Seagate Stories Blog Centre de ressources Partenaires
Seagate Legal

ACCORD SUR LA PROTECTION DES DONNÉES

ANNEXE

Le présent CONTRAT DE CONFIDENTIALITÉ DES DONNÉES, y compris toutes les annexes énoncées ci-dessous (le « DPA »), est conclu entre la société Seagate nommée dans le Contrat (« Seagate ») et la société fournisseur nommée dans le Contrat (« Société ») (chacune, une « partie », et collectivement, les « Parties »).

 

La Société a conclu un ou plusieurs bons de commande, contrats et/ou accords, y compris des cahiers des charges (les « Accords ») avec Seagate, en vertu desquels la Société a accepté de fournir certains services à Seagate, tels que décrits plus particulièrement dans les Accords (« Services »).

 

Les Parties concluent DPA de protection des données afin de garantir que le traitement par la Société des informations personnelles fournies à la Société ou collectées par la Société pour Seagate et/ou en son nom, soit effectué d'une manière conforme aux lois sur la protection des données et à leurs exigences concernant la collecte, l'utilisation et la conservation des informations personnelles des personnes concernées.

 

DPA pour la protection des données est intégré aux Accords et en fait partie intégrante. Tous les termes en majuscules non définis dans DPA sur la protection des données ont la signification qui leur est donnée dans le ou les Accords.

 

Les Parties reconnaissent et conviennent de ce qui suit :

 

