de soumettre, à la demande de l’exportateur des données, ses installations de traitement de données à un audit des activités de traitement couvertes par les Clauses, lequel audit sera effectué par l’exportateur des données ou par un organisme de contrôle composé de membres indépendants, possédant les qualifications professionnelles requises et liés par une clause de confidentialité, choisi par l’exportateur des données, le cas échéant, en accord avec l'autorité de contrôle ;

g) de mettre à la disposition du sujet des données, sur demande, une copie des Clauses ou de tout contrat de sous-traitance existant, à moins que les Clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales, à l'exception de l’Annexe 2 qui sera remplacée par une description sommaire des mesures de sécurité dans les cas où le sujet des données ne peut obtenir copie auprès de l’exportateur des données ;

h) qu'en cas de traitement partiel, il a préalablement informé l’exportateur des données et obtenu son consentement écrit préalable ;

(i) que les services de traitement fournis par le sous-traitant seront effectués conformément à la Clause 11 ;

j) d'envoyer rapidement à l’exportateur des données une copie de tout accord de sous-traitance qu'il conclut en vertu des Clauses.

Clause 6

Responsabilité

1. Les parties conviennent que tout sujet des données ayant subi un préjudice du fait d'un manquement aux obligations visées à la Clause 3 ou à la Clause 11 par une partie ou un sous-traitant a droit à une indemnisation de la part de l’exportateur des données pour le préjudice subi.

2. Si un sujet des données n'est pas en mesure d'introduire une demande d'indemnisation conformément au paragraphe 1 à l'encontre de l’exportateur des données, à la suite d'une violation par l’importateur des données ou son sous-traitant d'une de leurs obligations visées à la Clause 3 ou à la Clause 11, du fait que l'exportateur a matériellement disparu, ou a cessé d'exister en droit ou est devenu insolvable, l’importateur des données accepte que le sujet des données puisse introduire une réclamation contre l’importateur des données comme s’il était l’exportateur des données, à moins qu'une entité successeur n'ait assumé toutes les obligations légales de l’exportateur des données par contrat ou de plein droit, auquel cas le sujet des données peut exercer ses droits contre cette entité. L’importateur des données ne peut pas invoquer la violation de ses obligations par un sous-traitant pour se soustraire à ses propres responsabilités.

3. Si un sujet des données n'est pas en mesure d'intenter l’action contre l’exportateur des données ou l’importateur des données visée aux paragraphes 1 et 2, à la suite d'une violation par tout sous-traitant à l'une de ses obligations visées à la Clause 3 ou à la Clause 11, du fait que l’exportateur des données ainsi que l'importateur ont matériellement disparu, ou cessé d'exister en droit ou sont devenus insolvables, le sous-traitant accepte que le sujet des données puisse introduire une réclamation à son encontre relativement à ses propres opérations de traitement en vertu des Clauses comme s’il était l’exportateur des données ou l'importateur de données, sauf si une entité successeur a assumé toutes les obligations légales de l'exportateur ou de l’importateur des données par contrat ou par effet de la loi, auquel cas le sujet des données peut exercer ses droits contre ladite entité. La responsabilité du sous-traitant est limitée à ses propres opérations de traitement en vertu des présentes Clauses.

Clause 7

Médiation et compétence
 

1. L’importateur des données accepte, si le sujet des données invoque contre lui les droits de tiers bénéficiaires et/ou réclame une indemnisation au titre des Clauses, la décision du sujet des données de :

a) soumettre le litige à la médiation par une personne indépendante ou, le cas échéant, par l'autorité de contrôle ;

b) saisir les tribunaux de l'État membre dans lequel l’exportateur des données est établi.

2. Les parties conviennent que le choix fait par le sujet des données ne portera pas atteinte à ses droits fondamentaux ou procéduraux de demander réparation conformément aux autres dispositions du droit national ou international.

Clause 8

 

Coopération avec les autorités de contrôle

1. L’exportateur des données accepte de déposer une copie du présent contrat auprès de l'autorité de contrôle, si une telle demande est faite, ou si un tel dépôt est exigé en vertu de la législation en vigueur en matière de protection des données.

2. Les parties conviennent que l'autorité de contrôle a le droit d'effectuer un audit de l’importateur des données et de tout sous-traitant, qui a la même portée et est soumis aux mêmes conditions que celles qui s'appliqueraient à un audit de l’exportateur des données en vertu de la législation en vigueur en matière de protection des données.

3. L’importateur des données doit informer sans délai l’exportateur des données de l'existence d'une législation qui s’applique à lui ou à tout sous-traitant et qui empêche de procéder à un audit de l'importateur de données, ou de tout sous-traitant, conformément au paragraphe 2. Dans ce cas, l’exportateur des données sera autorisé à prendre les mesures prévues à la Clause 5(b).