  1. DÉFINITIONS
    1. « Affilié » désigne toute entité qui contrôle, est contrôlée par ou est sous contrôle commun avec la partie concernée.
    2. Le terme « Contrôle » désigne une propriété, un droit de vote ou une participation similaire représentant cinquante pour cent (50 %) ou plus des participations totales (mesurées sur une base entièrement diluée) alors en vigueur de l'entité en question. Le terme « Contrôlé » sera interprété en conséquence.
    3. « Violation de la confidentialité des données » désigne la destruction, la perte, l’altération, la divulgation non autorisée, l’accès ou l’acquisition accidentels ou illégaux d’informations personnelles de Seagate, ou tout autre traitement non autorisé d’informations personnelles de Seagate.
    4. « Législation(s) sur la protection des données  » désigne l’ensemble des lois, règles et réglementations mondiales relatives à la protection des données, à la sécurité des données et à la confidentialité, applicables aux informations personnelles en question, y compris, le cas échéant : (i) la loi européenne sur la protection des données ; (ii) toutes les lois, règles et réglementations des États-Unis, y compris les lois des États américains sur la protection de la vie privée, telles que modifiées, remplacées ou mises à jour de temps à autre ; (iii) le programme de sécurité des données ; et (iv) les normes sectorielles applicables appropriées à la nature des informations personnelles.
    5. « Programme de sécurité des données » ou « DSP » désigne la règle du ministère de la Justice des États-Unis intitulée « Prévention de l’accès aux données personnelles sensibles et aux données gouvernementales américaines par les pays préoccupants ou les personnes couvertes » (28 CFR Partie 202), publiée le 8 janvier 2025, mettant en œuvre le décret exécutif 14117 du 28 février 2024 (Prévention de l’accès aux données personnelles sensibles en masse des Américains et aux données gouvernementales américaines par les pays préoccupants), tel que modifié et mis à jour.
    6. Le terme « Législation européenne sur la protection des données » désigne toutes les lois et réglementations relatives à la protection des données applicables à l'Union européenne (« UE ») ou à l'Espace économique européen (« EEE »), y compris :
      1. le Règlement général sur la protection des données 2016/679 (« RGPD de l'UE ») ;
      2. le RGPD de l’UE tel qu’il a été transposé dans le droit du Royaume-Uni en vertu de l’article 3 de la loi britannique de 2018 sur le retrait de l’Union européenne et de la loi britannique de 2018 sur la protection des données (le « RGPD britannique ») ;
      3. la loi fédérale suisse sur la protection des données du 19 juin 1992 et ses ordonnances correspondantes (« LPS suisse »);
      4. la Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques ; et
      5. mises en œuvre nationales applicables de (A) et (D).
    7. Le terme « CCT de l'UE » désigne les clauses contractuelles annexées à la décision d'exécution 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil.
    8. « Informations personnelles » désigne toute information qui identifie ou se rapporte à une personne physique identifiée ou identifiable, y compris les informations associées à des appareils ou à des identifiants en ligne, et toute information autrement définie comme « données personnelles », « informations personnellement identifiables » ou un terme similaire en vertu des lois applicables en matière de protection des données.
    9. « Traitement » ou « Traiter » désigne, sans limitation, les opérations effectuées sur les informations personnelles de Seagate, que ce soit ou non par des moyens automatisés, telles que la collecte, l’enregistrement, l’organisation, la structuration, la modification, l’utilisation, l’accès, la divulgation, la diffusion, la copie, le transfert, le stockage ou toute autre conservation, la suppression, l’alignement, la combinaison, la restriction, l’adaptation, la récupération, la consultation, la destruction ou l’élimination des informations personnelles.
    10. Le terme « Transfert restreint » signifie :
      1. lorsque le RGPD de l'UE s'applique, un transfert de informations personnelles de l'EEE vers un pays situé en dehors de l'EEE qui n'est pas soumis à une décision d'adéquation de la Commission européenne ;
      2. Lorsque le RGPD britannique s'applique, un transfert de informations personnelles du Royaume-Uni vers tout autre pays qui n'est pas soumis à une réglementation d'adéquation en vertu de l'article 17A de la loi britannique sur la protection des données de 2018 ; et
      3. Lorsque la loi suisse sur la protection des données s'applique, un transfert d'informations personnelles de la Suisse vers tout autre pays qui n'est pas fondé sur une décision d'adéquation reconnue en vertu de la loi suisse sur la protection des données.
    11. « Informations personnelles Seagate » désigne toute information personnelle créée, détenue ou fournie par Seagate ou pour Seagate, et à laquelle la Société a accès, qu’elle obtient, utilise, conserve ou traite pour le compte de Seagate dans le cadre de tout accord entre les Parties et/ou leurs sociétés affiliées.
    12. « Informations sensibles » désigne toute information personnelle de Seagate classée comme sensible en vertu des lois applicables en matière de protection des données, notamment : (i) les numéros d'identification délivrés par un gouvernement (tels que les numéros de sécurité sociale, de passeport, d'identification fiscale et de permis de conduire) ; (ii) les informations relatives aux comptes financiers ou aux cartes de paiement, avec ou sans code ou mot de passe permettant d'accéder au compte ou à l'historique de crédit ; (iii) les informations relatives à la santé, génétiques ou biométriques ; (iv) les informations révélant l'origine raciale ou ethnique, la religion, l'orientation sexuelle ou la vie sexuelle, les convictions politiques ou philosophiques, ou l'appartenance syndicale ; (v) les antécédents judiciaires ou les casiers judiciaires, y compris les casiers judiciaires ou les informations relatives à d'autres procédures judiciaires ou administratives ; et (vi) toute information autrement désignée comme « informations personnelles sensibles », « données personnelles sensibles », « données sensibles » ou « catégories particulières de données » en vertu des lois applicables en matière de protection des données, notamment le RGPD de l'UE, le RGPD du Royaume-Uni et la LPD suisse.
    13. « Clauses types » désigne (le cas échéant) les CGU de l’UE, l’avenant britannique et les modifications suisses énoncées à la section 4.1 (Clauses types de l’Espace économique européen, du Royaume-Uni et de la Suisse) du présent DPA.
    14. Le terme « Sous-traitant indirect » désigne tout tiers engagé par l'Entreprise ou par un autre Sous-traitant indirect qui aura accès à des Informations personnelles Seagate, en recevra ou en traitera de toute autre manière.
    15. « Autorité de surveillance » désigne toute autorité réglementaire, de surveillance, gouvernementale, étatique, procureur général ou autre autorité compétente ayant compétence ou surveillance en matière de respect des lois sur la protection des données.
    16. « Personnel de la Société » désigne tout employé, entrepreneur, fournisseur de services, vendeur, sous-traitant ou agent de la Société que la Société autorise à traiter les informations personnelles de Seagate.
    17. « Addendum britannique » désigne l’Addendum relatif au transfert international de données (version B1.0) publié par le Bureau du commissaire à l’information en vertu de l’article 119(A) de la loi britannique sur la protection des données de 2018, tel que mis à jour ou modifié de temps à autre.
    18. « Lois des États américains sur la protection de la vie privée » désigne toutes les lois, règles et réglementations applicables en matière de confidentialité des données, de protection des données et de cybersécurité auxquelles les informations personnelles de Seagate sont soumises.
    19. Les termes « Contrôleur », « Personne concernée », « Sous-traitant », « Entreprise », « Collecte », « Consommateur », « Partage », « Vente », « Vente », « Autorité de surveillance » et « Prestataire de services » ont la signification qui leur est donnée par les lois sur la protection des données.
    20. Les termes « Données personnelles sensibles américaines en vrac », « Pays concerné », « Transaction de données couvertes », « Personne couverte », « Courtage de données », « Contrat de travail », « Personne étrangère », « Données relatives au gouvernement », « Contrat d’investissement », « Exigences de sécurité », « Transaction » et « Contrat de fournisseur » ont la signification qui leur est attribuée dans le DSP.
    21. Le terme « inclure » doit être interprété comme signifiant « inclure, entre autres », et les termes apparentés doivent être interprétés en conséquence.
  2. SÉCURITÉ ET PROTECTION DES DONNÉES
    1. Statut des parties. Concernant les données personnelles de Seagate, les parties reconnaissent et conviennent que la Société traitera ces données personnelles en qualité de sous-traitant, pour le compte de Seagate. La Société est chargée de traiter les données personnelles dans la mesure nécessaire à la fourniture des services tels que définis dans le(s) contrat(s) et DPA de protection des données.
    2. CCPARoles. Aux fins de la California Consumer Privacy Act de 2018 (California Civil Code §§ 1798.100 et seq (« CCPA ») telle que modifiée par la California Privacy Rights Act (« CPRA ») (le cas échéant)), la Société traite les informations personnelles en tant que fournisseur de services agissant sur instructions de Seagate en tant que l’entreprise.
    3. Non-divulgation des informations personnelles de Seagate. La Société ne doit divulguer d'aucune manière et à aucune fin les informations personnelles de Seagate à un tiers sans avoir obtenu au préalable l'autorisation écrite de Seagate, sauf en cas de divulgation à des sous-traitants conformément àSection 2.5 (Exigences de traitement)Ci-dessous. Sans préjudice de ce qui précède, la Société ne peut en aucun cas vendre ni divulguer les informations personnelles de Seagate à un tiers à des fins commerciales, que ce soit pour son propre bénéfice ou celui d'un tiers. Toute personne autorisée à traiter des informations personnelles de Seagate doit s'engager contractuellement à en préserver la confidentialité ou être soumise à une obligation légale de confidentialité.
    4. Limitations du traitement. La Société ne traitera les données personnelles de Seagate qu'aux fins de la fourniture des Services à Seagate en vertu du ou des Contrats et conformément aux instructions licites documentées de Seagate (« Finalités autorisées »). À ces fins, Seagate demande à la Société de traiter les données personnelles de Seagate aux fins décrites dansPartie VB (DESCRIPTION DU TRANSFERT)deAnnexe I (Description du traitement des données)La société ne doit pas traiter ni autoriser le traitement des informations personnelles de Seagate, sauf si cela est nécessaire pour fournir des services à Seagate conformément à tout accord entre les parties et/ou leurs affiliés ou à d'autres instructions écrites de Seagate.
    5. Exigences de traitement. La société doit en tout temps : a) Traiter les données personnelles de Seagate uniquement aux fins autorisées ; et b) ne pas traiter les données personnelles de Seagate à ses propres fins ni à celles d’un tiers. La société s’engage à ne pas : (i) Vendre ou partager les informations personnelles de Seagate ; (ii) conserver, utiliser ou divulguer les informations personnelles de Seagate à des fins autres que les finalités autorisées, y compris la conservation, l’utilisation ou la divulgation de ces informations à des fins commerciales autres que l’exécution des services prévus par le(s) contrat(s) ; ou (iii) conserver, utiliser ou divulguer les informations personnelles de Seagate en dehors de la relation commerciale directe entre Seagate et la Société. La Société informera Seagate si elle n’est plus en mesure de respecter ses obligations en vertu du CCPA/CPRA. La Société certifie comprendre et respecter les exigences et restrictions énoncées dans le présent document.Section 2et se conformera également aux exigences applicables aux prestataires de services en vertu du CCPA/CPRA. De plus, les parties reconnaissent et conviennent que l'échange de renseignements personnels entre elles ne constitue pas une vente et ne fait partie d'aucune contrepartie monétaire ou autre échange de valeur entre elles relativement au(x) contrat(s) ou au présent accord de protection des données. En aucun cas, la Société ne combinera les renseignements personnels de Seagate reçus de Seagate avec les renseignements personnels qu'elle reçoit d'une ou plusieurs autres personnes ou pour leur compte, ou qu'elle recueille lors de toute interaction avec un consommateur. Seagate et la Société déclarent avoir lu et compris les exigences énoncées en vertu du CCPA/CPRA.
    6. Programme de sécurité de l'information. La société mettra en œuvre, maintiendra, surveillera et, le cas échéant, mettra à jour un programme de sécurité de l'information écrit et complet qui contient des mesures de protection administratives, techniques et physiques appropriées pour protéger les renseignements personnels de Seagate contre les menaces ou les risques anticipés pour sa sécurité, sa confidentialité ou son intégrité (tels que l'accès, la collecte, l'utilisation, la copie, la modification, l'élimination ou la divulgation non autorisés, la perte, la destruction, l'acquisition ou les dommages non autorisés, illégaux ou accidentels ou toute autre forme de traitement non autorisé) (« Programme de sécurité de l'information »). Le programme de sécurité de l'information comprendra les exigences et les mesures énumérées dans les normes de sécurité ci-jointes.Annexe II (Normes de sécurité).
    7. Restrictions relatives aux sous-traitants. La Société peut divulguer des renseignements personnels de Seagate à des sous-traitants dans la mesure nécessaire à l'exécution de ses services pour Seagate, sous réserve des conditions énoncées dans le présent document.Section 2.7La Société tiendra à jour une liste des Sous-traitants auxquels elle divulgue des Informations Personnelles de Seagate et la fournira à Seagate sur demande. À la date d'entrée en vigueur du ou des Accords, le cas échéant, une liste à jour des Sous-traitants de la Société sera incluse soit dans le ou les Accords, soit dans tout autre document fourni par la Société à Seagate et signé par les deux Parties, précisant la liste des Sous-traitants. La Société informera Seagate à l'adresse [email protected] au moins 30 jours ouvrables avant d'ajouter un Sous-traitant à la liste. Si Seagate ne s'oppose pas au Sous-traitant proposé dans un délai de 30 jours ouvrables suivant la réception de la notification, le Sous-traitant sera réputé approuvé. Si Seagate s'oppose à ce qu'un Sous-traitant ait accès aux Informations Personnelles de Seagate, la Société ne divulguera pas ces Informations Personnelles au Sous-traitant. Si, à tout moment, l'une ou l'autre des parties constate qu'un sous-traitant ne fournit pas de garanties de sécurité suffisantes au regard des risques liés au traitement des données personnelles de Seagate, Seagate peut, à sa seule discrétion, le retirer de la liste. En cas d'objection ou de retrait d'un sous-traitant par Seagate, la Société disposera d'un délai raisonnable pour le remplacer. Si la Société ne peut fournir les Services sans divulguer les données personnelles de Seagate au sous-traitant, Seagate peut résilier tout accord applicable entre les parties et/ou leurs sociétés affiliées, sans frais ni indemnité pour la Société.
    8. Conformité et manquements des sous-traitants. Le recours à des sous-traitants par la Société ne la dispense pas de son obligation de se conformer au présent accord de protection des données (APD) ni aux lois applicables en matière de protection des données. La Société sera responsable envers Seagate de l'exécution des services, des violations de la confidentialité des données et des manquements au présent APD et aux lois applicables en matière de protection des données commis par ses sous-traitants, au même titre que si elle avait commis ces manquements elle-même.
    9. Obligations du personnel et des Sous-traitants indirects de l'Entreprise : l'Entreprise s'engage à s'assurer que toute personne ou tout Sous-traitant indirect qui a accès à des Informations personnelles Seagate est lié par un accord écrit contenant au moins des clauses aussi restrictives que celles indiquées dans DPA sur la protection des données. L'Entreprise s'engage à veiller à ce que toutes les obligations en matière de respect de la vie privée et de protection des données soient maintenues après la fin de leur Traitement pour Seagate. Cette obligation est maintenue indéfiniment, ou au moins jusqu'à ce que l'Entreprise ait certifié que toutes les Informations personnelles Seagate ont été supprimées, détruites et qu'elles sont irrémédiablement irrécupérables.
    10. Accès limité. Accès limité. La Société limitera l'accès aux Informations Personnelles de Seagate au personnel de la Société ou aux Sous-traitants qui en ont besoin pour que la Société puisse exécuter ses obligations en vertu de tout Accord entre les Parties et/ou leurs Affiliés ou des instructions écrites de Seagate, et qui : (a) ont été formés aux exigences en matière de protection et de sécurité des données ; et (b) ont accepté de se conformer à des exigences de confidentialité des données au moins aussi restrictives que celles exigées par Seagate pendant et après leur Traitement pour Seagate.
    11. Avis de demandes ou de plaintes. Sauf interdiction légale, la Société doit informer Seagate à l'adresse [email protected] dans les deux jours ouvrables suivant la réception de toute demande ou plainte relative au traitement des informations personnelles de Seagate, notamment :
      1. les demandes de portabilité des données, les demandes d'accès, de modification, d'effacement ou de limitation du traitement, et les demandes similaires formulées par une personne concernée ; ou
      2. des plaintes ou des allégations que le Traitement enfreint les droits d'une Personne concernée.
    12. Réponses de l'entreprise. L'entreprise ne répondra à aucune demande ni à aucune plainte formulée en vertu deArticle 2.11 (Avis de demandes ou de plaintes)Sauf autorisation expresse de Seagate, la Société coopérera avec Seagate concernant toute action entreprise suite à une demande ou une réclamation, y compris, sans limitation, les demandes de suppression. La Société s'efforcera de mettre en œuvre des procédures appropriées (notamment des mesures techniques et organisationnelles) pour aider Seagate à répondre aux demandes ou réclamations, sauf interdiction légale.
    13. Demandes de divulgation : sauf si la loi l'interdit, l'Entreprise s'engage à aviser immédiatement Seagate de la réception d'un document demandant ou prétendant imposer la divulgation d'Informations personnelles Seagate (telles que des questions orales, des interrogatoires, des demandes d'informations ou de documents dans des procédures judiciaires, des assignations à comparaître, des demandes d'enquête civile ou d'autres demandes ou procédures similaires, collectivement désignées par le terme « Demandes de divulgation »). Si une Demande de divulgation n'est pas contraignante, l'Entreprise s'engage à ne pas répondre. Si une Demande de divulgation est contraignante, l'Entreprise s'engage, sauf si la loi applicable l'interdit, à aviser Seagate avec un préavis d'au moins 48 heures avant de répondre, de façon que Seagate puisse exercer ses droits éventuels d'empêcher ou de limiter la divulgation. L'Entreprise s'engage à déployer des efforts raisonnables pour empêcher et limiter toute divulgation ou pour protéger la confidentialité d'Informations personnelles Seagate. La société coopérera avec Seagate concernant toute mesure prise en réponse à une demande de divulgation, y compris en coopérant pour obtenir une ordonnance de protection appropriée ou toute autre assurance visant à protéger la confidentialité des renseignements personnels de Seagate.
    14. Coopération. La Société aidera Seagate à respecter ses obligations en vertu des lois sur la protection des données concernant : (a) l’enregistrement et la notification ; (b) la responsabilité ; (c) la garantie de la sécurité des informations personnelles de Seagate ; et (d) la réalisation d’évaluations d’impact sur la vie privée et la protection des données (y compris les audits et les évaluations des risques en vertu des lois sur la protection des données) et les consultations connexes des autorités de surveillance.
    15. Participation à des enquêtes réglementaires : l'Entreprise s'engage à assister Seagate dans toute enquête effectuée par une Autorité de contrôle dans la mesure où une telle enquête est liée à des Informations personnelles Seagate traitées par l'Entreprise ou l'un de ses Sous-traitants indirects.
    16. Avis de violations possibles ou d'incapacité de se conformer : l'Entreprise s'engage à aviser immédiatement Seagate si :
      1. l'Entreprise a des raisons de penser que des instructions de Seagate concernant le Traitement des Informations personnelles Seagate pourraient enfreindre la loi applicable ;
      2. l'Entreprise a des raisons de penser qu'elle n'est pas en mesure de respecter l'une de ses obligations en vertu du présent DPA ou des lois applicables en la matière, et ne peut pas remédier à cette incapacité dans un délai raisonnable ; ou
      3. l'Entreprise est informée de circonstances ou de modifications de la loi applicable susceptibles de l'empêcher de remplir ses obligations en vertu du présent DPA.
    17. Suspension ou ajustements pour conformité. Seagate peut suspendre le traitement des données personnelles de Seagate par la Société ou ses sous-traitants afin de prévenir toute violation ou non-conformité potentielle à la loi applicable, au présent accord de protection des données (APD) ou à tout accord applicable entre les Parties et/ou leurs sociétés affiliées relatif à la protection de la vie privée ou des données. La Société coopérera avec Seagate pour ajuster le traitement et remédier à toute violation ou non-conformité potentielle. Si un ajustement est impossible, Seagate peut résilier tout accord applicable entre les parties et/ou leurs sociétés affiliées, sans frais ni responsabilité envers la société.
  3. PROGRAMME DE SÉCURITÉ DES DONNÉES
    1. Conformité avec le DSP. La société reconnaît que certaines informations personnelles de Seagate peuvent constituer des données personnelles sensibles américaines en masse ou des données gouvernementales soumises au DSP. La société déclare et garantit qu'elle se conformera au DSP dans la mesure où il s'applique au traitement des informations personnelles de Seagate, y compris toutes les restrictions applicables en matière d'accès, de transfert et d'utilisation de ces données, et qu'elle traitera les informations personnelles de Seagate uniquement conformément au présent DPA. Rien dans DPA de protection des données n'autorise la société à procéder à un traitement ou à un transfert interdit par la loi sur la protection des données.
    2. Opérations interdites. La Société s'engage à ne pas effectuer de courtage de données portant sur des volumes importants de données personnelles sensibles américaines ou de données gouvernementales lorsque ce courtage est interdit par la DSP, notamment les transactions susceptibles d'entraîner un accès par un pays concerné ou une personne visée. Cette restriction s'applique indépendamment de l'anonymisation, de la pseudonymisation, du chiffrement ou de toute autre mesure technique de protection.
    3. Transactions restreintes. Dans la mesure où l'exécution des Services par la Société peut impliquer un contrat de fournisseur, un contrat de travail ou un accord d'investissement qui pourrait entraîner l'accès à des données personnelles sensibles américaines en masse ou à des données gouvernementales par une personne couverte ou un pays préoccupant, la Société doit : (a) en informer Seagate à l'avance ; (b) obtenir l'approbation écrite préalable de Seagate ; et (c) mettre en œuvre toutes les exigences de sécurité applicables en vertu du DSP, en plus des normes de sécurité du présent DPA ou d'autres exigences de sécurité convenues par ailleurs entre les parties.
    4. Gouvernance et obligations continues. La Société doit informer Seagate sans délai de tout changement de circonstances susceptible d'affecter la conformité DSP, notamment les changements de propriétaire, de contrôle, de sous-traitance ou d'accès géographique. Seagate peut suspendre ou restreindre l'accès aux données concernées si nécessaire pour répondre aux préoccupations relatives à la conformité DSP. Le non-respect de cette obligation peut entraîner des sanctions.Section 3constitue une violation substantielle du présent accord de protection des données et peut également constituer une violation du programme de sécurité des données.
  4. TRANSFERTS DE DONNÉES
    1. Clauses standard de l'Espace économique européen, du Royaume-Uni et de la Suisse.
      1. Les Parties conviennent que lorsque le transfert d'informations personnelles de Seagate à la Société constitue un transfert restreint, celui-ci sera soumis aux clauses standard appropriées, qui sont automatiquement intégrées par référence et font partie intégrante du présent accord de protection des données, comme indiqué ci-dessous :
        1. en ce qui concerne les Informations personnelles Seagate qui sont protégées par le RGPD de l'UE, les CCT de l'UE s'appliqueront comme suit :
          1. Seagate sera l'exportateur de données et l'Entreprise l'importateur ;
          2. Le « module deux (C2P) » s’appliquera ;
          3. à la Clause 7, la clause d'amarrage facultative s'applique ;
          4. à la clause 9 du « Module deux (C2P) », « Option 2 » s’appliquera, et le délai de préavis des changements de sous-traitant sera celui indiqué au point 2.7 (Restrictions sur les sous-traitants) du présent DPA ;
          5. Dans la clause 11, le langage facultatif ne s’appliquera pas ;
          6. à la Clause 17,
            1. Pour le « Module Deux (C2P) », l’« Option 1 » s’appliquera, et
            2. les CCT de l'UE seront régies par la loi irlandaise ;
          7. à la Clause 18(b), les litiges seront portés devant les tribunaux irlandais ;
          8. L’annexe I des clauses contractuelles types de l’UE est réputée complétée dès lors qu’elle contient les informations qui y figurent.Annexe I(Description du traitement des données) à ce DPA; et
          9. L’annexe II des clauses contractuelles types de l’UE est réputée complétée par les informations qui y figurent.Annexe II(Normes de sécurité) à ce DPA.
        2. En ce qui concerne les données protégées par le RGPD britannique, les clauses contractuelles types de l'UE : (i) s'appliquent telles que complétées conformément àSection 4.1Baci-dessus ; et (ii) sera réputée modifiée conformément aux dispositions de l’avenant britannique, lequel sera réputé signé par les Parties et intégré au présent accord de protection des données, dont il fera partie intégrante. Tout conflit entre les clauses contractuelles types de l’UE et l’avenant britannique sera résolu conformément aux articles 10 et 11 de cet avenant. En outre, les tableaux 1 à 3 de la partie 1 de l’avenant britannique seront complétés respectivement avec les informations qui y figurent.Annexe I(Description du traitement des données) etII (Normes de sécurité)Les termes du présent accord de protection des données et du tableau 4 de la partie 1 seront considérés comme remplis si aucune des parties n'est sélectionnée.
        3. En ce qui concerne les informations personnelles de Seagate protégées par la loi suisse sur la protection des données, les clauses contractuelles types de l'UE, telles que mises en œuvre conformément àSection 4.1BaCe qui précède s'appliquera à condition que :
          1. les références dans les CGU de l’UE au Règlement (UE) 2016/679 ou au [RGPD de l’UE] doivent être interprétées comme des références à la Loi fédérale suisse sur la protection des données (« LPD ») ;
          2. Les références au « droit de l’UE », au « droit de l’Union » et au « droit des États membres » doivent être interprétées comme des références à la Suisse et au droit suisse, selon le cas ;
          3. le terme « État membre » ne doit pas être interprété de manière à exclure les personnes concernées en Suisse de la possibilité d’intenter une action en justice pour faire valoir leurs droits dans leur lieu de résidence habituelle (Suisse) ;
          4. Les clauses contractuelles types de l'UE doivent être interprétées comme protégeant les données des personnes morales jusqu'à l'entrée en vigueur de la FADP révisée ; et
          5. Les références à l’autorité de surveillance compétente et aux tribunaux compétents doivent être interprétées comme des références au Préposé fédéral à la protection des données et à la transparence et aux tribunaux compétents en Suisse.
        4. Si une disposition du présent DPA ou des Accords contredit directement ou indirectement les Clauses standard, ces dernières prévalent.
        5. L'Entreprise s'engage à s'assurer que tous les Sous-traitants indirects exécutent également les Clauses standard, le cas échéant.