Clause 9

Loi applicable

Les Clauses sont régies par le droit de l'État membre dans lequel l’exportateur des données est établi.

Clause 10

Modification du contrat

Les parties s'engagent à ne pas modifier les Clauses. Cela n'empêche toutefois pas les parties d'ajouter, au besoin, des clauses sur des questions commerciales, dans la mesure où elles ne sont pas en contradiction avec les présentes Clauses.

Clause 11

Sous-traitance

1. L’importateur des données ne doit sous-traiter aucune de ses opérations de traitement effectuées pour le compte de l’exportateur des données en vertu des présentes Clauses sans le consentement écrit préalable de l’exportateur des données. Lorsque l’importateur des données sous-traite ses obligations en vertu des Clauses, avec le consentement de l’exportateur des données, il ne peut le faire qu'au moyen d'un accord écrit avec le sous-traitant, qui impose au sous-traitant les mêmes obligations qu'à l’importateur des données en vertu des Clauses. Si le sous-traitant ne remplit pas ses obligations en matière de protection des données en vertu de cet accord écrit, l’importateur des données demeure pleinement responsable envers l’exportateur des données de l'exécution des obligations du sous-traitant au titre de cet accord.

2. Le contrat écrit préalable entre l’importateur des données et le sous-traitant doit également prévoir une clause de tiers bénéficiaire telle que prévue à la Clause 3 dans les cas où le sujet des données n'est pas en mesure d'introduire la demande d'indemnisation visée au paragraphe 1 de la Clause 6 contre l’exportateur des données ou l’importateur des données parce que ceux-ci ont matériellement disparu ou ont cessé d'exister en droit ou sont devenus insolvables et qu'aucune entité successeur n'a pris en charge l'intégralité des obligations juridiques de l'exportateur ou de l’importateur des données par contrat ou par effet du droit. Cette responsabilité du sous-traitant est limitée à ses propres opérations de traitement en vertu des présentes Clauses.

3. Les dispositions relatives à la protection des données concernant le traitement partiel du contrat visé au paragraphe 1 sont régies par le droit de l'État membre dans lequel l’exportateur des données est établi.

4. L’exportateur des données doit conserver une liste des accords de sous-traitance conclus en vertu des Clauses et notifiés par l’importateur des données conformément à la Clause 5(j), qui est actualisée au moins une fois par an. L'autorité de contrôle chargée de la protection des données de l’exportateur des données doit avoir accès à cette liste.

Clause 12

Obligation après la cessation des services de traitement des données à caractère personnel

1. Les parties conviennent qu'à la cessation de la fourniture de services de traitement de données, l'importateur des données et le sous-traitant doivent, au choix de l'exportateur des données, retourner toutes les données à caractère personnel transférées et leurs copies à l'exportateur des données ou détruire toutes les données à caractère personnel et attester à l’exportateur des données qu'ils ont accompli une telle action, sauf si la législation imposable à l’importateur des données l’empêche de renvoyer ou de détruire tout ou partie des données à caractère personnel transmises. Dans ce cas, l'importateur des données certifie qu'il garantira la confidentialité des données à caractère personnel transférées et qu'il ne traitera plus activement ces données.

2. L'importateur des données et le sous-traitant garantissent, qu'à la demande de l'exportateur des données et/ou de l'autorité de contrôle, ils soumettront leurs installations de traitement des données à un audit des mesures visées au paragraphe 1.

Annexe 1 aux Clauses contractuelles types
La présente annexe fait partie des Clauses et doit être complétée et signée par les parties. Les États membres peuvent indiquer ou préciser, conformément à leurs procédures nationales, toute information supplémentaire nécessaire devant figurer dans la présente Annexe
Exportateur des données

L’exportateur des données est l'entité identifiée comme « Client » dans l’ATD.

Importateur des données

L'importateur des données est l'entité identifiée comme « Freshworks » dans l’ATD.

Sujets des données

Les sujets de données tels qu'énoncés à l'Annexe 1 de l’ATD auquel les Clauses sont attachées.

Catégories de données

Catégories de données figurant à l'Annexe 1 de l’ATD auquel les clauses sont attachées.

Catégories spéciales de données (le cas échéant)

Les parties ne prévoient pas le transfert de catégories spéciales de données.

Opérations de traitement

Les données à caractère personnel transférées feront l'objet des activités de traitement de base prévues à l'Annexe 1 de l’ATD auquel les clauses sont attachées.

 

Annexe 2 aux Clauses contractuelles types

La présente Annexe fait partie des Clauses et doit être complétée et signée par les parties.

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l’importateur des données conformément à la Clause 4(d), et à la Clause 5(c) (ou document/législation joint) :

Les mesures de sécurité techniques et organisationnelles mises en œuvre par l’importateur des données sont décrites à l'adresse : https://www.freshworks.com/security/.