      2. Mécanismes de transfert alternatifs : Dans la mesure où la Société adopte un mécanisme d’exportation de données alternatif non décrit dans DPA de protection des données (y compris toute nouvelle version ou toute version remplaçant les clauses types adoptées conformément à la législation européenne applicable en matière de protection des données) pour le transfert de données personnelles (« Mécanisme de transfert alternatif »), ce mécanisme de transfert alternatif s’appliquera en lieu et place de tout mécanisme de transfert applicable décrit dans DPA de protection des données (mais uniquement dans la mesure où ce mécanisme de transfert alternatif : (i) est conforme à la législation européenne en matière de protection des données ; (ii) s’étend aux territoires vers lesquels les données personnelles sont transférées ; (iii) satisfait aux conditions de notification ci-dessous ; et (iv) la Société établit tous les autres documents et prend toutes les autres mesures raisonnablement nécessaires pour donner effet juridique à ce mécanisme de transfert alternatif). En outre, si et dans la mesure où un tribunal compétent ou une autorité de contrôle ayant un pouvoir contraignant ordonne ou détermine (pour quelque raison que ce soit) que les mesures décrites dans DPA de protection des données ne peuvent être utilisées pour transférer licitement ces données, Concernant les informations personnelles de Seagate, Seagate reconnaît et accepte que, sous réserve des modalités de notification décrites ci-dessous, la Société peut mettre en œuvre toute mesure ou garantie supplémentaire raisonnablement nécessaire pour permettre le transfert licite de ces informations. Ces modalités de notification exigent que la Société informe Seagate à l'adresse [email protected] au moins 30 jours ouvrables avant la mise en œuvre de mécanismes de transfert alternatifs ou de toute mesure supplémentaire. Si Seagate ne s'oppose pas au mécanisme de transfert alternatif ou aux mesures supplémentaires proposés dans les 30 jours ouvrables suivant la réception de la notification, ces mécanismes ou mesures sont réputés approuvés. En cas d'opposition de Seagate, la Société s'engage à ne pas les utiliser. Si Seagate s'oppose à un mécanisme de transfert alternatif ou à une mesure supplémentaire, elle peut, à sa seule discrétion, résilier tout accord applicable entre les Parties et/ou leurs sociétés affiliées, sans frais ni responsabilité pour la Société.
      3. Transferts hors des pays soumis à des exigences d'exportation de données. Si des lois sur la protection des données exigent que des mesures supplémentaires soient prises concernant toute restriction applicable à l'exportation de données afin de permettre le transfert des informations personnelles de Seagate à la Société (y compris ses sous-traitants), la Société se conformera à ces exigences en matière de protection des données, notamment en obtenant les consentements requis ou en exécutant tout accord de transfert de données applicable (par exemple, des clauses contractuelles types) ou une solution alternative pour garantir que les garanties appropriées sont en place pour un tel transfert.
    2. Autres dispositions relatives à la juridiction. Le cas échéant, la Société se conformera aux exigences des juridictions concernées, jointes en annexe.Annexe III(Exigences en matière de protection des données pour des juridictions spécifiques).
  5. CONFORMITÉ ET RESPONSABILITÉ
    1. Conformité. La Société s'engage à ce que le traitement des données personnelles de Seagate effectué par la Société et ses Sous-traitants soit conforme à toutes les lois, cadres d'autorégulation et exigences contractuelles applicables, y compris la législation relative à la protection des données. La Société procédera annuellement à un examen de ses pratiques et de celles de ses Sous-traitants afin de garantir leur conformité au présent Accord de Protection des Données (APD) et à la législation applicable en matière de protection des données. La Société collaborera, à ses propres frais, avec Seagate pour répondre à ses demandes de démonstration de conformité aux dispositions relatives à la protection et à la sécurité des données mentionnées dans le présent APD.
    2. Registre des activités de traitement. La Société tiendra à jour un registre contenant les coordonnées de son représentant et de son délégué à la protection des données, les catégories d'activités de traitement effectuées, les informations relatives aux transferts transfrontaliers de données, une description générale des mesures de sécurité mises en œuvre concernant les données traitées, le nom, les coordonnées et les informations relatives au traitement de chaque sous-traitant des données personnelles de Seagate, ainsi que, le cas échéant, les coordonnées du représentant et du délégué à la protection des données de chaque sous-traitant. Sur demande, la Société fournira à Seagate ou à l'autorité de contrôle compétente une copie historique et une copie à jour de ce registre.
    3. Audit : La société mettra à la disposition de Seagate, sur demande écrite, toutes les informations nécessaires pour démontrer sa conformité au présent accord de protection des données et aux lois sur la protection des données, et autorisera et contribuera aux audits, y compris les inspections sur site, réalisés par Seagate ou par un tiers indépendant ou mandaté par Seagate en relation avec le traitement des informations personnelles de Seagate. Tout auditeur tiers indépendant de ce type sera tenu de conclure un accord de confidentialité avec les Parties. L'Entreprise s'engage à remédier à toute non-conformité dans un délai raisonnable. Si la réparation n'est pas possible, Seagate peut résilier tout accord applicable entre les parties et/ou leurs sociétés affiliées, sans frais ni responsabilité envers la société.
  6. RESPONSABILITÉS DE L'ENTREPRISE APRÈS UNE VIOLATION DES DONNÉES
    1. Notification de la violation des données : l'Entreprise s'engage à aviser Seagate par écrit de toute Violation des données connue ou suspectée dans un délai maximum de 24 heures après avoir eu connaissance pour la première fois de ladite violation. Elle s'engage, par ailleurs, à effectuer immédiatement les actions suivantes :
      1. aviser Seagate de la Violation des données par l'envoi d'un e-mail à l'adresse suivante : [email protected] ;
      2. enquêter sur l'incident de sécurité ou apporter son aide dans cette démarche ;
      3. fournir à Seagate des renseignements détaillés sur la Violation des données, y compris, mais de façon non limitative, les catégories, l'emplacement et le nombre approximatif de Personnes concernées ainsi que les catégories, l'emplacement et le nombre approximatif de dossiers d'Informations personnelles Seagate ; continuer à fournir rapidement à Seagate des renseignements supplémentaires sur la Violation des données dès que ceux-ci sont disponibles ;
      4. déployer des efforts commercialement raisonnables pour limiter les conséquences de la Violation des données, ou assister Seagate dans cette démarche ; et
      5. mettre en place un plan correctif, soumis à l'approbation de Seagate, et surveiller la résolution des Violations des données et des vulnérabilités liées aux Informations personnelles Seagate pour veiller à l'application opportune d'une action corrective pertinente.
    2. Maîtrise et correction : l'Entreprise s'engage à maîtriser et corriger immédiatement toute Violation des données et à prévenir toute nouvelle violation de ce type. De plus, elle s'engage à prendre toutes les mesures nécessaires pour se conformer aux Lois sur la protection des données et aux normes du secteur applicables en vue de maîtriser et de corriger toute Violation des données.
    3. Communications : l'Entreprise s'engage à ne divulguer aucune communication relative à une Violation des données, d'aucune manière qui identifierait ou qui serait raisonnablement susceptible d'identifier Seagate, ou d'en révéler l'identité, sans l'accord préalable de Seagate.
    4. Conservation des éléments de preuve : l'Entreprise s'engage à maintenir un plan de réponse aux incidents. Après la découverte d'une Violation des données, l'Entreprise s'engage à conserver les éléments de preuve liés à la Violation et à maintenir une chaîne de commandement claire conforme à son plan de réponse aux incidents.
    5. Coopération : l'Entreprise s'engage à coopérer avec Seagate dans tout litige, toute enquête ou toute autre action demandée par Seagate en vue de protéger les droits de Seagate en lien avec l'utilisation, la divulgation, la protection et la conservation d'Informations personnelles Seagate. L'Entreprise s'engage en outre à fournir l'assistance et la coopération raisonnables demandées par Seagate et/ou ses représentants désignés, dans la poursuite de toute correction, rectification ou recherche d'une Violation des données et/ou l'atténuation de tout dommage potentiel, y compris tout avis que Seagate peut juger approprié d'envoyer aux Personnes concernées, aux régulateurs ou aux tiers, et/ou la fourniture de tout service de rapport de crédit que Seagate estime approprié de fournir à ces Personnes. L'Entreprise est responsable des dépenses raisonnablement engagées par Seagate en lien avec la Violation des données par l'Entreprise, y compris, mais sans s'y limiter, les enquêtes, les mesures correctives et les notifications.
  7. RETOUR ET SUPPRESSION SÉCURISÉE DES INFORMATIONS PERSONNELLES SEAGATE
    1. Intégrité des données. La Société doit se conformer à toutes les instructions de Seagate visant à maintenir l'intégrité des données, notamment : (a) supprimer les renseignements personnels de Seagate conservés par la Société mais qui ne sont plus nécessaires à la prestation des Services, sauf si la conservation de ces renseignements est exigée par les lois sur la protection des données ; (b) s'assurer que tous les renseignements personnels de Seagate créés par la Société pour le compte de Seagate sont exacts et à jour ; et (c) à la demande de Seagate, permettre à Seagate d'accéder à tous les renseignements personnels de Seagate, le tout conformément aux lois applicables.
    2. Restitution et suppression des données personnelles Seagate. À la première des échéances suivantes : (a) demande de Seagate ; ou (b) expiration ou résiliation anticipée du ou des accords conclus entre les Parties et/ou leurs sociétés affiliées concernant le traitement des données personnelles Seagate, la Société, à la demande de Seagate, exportera les données personnelles Seagate ou permettra à Seagate, ou à son mandataire, de les exporter dans un format lisible par machine et interopérable déterminé par Seagate, sauf si la conservation de ces données est requise par la législation sur la protection des données. La Société conservera les données personnelles Seagate aussi longtemps que Seagate le jugera raisonnablement nécessaire pour lui permettre d’y accéder pleinement et de les exporter, sans frais pour Seagate. Chaque partie désignera un interlocuteur chargé de la migration des données personnelles Seagate et s’efforcera de faciliter ce transfert dans les meilleurs délais. Dans les 90 jours suivant la réception et la migration correctes des informations personnelles de Seagate par Seagate : (a) ou (b) la notification à la Société de son choix de ne pas migrer les informations personnelles de Seagate, la Société et les sous-traitants doivent détruire de manière sécurisée toutes les informations personnelles de Seagate, dissocier les identifiants de l’espace de travail de Seagate et les remplacer par de nouvelles données ou détruire les informations personnelles de Seagate par une méthode de nettoyage approuvée.
    3. Destruction des informations personnelles Seagate. Si la Société se débarrasse de tout support papier, électronique ou autre contenant des informations personnelles Seagate, elle prendra toutes les mesures raisonnables (en fonction de la sensibilité des informations personnelles Seagate) pour les détruire, sauf si leur conservation est requise par les lois sur la protection des données. (a) le déchiquetage ; (b) l’effacement et la suppression définitifs ; (c) la démagnétisation ; ou (d) toute autre modification des informations personnelles Seagate contenues dans ces enregistrements afin de les rendre illisibles, irrécupérables et indéchiffrables. Si la Société met hors service ou retire de toute autre manière un disque dur contenant une copie d’informations personnelles Seagate, elle doit le déchiqueter ou le détruire de manière sécurisée, rendant ainsi les informations personnelles Seagate illisibles et les détruisant conformément à la norme NIST 800-88, révision 1 (Directives pour l’effacement sécurisé des supports de stockage) du National Institute of Standards and Technology. La Société doit certifier par écrit que le disque a été déchiqueté ou détruit et que les informations personnelles Seagate ne peuvent être ni lues, ni récupérées, ni reconstituées.
    4. Avis de conservation : si l'Entreprise a une obligation légale de conserver les Informations personnelles Seagate au-delà de la période permise par DPA sur la protection des données, elle doit en aviser Seagate par écrit, limiter le Traitement des Informations personnelles Seagate à la seule conservation desdites Informations dans le cadre de ses obligations légales d'Entreprise, et s'engage à retourner ou détruire les Informations personnelles Seagate dès que possible après la fin de la période de conservation légale. DPA sur la protection des données demeurera en vigueur jusqu'à ce que l'Entreprise cesse d'avoir la garde, le contrôle ou l'accès à des Informations personnelles Seagate.
    5. Documentation : l'Entreprise s'engage à documenter les conditions dans lesquelles elle conserve ou élimine des Informations personnelles Seagate en vertu du présent DPA. À la demande de Seagate, l'Entreprise s'engage à fournir un document de conservation et un certificat écrit précisant que les Informations personnelles Seagate ont été détruites de façon sécurisée en vertu du présent DPA.
  8. DIVERS
    1. Durée. DPA de protection des données (APD) restera en vigueur jusqu'à ce que : a) aucun autre accord ne soit en vigueur entre les parties ; et b) la Société cesse d'avoir la garde, le contrôle ou l'accès aux informations personnelles de Seagate. La Société traitera les informations personnelles de Seagate jusqu'à la fin de la relation, conformément aux dispositions de l'accord. Les obligations de la Société et les droits de Seagate en vertu du présent APD demeureront en vigueur tant que la Société traitera les informations personnelles de Seagate.
    2. Ordre de priorité : En cas de divergence entre DPA de protection des données et tout autre accord conclu entre les parties et/ou leurs sociétés affiliées, les dispositions du présent accord prévaudront, sauf en cas de divergence impliquant Annexe II (Normes de sécurité), auquel cas les autres accords prévaudront, dans la mesure où les normes de sécurité des autres accords s'ajoutent aux exigences minimales énoncées dans Annexe II. DPA sur la protection des données ne saurait limiter ou restreindre les Clauses standard. Il ne doit être considéré que comme un complément.
    3. Mises à jour : l'Entreprise s'engage à collaborer raisonnablement pour mettre à jour DPA sur la protection des données selon les besoins, afin d'assurer le respect des lois et règlements applicables.
    4. Tiers bénéficiaires. Les sociétés affiliées de Seagate sont des tiers bénéficiaires du présent accord de protection des données et peuvent en faire appliquer les termes comme si elles en étaient signataires. Seagate peut également faire appliquer les dispositions du présent accord pour le compte de ses sociétés affiliées, évitant ainsi à ces dernières d'intenter une action en justice contre la société.
    5. Communication de l'DPA à l'Autorité de contrôle : Seagate peut fournir un résumé ou une copie du présent DPA à toute Autorité de contrôle.
    6. Principe de séparation : Si l'une des dispositions du présent DPA est inefficace ou nulle, les autres dispositions n'en sont pas affectées. Les parties doivent remplacer la disposition non valide ou nulle par une disposition légale qui reflète l'objet de la disposition en question. En cas d'absence d'une disposition nécessaire, les parties doivent en ajouter une qui soit appropriée et de bonne foi.
    7. Interprétation : les rubriques du présent DPA ne sont fournies qu'à titre indicatif et n'auront aucune incidence sur l'interprétation des présentes.

ANNEXE I

DESCRIPTION DU TRAITEMENT DES DONNÉES

 

Ce Annexe I fait partie des clauses types.

 

MODULE DEUX : Transfert – Responsable du traitement à Sous-traitant (pertinent pour les Informations personnelles Seagate) (C2P)

 

    A. LISTE DES PARTIES

     

    EXPORTATEUR DE DONNÉES

    Nom et adresse

    Seagate Technology LLC signant au nom de ses Sociétés affiliées et filiales 47488 Kato Road, Fremont, CA, 94538

    Nom et coordonnées du contact

    Seagate Technology LLC signant au nom de ses Sociétés affiliées et filiales 47488 Kato Road, Fremont, CA, 94538 [email protected]

    Activités en rapport avec les données transférées en vertu des présentes Clauses standard

    Seagate Technology LLC, signant au nom de ses Sociétés affiliées et filiales, est un fournisseur de produits matériels, de solutions logicielles et de services facilitant la gestion des activités dans différents secteurs.

    Signature et date :

    En concluant les Accords incluant cet DPA, l'exportateur de données est réputé avoir signé les présentes Clauses standard qui y sont incorporées, y compris leurs Annexes, à la date d'entrée en vigueur desdits Accords.

     

    Rôle de l'exportateur de données (Responsable du traitement/Sous-traitant) :

    Énoncé dans Section 2.1 (Statut des parties) de ce DPA.

     

     

    IMPORTATEUR DE DONNÉES

    Nom et adresse

    Nom et adresse de l'Entreprise (tels que spécifiés dans les Accords)

     

    Nom, fonction et coordonnées du contact :

    Nom et adresse de l'Entreprise (tels que spécifiés dans les Accords)

     

    Activités en rapport avec les données transférées en vertu des présentes Clauses standard :

     

    L'Entreprise est un prestataire de services et d'assistance auprès de l'exportateur de données, tel que décrit dans les Accords.

     

    Signature et date :

    En concluant les Accords incluant cet DPA, l'importateur de données est réputé avoir signé les présentes Clauses standard qui y sont incorporées, y compris leurs Annexes, à la date d'entrée en vigueur des Accords.

     

    Rôle de l'importateur de données

    Énoncé dans SSection 2.1 (Statut des parties) de ce DPA.

     

    B. DESCRIPTION DU TRANSFERT

     

    Catégories de personnes concernées :

    Les données personnelles transférées peuvent concerner les catégories suivantes de personnes concernées – actuelles et passées :

    • employés, conseillers, consultants, fournisseurs, entrepreneurs, sous-traitants et agents de Seagate ;
    • partenaires commerciaux et partenaires commerciaux potentiels de Seagate, et leurs employés, partenaires, conseillers, consultants, fournisseurs, entrepreneurs, sous-traitants et agents ;
    • prospects potentiels, et les clients antérieurs et actuels ;
    • clients antérieurs et actuels de Seagate, et leurs employés, partenaires, conseillers, consultants, fournisseurs, entrepreneurs, sous-traitants et agents.

     

    Catégories de données à caractère personnel transférées

    Données à caractère personnel fournies à l'Entreprise par Seagate ou au nom de Seagate, ou collectées par ses soins, en rapport avec les Catégories de personnes concernées énoncées ci-dessus, et dont l'Entreprise a besoin pour proposer les Services à Seagate en vertu des Accords et conformément aux instructions légales documentées de Seagate, susceptibles de comporter des coordonnées, telles que le prénom, le nom, l'adresse e-mail, l'adresse professionnelle, le numéro de téléphone et toute autre donnée à caractère personnel fournie par Seagate.

     

    Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquées tenant pleinement compte de la nature des données et des risques inhérents:**

     

    Telles que définies dans les Accords

    Fréquence du transfert

    Continue, sauf indication contraire dans les Accords ou dans un document conclu entre les parties.

    Nature du Traitement/des Activités de traitement

    Telle que décrite dans les Accords.

    Finalité du transfert et du traitement des données

     

    Fournir les Services en vertu des Accords pertinents.

     

    Période pendant laquelle les données à caractère personnel seront conservées ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période:

    Les données à caractère personnel seront conservées :

    a) conformément àSection 7.2 (Retour et suppression des informations personnelles Seagate) de ce DPA; ou

    (b) tel que l'exige la loi ; ou

    (c) pour la durée fixée dans les Accords ou tout autre document conclu entre les parties et contenant les informations pertinentes applicables aux Services concernés ;

    la plus longue de ces périodes étant retenue.

     

    Pour les transferts à des sous-traitants indirects, préciser également l'objet, la nature et la durée du traitement

    L'Entreprise doit indiquer l'objet, la nature et la durée du traitement des transferts aux sous-traitants indirects à l'adresse [email protected], si ces informations ne sont pas par ailleurs déjà stipulées dans les Accords ou tout autre document convenu entre les parties.

     

    C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

     

    L’autorité de contrôle compétente, conformément à l’article 13 des clauses contractuelles types de l’UE, est soit : (i) l’autorité de contrôle applicable à l’exportateur de données dans son pays d’établissement au sein de l’EEE ; (ii) si l’exportateur de données n’est pas établi dans l’EEE, l’autorité de contrôle compétente dans le pays de l’EEE où le représentant de l’exportateur de données au sein de l’UE a été désigné conformément à l’article 27, paragraphe 1, du RGPD ; soit (iii) si l’exportateur de données n’est pas tenu de désigner un représentant, l’autorité de contrôle compétente dans le pays de l’EEE où se trouvent les personnes concernées par le transfert. En ce qui concerne le traitement des données à caractère personnel auquel s’applique le RGPD britannique, l’autorité de contrôle compétente est le Bureau du commissaire à l’information (ICO). En ce qui concerne le traitement des données à caractère personnel auquel s’applique la loi suisse sur la protection des données (APD), l’autorité de contrôle compétente est le Préposé fédéral à la protection des données et à la transparence (PFPDT).

     

ANNEXE II

NORMES DE SÉCURITÉ

 

Ce Annexe II fait partie des clauses types.

 

Cette Annexe IIreprésente lemesures de sécurité minimalesLa Société s'engage à respecter certaines exigences. Si un ou plusieurs accords entre les Parties imposent à la Société des mesures de sécurité plus strictes ou plus étendues, celle-ci s'y conformera. La Société est tenue de maintenir et d'appliquer diverses politiques, normes et procédures visant à sécuriser les informations personnelles de Seagate et les autres données conformément aux normes du secteur, telles que le cadre de cybersécurité NIST 2.0 du National Institute of Standards and Technology et les normes ISO 27001 ou 27002, auxquelles le personnel de la Société a accès.

 

  1. Politiques et normes de sécurité de l'information : l'Entreprise doit mettre en œuvre, pour le personnel et tous les sous-traitants, entreprises ou agents qui ont accès aux Informations personnelles Seagate, des exigences de sécurité qui sont conçues pour :
    1. empêcher les personnes non autorisées d'accéder aux systèmes de traitement des Informations personnelles Seagate (contrôle d'accès physique) ;
    2. empêcher l'utilisation des systèmes de traitement des Informations personnelles Seagate sans autorisation (contrôle d'accès logique) ;
    3. s'assurer que les personnes autorisées à utiliser un système de traitement des Informations personnelles Seagate ne peuvent avoir accès à ces Informations que dans le cadre de leurs droits d'accès approuvés et que, pendant le traitement ou l'utilisation et après le stockage, les Informations personnelles Seagate ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation (contrôle d'accès aux données) ;
    4. s'assurer que les Informations personnelles Seagate ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation pendant leur transmission électronique, leur transport ou leur stockage, et que les entités cibles pour tout transfert d'Informations personnelles Seagate au moyen d'équipements de transmission de données peuvent être établies et vérifiées (contrôle du transfert des données) ;
    5. assurer l'établissement d'une piste de vérification pour préciser si et par qui les Informations personnelles Seagate ont été entrées, modifiées, transférées ou retirées du traitement qui leur est applicable (contrôle d'entrée) ;
    6. s'assurer que les Informations personnelles Seagate sont traitées uniquement sur la base des instructions fournies (contrôle des instructions) ;
    7. s'assurer que les Informations personnelles Seagate sont protégées contre la destruction ou la perte accidentelle (contrôle de disponibilité) ; et
    8. veiller à ce que les Informations personnelles Seagate collectées à d'autres fins puissent être traitées séparément (contrôle de la séparation).

    L'Entreprise s'engage à évaluer périodiquement les risques et à examiner et, le cas échéant, réviser ses pratiques en matière de sécurité de l'information au moins une fois par an ou chaque fois qu'il y aura un changement important dans les pratiques commerciales de l'Entreprise qui pourrait raisonnablement affecter la sécurité, la confidentialité ou l'intégrité des Informations personnelles Seagate, à condition que l'Entreprise ne modifie pas ses pratiques en la matière de manière à affaiblir ou compromettre la confidentialité, la disponibilité et l'intégrité de ces Informations.

  2. Sécurité physique : l'Entreprise doit maintenir des systèmes de sécurité commercialement raisonnables sur tous les sites dont elle dispose et où se trouve un système d'information qui utilise ou héberge des Informations personnelles Seagate. L'Entreprise restreint raisonnablement et de façon appropriée l'accès à ces Informations personnelles Seagate.
  3. Sécurité organisationnelle :
    1. lorsque des supports doivent être éliminés ou réutilisés, des procédures doivent être mises en œuvre pour empêcher toute récupération ultérieure des Informations personnelles Seagate qui y sont stockées avant leur retrait des stocks. Lorsque les supports doivent quitter le lieu où se trouvent les dossiers à la suite d'opérations de maintenance, des procédures doivent être mises en œuvre pour empêcher la récupération indue des Informations personnelles Seagate qui y sont stockées.
    2. L'Entreprise doit mettre en œuvre des politiques et des procédures de sécurité pour classer les Informations sensibles, clarifier les responsabilités en matière de sécurité et sensibiliser les employés.
    3. Tous les incidents concernant la sécurité des Informations personnelles Seagate doivent être gérés conformément aux procédures d'intervention prévues en cas d'incident.
    4. L'Entreprise doit chiffrer, à l'aide d'outils de chiffrement conformes aux normes de l'industrie, toutes les Informations sensibles en transit et au repos.
  4. Sécurité du réseau : l'Entreprise doit assurer la sécurité du réseau à l'aide d'équipements disponibles dans le commerce et de techniques conformes aux normes du secteur, y compris les pare-feu, les systèmes de détection et de prévention des intrusions, les listes de contrôle des accès et les protocoles de routage.
  5. Contrôle d'accès : l'Entreprise doit maintenir des contrôles d'accès appropriés, y compris, mais sans s'y limiter, restreindre l'accès aux Informations personnelles Seagate au nombre minimum de ses employés qui ont besoin d'un tel accès.
    1. Seul le personnel autorisé peut accorder, modifier ou révoquer l'accès à un système d'information qui utilise ou héberge des Informations personnelles Seagate. L'Entreprise doit tenir des registres d'accès appropriés, qui seront présentés à Seagate sur sa demande.
    2. Les procédures d'administration des utilisateurs doivent définir les rôles des utilisateurs et leurs privilèges, et la façon dont l'accès est accordé, modifié et résilié ; traiter de la séparation appropriée des tâches, et définir les exigences et les mécanismes d'enregistrement et de surveillance.
    3. Tous les employés de l'Entreprise doivent se voir attribuer des ID utilisateur uniques.
    4. Les droits d'accès doivent être mis en œuvre en respectant le principe du « moindre privilège ».
    5. L'Entreprise doit mettre en œuvre des mesures de sécurité physiques et électroniques commercialement raisonnables pour créer et protéger les mots de passe.
  6. Lutte contre les virus et les logiciels malveillants : l'Entreprise doit installer et conserver les tout derniers logiciels antivirus et de protection contre les logiciels malveillants sur le système, et mettre en place un programme de surveillance et de recherche des logiciels malveillants afin de protéger les Informations personnelles Seagate contre les menaces ou les dangers prévus, et de prévenir tout accès non autorisé à ces Informations ou leur utilisation.
  7. Personnel : avant de donner accès aux Informations personnelles Seagate aux membres de son personnel, l'Entreprise doit exiger d'eux qu'ils se conforment à son propre programme de sécurité de l'information. L'Entreprise doit mettre en œuvre un programme de sensibilisation à la sécurité afin de former le personnel à ses obligations en matière de sécurité. Ce programme comprendra une formation sur les obligations en matière de classification des données, les contrôles de sécurité physique, les pratiques de sécurité et la déclaration des incidents de sécurité. L'Entreprise définira des rôles et des responsabilités clairs pour ses employés. Une présélection sera mise en œuvre avant l'embauche, et les conditions d'emploi seront appliquées de façon appropriée. Les employés de l'Entreprise doivent suivre rigoureusement les politiques et procédures de sécurité établies. Un processus disciplinaire doit être appliqué si les employés violent les données.
  8. Continuité des activités : l'Entreprise met en œuvre des plans appropriés de sauvegarde, de reprise après sinistre et de reprise des activités. L'Entreprise examine régulièrement le plan de continuité des opérations et l'évaluation des risques. Les plans de continuité des opérations sont testés et mis à jour régulièrement pour s'assurer qu'ils sont à jour et efficaces.
  9. Responsable principal de la sécurité. La société doit informer Seagate du nom de son responsable principal de la sécurité désigné. Ce responsable sera chargé de gérer et de coordonner l'exécution des obligations de la société telles que définies dans son programme de sécurité de l'information et dans DPA de protection des données.
  10. Audit. Seagate se réserve le droit d'auditer les engagements de la Société tels qu'ils sont énoncés dans le présent document.  Annexe II, conformément àSection 5.3 (Audit) de ce DPA.
  11. Violation. S'il est établi que la Société a enfreint DPA de Protection des Données (APD), elle doit remédier à cette violation sans délai indu et, en tout état de cause, dans un délai de 30 jours calendaires. Toute violation avérée ou suspectée de la protection des données sera régie parSection 6 (Responsabilités de l'entreprise suite à une violation de données) de ce DPA.

Annexe III

EXIGENCES EN MATIÈRE DE PROTECTION DES DONNÉES POUR LES JURIDICTIONS SPÉCIFIQUES

 

Les exigences suivantes s'appliquent aux juridictions spécifiées :

 

  1. AUSTRALIE
    1. Applicabilité. Les dispositions de ceSection 1s'appliquent lorsque : (a) la Société reçoit ou accède à des informations personnelles Seagate d'une filiale de Seagate située en Australie ; ou (b) Seagate notifie à la Société que les informations personnelles Seagate sont soumises à ces exigences.
    2. Appartenance à une association professionnelle ou commerciale. Le terme « Information sensible » comprend également les informations personnelles concernant l’appartenance d’un individu à une association professionnelle ou commerciale.
    3. Principes australiens de protection de la vie privée. La Société doit se conformer à toutes les obligations applicables en vertu de la loi de 1988 sur la protection de la vie privée (Cth), y compris les « Principes australiens de protection de la vie privée », lorsqu'elle traite des renseignements personnels de Seagate ou fournit autrement les services conformément au présent DPA.
    4. Avis d'utilisation ou de divulgation à des fins d'application de la loi. Si la Société utilise ou divulgue des informations personnelles pour une ou plusieurs activités d'application de la loi menées par ou au nom d'un organisme d'application de la loi, la Société doit conserver un registre écrit de l'utilisation et de la divulgation et fournir rapidement une copie du registre à Seagate, sauf si la loi l'interdit.
    5. Identifiants liés au gouvernement australien. Lorsque les données personnelles incluent des identifiants liés au gouvernement australien, la société : (a) ne doit pas adopter l’identifiant lié au gouvernement australien d’une personne comme son propre identifiant de cette personne, sauf si Seagate le lui demande expressément ; et (b) ne doit pas utiliser ni divulguer l’identifiant lié au gouvernement australien, sauf si cela est raisonnablement nécessaire pour vérifier l’identité de la personne, ou si Seagate le lui demande.
    6. Collecte de renseignements personnels. Lorsque les instructions de Seagate à la Société exigent que celle-ci recueille des renseignements personnels pour le compte de Seagate, la Société doit : a) demander des instructions à Seagate concernant : (i) tout renseignement qui doit être fourni à la personne concernée dans le cadre de la collecte de ses renseignements personnels; et (ii) tout consentement requis à des fins de marketing direct; et b) ne pas recueillir de renseignements sensibles sans le consentement de la personne concernée.
    7. Accords conclus entre l'Entreprise et le gouvernement australien : si Seagate est un fournisseur de services sous contrat avec une entité du gouvernement australien au niveau fédéral, étatique ou du territoire, et dans la mesure où Seagate est tenu de se conformer à des obligations supplémentaires de protection des données en vertu d'un accord avec l'entité gouvernementale concernée, Seagate imposera des obligations équivalentes à l'Entreprise, comme requis par la législation australienne applicable. Seagate et l'Entreprise conviennent de conclure des accords supplémentaires, si nécessaire, pour refléter ces obligations.
  2. CHINE
    1. Applicabilité. Les dispositions de ceSection 2s'appliquent lorsque la Société reçoit ou accède à des informations personnelles Seagate provenant d'une filiale de Seagate située en Chine, ou lorsque Seagate notifie à la Société que les informations personnelles Seagate sont soumises à ces exigences.
    2. Rôles du PIPL. Conformément à la loi chinoise sur la protection des données personnelles, Seagate agira en tant que « Sous-traitant », déterminant les finalités et les modalités du traitement. La société sera le « Membre de la liste de contrôle » chargé de traiter les données personnelles pour le compte de Seagate, conformément aux exigences du présent accord et aux instructions de Seagate.
    3. Sous-traitants. Nonobstant ce qui précèdeSection 2.4 (Limitations du traitementConformément à la loi sur la protection des données (DPA), la Société ne fera appel à aucun sous-traitant pour traiter les informations personnelles de Seagate sans le consentement exprès de Seagate. Les conditions de ce consentement sont soumises à la DPA.Section 2.5 (Exigences de traitement). 
    4. Temps de Traitement limité : La société ne traitera les informations personnelles de Seagate que pendant la période nécessaire à la réalisation des finalités du traitement, sauf si les parties ont convenu d'une durée différente.
    5. Transferts restreints. La Société ne transférera aucune information personnelle de Seagate hors de Chine sans le consentement exprès de Seagate si ces informations sont stockées ou conservées en Chine. Seagate autorise par la présente la Société à transférer ces informations personnelles lorsque cela s'avère nécessaire, à condition que la Société ait pris toutes les mesures requises pour se conformer à la législation sur la protection des données afin d'assurer la protection de ces informations.
  3. INDE
    1. Applicabilité. Les dispositions de ceSection 3s'appliquent lorsque la loi sur les technologies de l'information de 2000 et le règlement sur les technologies de l'information (pratiques et procédures de sécurité raisonnables et données ou informations personnelles sensibles) de 2011 («Règles de confidentialité) telle que modifiée et remplacée de temps à autre s'applique au traitement par la Société des informations personnelles Seagate fournies par une filiale de Seagate en Inde, que le traitement ait lieu ou non en Inde.
    2. Section 1.12La DPA sera modifiée pour inclure les catégories de renseignements personnels spécifiées à la section 3 des règles de confidentialité.
  4. JAPON
    1. Applicabilité. Les dispositions de ceSection 4s'applique aux informations personnelles Seagate que la Société reçoit ou auxquelles elle accède auprès d'une filiale de Seagate située au Japon.
    2. Personnel de l'Entreprise : l'Entreprise est tenue de superviser son personnel pour s'assurer qu'elle respecte l'DPA.
    3. Mesures de gestion de l'emploi. La société doit protéger les renseignements personnels de Seagate relatifs à la gestion de l'emploi conformément aux « Lignes directrices sur la gestion de l'emploi » du ministère de la Santé, du Travail et des Affaires sociales.
    4. Informations personnelles apprises dans le cadre de l'emploi : l'Entreprise devra s'assurer que ses employés ne divulguent pas ni n'utilisent de façon inappropriée les Informations personnelles Seagate apprises dans le cadre de leur emploi.
    5. Consentement préalable au transfert ou à la divulgation : l'Entreprise s'engage à obtenir le consentement écrit préalable de Seagate avant de divulguer ou de transférer des numéros de sécurité sociale ou des numéros d'identification fiscale à un tiers (y compris une Société affiliée) qui n'est pas partie au présent Accord, y compris à des Sous-traitants indirects.
    6. Retour ou destruction après réalisation de la finalité : l'Entreprise s'engage à cesser de traiter et à retourner ou détruire les Informations personnelles Seagate en sa possession une fois qu'elle a réalisé la finalité pour laquelle les Informations personnelles ont été collectées.
    7. Finalités de sauvegarde : l'Entreprise s'engage à ne pas copier ni reproduire les Informations personnelles Seagate, excepté à des fins de sauvegarde.
  5. CORÉE DU SUD
    1. Applicabilité. Les dispositions de ceSection 5s'applique aux informations personnelles Seagate que la Société reçoit ou auxquelles elle accède auprès d'une filiale de Seagate située en Corée du Sud.
    2. Accès limité. La Société limitera l'accès aux Informations Personnelles au Personnel de la Société qui a raisonnablement besoin d'un tel accès aux fins du Traitement.
    3. Garanties nécessaires : l'Entreprise s'engage à établir et maintenir des garanties, notamment les garanties suivantes :
      1. procédures internes pour la gestion sécurisée des Informations personnelles ;
      2. garanties techniques telles que des pare-feu, des logiciels antivirus et anti-programme malveillant ;
      3. restrictions d'accès physiques, telles que les verrouillages ;
      4. mesures visant à prévenir l’altération ou la falsification des journaux d’accès ou des enregistrements de traitement ; et
      5. des mesures visant à stocker et à transmettre en toute sécurité des renseignements personnels, comme le chiffrement des renseignements personnels lorsque requis par la loi sur la protection des renseignements personnels (« PIPA »), le « Règlement d’application » de la PIPA, la loi sur la promotion de l’utilisation des réseaux d’information et de communication et la protection des renseignements (« PICNU »), le « Règlement d’application » de la PICNU, la loi sur l’utilisation et la protection des renseignements de crédit ou toute autre loi coréenne applicable.
    4. Chiffrement des données d'identification particulières : l'Entreprise s'engage à chiffrer les numéros d'enregistrement de résident, les numéros de permis de conduire et les numéros de passeport lorsque ceux-ci sont :
      1. transmis via un réseau informatique ou de communication ;
      2. stockés sur des supports ou des périphériques de stockage portables ;
      3. stockés sur un réseau informatique externe, ou dans une zone démilitarisée ou sur un ordinateur personnel ou appareil mobile ; ou
      4. stockés sur le réseau interne de l'Entreprise si le système de l'Entreprise ne remplit pas les critères de risque spécifiés par Seagate.
    5. Chiffrement du mot de passe et des données biométriques : l'Entreprise s'engage à chiffrer tous les mots de passe et toutes les données biométriques stockés sous toute forme.
    6. Information préalable à la Divulgation : avant de divulguer ou de transférer des Informations personnelles Seagate à un tiers, l'Entreprise devra en aviser Seagate dans un délai de préavis raisonnable. Sur demande de Seagate, l'Entreprise devra fournir les informations suivantes : (a) les activités de Traitement à sous-traiter ; (b) l'identité du tiers chargé du traitement des données et (c) toute modification apportée à (a) ou (b).
    7. Formation : l'Entreprise s'engage à participer aux formations que Seagate peut choisir de lui fournir pour se prémunir contre le vol, la fuite, la modification ou la détérioration des Informations personnelles Seagate au cours de leur Traitement.
  6. SINGAPOUR
    1. Applicabilité. Les dispositions de ceSection 6s'appliquent lorsque la loi singapourienne sur la protection des données personnelles de 2012 (n° 26 de 2012) s'applique au traitement par la société des informations personnelles de Seagate.
    2. Section 1.3 La de l'DPA est remplacée par la clause suivante :

      1.3 Le terme « Violation des données » désigne toute violation de la sécurité entraînant une destruction, une perte, une altération, une divulgation non autorisée, une consultation ou une acquisition accidentelle ou illégale d'Informations personnelles Seagate, y compris : (a) la consultation, la collecte, l'utilisation, la divulgation, la copie, la modification ou l'élimination non autorisée d'Informations personnelles Seagate ; ou (b) la perte de tout support ou dispositif de stockage sur lequel sont stockées des Informations personnelles Seagate dans des circonstances où la consultation, la collecte, l'utilisation, la divulgation, la copie, la modification ou l'élimination non autorisée desdites Informations est susceptible de se produire.

    3. Section 6.1(Notification de violation de la confidentialité des données) de la DPA sera remplacée par ce qui suit :

      6.1 Notification de la violation des données : lorsque l'Entreprise a des raisons de penser qu'une Violation des données s'est produite, l'Entreprise doit en informer Seagate par écrit dans les plus brefs délais, et s'engage à :

      1. enquêter sur ledit incident ou apporter son aide raisonnable dans cette démarche ;
      2. fournir à Seagate des renseignements détaillés sur la Violation de données, et lui fournir rapidement les autres renseignements pertinents lorsque ceux-ci sont disponibles ; et
      3. déployer des efforts commercialement raisonnables pour contenir la Violation des données, limiter ses conséquences ou assister Seagate dans cette démarche, aux frais de l'Entreprise.
  7. TAÏWAN
    1. Applicabilité. Les dispositions de ceSection 7s'applique aux informations personnelles Seagate que la Société reçoit ou auxquelles elle accède auprès d'une filiale de Seagate située à Taïwan.
    2. Sous-processeurs. Nonobstant ce qui précèdeSection 2.4(Limitations du traitement) de la DPA, la Société ne divulguera ni transférera les informations personnelles de Seagate à aucun sous-traitant et n’autorisera pas l’accès aux informations personnelles de Seagate à aucun sous-traitant sans le consentement écrit exprès de Seagate.
    3. Temps de Traitement limité : La société ne traitera les informations personnelles de Seagate que pendant la période nécessaire à la réalisation des finalités du traitement, sauf si les parties ont convenu d'une durée différente.
    4. Conservation des enregistrements des accès : l'Entreprise s'engage à conserver les enregistrements des accès pendant la durée nécessaire pour garantir leur examen périodique en vue de détecter les accès non autorisés.
  8. THAÏLANDE
    1. Applicabilité. Les dispositions de ceSection 8s'appliquent lorsque la loi thaïlandaise sur la protection des données personnelles, BE 2562 (2019) (« PDPA ») telle que modifiée et remplacée de temps à autre s'applique aux informations personnelles de Seagate que la société reçoit ou auxquelles elle accède d'une filiale de Seagate située en Thaïlande.
    2. L’article 1.3 de la DPA est remplacé par ce qui suit :

      1.3 Le terme « Violation des données » désigne une violation des mesures de sécurité engendrant la perte, la consultation, l'utilisation, la modification ou la divulgation de données à caractère personnel illégalement ou sans autorisation, résultant d'un acte intentionnel, intentionnel, négligent, accidentel, non autorisé ou illégal, ou d'un acte lié à des crimes informatiques, cybermenaces, erreurs ou accidents, ou tout autre acte, comme exigé par la notification émise en vertu de la loi PDPA.

    3. Section 1.12la loi sur la protection des données (DPA) sera modifiée pour inclure les catégories de données personnelles spécifiées à l'article 26 de la loi sur la protection des données personnelles (PDPA).
    4. Normes de sécurité. La société s'engage à déployer tous les efforts possibles et à prendre toutes les mesures raisonnables pour mettre en œuvre et maintenir des normes de sécurité qui, au minimum, seront conformes aux exigences deAnnexe II(Normes de sécurité) et conformément aux dispositions et exigences stipulées en vertu de la PDPA et de toutes autres règles, réglementations, notifications et/ou ordonnances émises en vertu de celle-ci, y compris, sans limitation, la « Notification du Comité de protection des données personnelles concernant : Mesures de sécurité du responsable du traitement des données BE 2565 (2022), telles que modifiées, complétées ou remplacées de temps à autre.  

L’accord relatif à la protection des données est applicable à compter du 1er juin 2025. Les versions précédentes sont disponibles ici :

 

Publié le 31 juillet 2025

Publié le 20 juin 2024

Publié le 8 décembre 2022

RAPPORT SUR LA DÉCARBONATION DES DONNÉES

Durabilité des centres de données à l'ère de l'intelligence artificielle
À propos de Seagate Notre histoire  Développement durable  Centre de confiance  Assurance qualité 
Support  Support produit  Téléchargement des logiciels Seagate  Téléchargement des logiciels LaCie  Enregistrement d'un produit Seagate  Enregistrement d'un produit LaCie  Garantie et remplacements  Systèmes Seagate  Nous contacter 
Actualités Salle de presse  Seagate Stories  Blog 
Investisseurs 
Partenaires  Partenaires et revendeurs indirects  Seagate Direct et fournisseurs  Programme Seagate Technology Alliance Program 
Postes  La vie chez Seagate  Philosophie de Seagate  Programmes avec les universités 
Où acheter  Recherche de produits 
Facebook logo LinkedIn logo YouTube logo X logo Instagram logo
©2026 Seagate Technology LLC Mentions légales Confidentialité Divulgation des failles EU-GPSR
Plan du site Portail de la marque Seagate