Annexe 1

Partage de données, transferts de données et données partagées

1 Partage de données

1.1 Les deux parties reconnaissent que chaque partie déterminera uniquement la base juridique et les conditions pour lesquelles elle traite les données personnelles partagées en vertu du présent Contrat (les « Données partagées ») comme indiqué dans leur Déclaration de confidentialité respective, ou toute autre notification requise en vertu des Lois applicables en matière de protection des données, modifiées de temps à autre.

1.2 La Déclaration de confidentialité de ComponentSource peut être consultée ici.

1.3 Chaque partie et son personnel, ses collaborateurs, ses agents ou ses consultants (« Personnel ») se conformera à ses obligations respectives en vertu des Lois applicables sur la protection des données, en ce qui concerne son traitement des Données partagées, et traitera ces dernières conformément à sa Déclaration de confidentialité.

1.4 Vous devrez vous assurez que vous disposez d’une base juridique pour le traitement des Données partagées conforme aux Lois applicables en matière de protection des données, et que vous ne fournissez aucune donnée partagée à ComponentSource associée une personne concernée, à qui une copie de la Déclaration de confidentialité n’a pas été fournie au moment où les Données partagées ont été collectées ;

1.5 Chaque partie devra :

1.5.1 fournir rapidement les informations, l'assistance et/ou l'accès que l'autre partie peut raisonnablement exiger pour répondre à toute demande d'une personne concernée et pour assurer le respect de ses obligations en vertu des Lois applicables en matière de protection des données liées à la sécurité, les notifications de violation, l'audit, les évaluations d'impact et les consultations avec les autorités de surveillance et/ou les régulateurs ;

1.5.2 s’assurer que les Données partagées sont exactes et complètes ;

1.5.3 dans un délai de deux (2) jours ouvrables, informer l’autre partie par écrit : (i) si elle n’a rempli aucune de ses obligations en vertu de la clause 1 de la présente annexe ; (ii) si elle découvre que l’une des Données partagées est inexacte ou incomplète ; (iii) avec les informations relatives à toute demande de la personne concernée résultant de l’exercice de l’un de ses droits en vertu des lois applicables en matière de protection des données. En aucun cas, vous ne répondrez directement à une telle demande ou correspondance sans le consentement écrit préalable de ComponentSource, sauf si les lois applicables en matière de protection des données l’exigent ou si elles ne sont pas liées aux opérations de traitement de ComponentSource ; et (iv) de toute violation de données personnelles suspectée, potentielle, réelle ou menacée, impliquant des Données partagées qu’elle-même, ou un tiers en son nom, traite ; et

1.5.4 indemniser l'autre partie contre toutes les responsabilités découlant de ou en relation avec toute violation de cet Avenant, y compris tous les montants payés ou payables par la partie indemnisée à un tiers (son Personnel inclus) qui n'auraient pas été payés ou payables si ladite violation n'avait pas eu lieu. Pour éviter toute ambiguïté, les parties conviennent que toute limitation ou exclusion de responsabilité énoncée dans le présent Contrat ne s’appliquera pas à leurs obligations d’indemnisation ou de remboursement en vertu du présent Avenant.

1.6 Vous devrez :

1.6.1 conclure rapidement avec ComponentSource, à sa demande écrite, tout autre accord et/ou toute garantie appropriée requise en vertu des lois applicables en matière de protection des données pour le transfert à l'échelle mondiale des Données partagées, telles que les clauses contractuelles types sous la forme émise par la Commission européenne ou autre organisme compétent en vertu des lois applicables en matière de protection des données ;

1.6.2 veiller à ce que, pour toutes les Données partagées reçues de personnes concernées dans des juridictions différentes de la vôtre, des garanties de transfert appropriées à l'échelle mondiale soient mises en place conformément aux Lois applicables en matière de protection des données ;

2 TRANSFERTS DE DONNÉES À L'ÉCHELLE MONDIALE

Transferts depuis l'EEE vers des pays hors de l'EEE

2.1 Lorsque des Données partagées provenant de l’EEE sont transférées vers un territoire en dehors de l’EEE (Royaume-Uni inclus) qui n’a pas été désigné comme Territoire adéquat, le module pertinent des CCT de l’UE sera réputé s’appliquer à ce transfert conformément aux exigences énoncées dans la présente clause 2 et en complément des conditions du présent Contrat comme suit :

2.1.1 chaque partie sera réputée avoir adhéré au Module 1 des CCT de l’UE en son nom propre et pour son propre compte en ce qui concerne les Données partagées divulguées ;

2.1.2 les dispositions de l’Avenant 1 (Fins permises) seront réputées figurer à l’Annexe I du module 1 des CCT de l’UE;

2.1.3 les dispositions de l’Avenant 2 (Mesures de sécurité) seront réputées figurer à l’Annexe II du module 1 des clauses types;

2.1.4 L’article 7 (clause d’adhésion) ne sera pas sélectionné;

2.1.5 l’élément facultatif de la clause 11a) (recours) sera désélectionné.

2.1.6 la clause facultative 13a) (surveillance) suivante sera sélectionnée :

2.1.6.1 L’Irlande, en tant qu’autorité de contrôle chargée de veiller au respect par l’exportateur de données du règlement (UE) 2016/679 en ce qui concerne le transfert de données, comme indiqué dans l’Annexe I.C, agira en tant qu’autorité de contrôle compétente.

2.1.7 l’option [1] de la Clause 17 (Droit applicable) sera sélectionnée et la loi applicable suivante s’appliquera :

2.1.7.1 Les présentes clauses seront régies par le droit de l’un des États membres de l’UE, à condition que ce droit permette des droits de tiers bénéficiaires. Les parties conviennent que ce sera la loi irlandaise.

2.1.8 Le tribunal et la juridiction suivants seront choisis à l’article 18(b) (Choix du tribunal et de la juridiction) :

2.1.8.1 Les parties conviennent qu’il s’agira des tribunaux irlandais (préciser l’État membre).

2.1.9 L’Importateur de données ne divulguera pas de données personnelles à un tiers situé en dehors de l’EEE, dans le même pays que l’Importateur de données ou dans un autre pays tiers (un « Transfert ultérieur »), à moins que le tiers ne soit ou accepte d’être lié par les CCT de l’UE, dans le cadre du module approprié. Dans le cas contraire, un Transfert ultérieur par l’Importateur de données ne peut avoir lieu que si le tiers assure par ailleurs des garanties appropriées, conformément aux articles 46 ou 47 du RGPD de l’UE en matière de traitement ;

2.1.10 En cas d’omission ou de conflit entre le présent Contrat et le module applicable des CCT de l’UE, les dispositions du module applicable prévaudront.

Transferts du Royaume-Uni vers les pays hors de l'EEE

2.2 Lorsque des Données partagées provenant du Royaume-Uni sont transférées vers un territoire en dehors du Royaume-Uni qui n’a pas été désigné comme Territoire adéquat, les CCT de l’UE, comme précisé dans la clause 2 ci-dessus, et l’addendum sur le transfert à l'échelle mondiale de données du Royaume-Uni aux CCT de l’UE (Addendum du CCT du Royaume-Uni) seront réputés s’appliquer au transfert en complément des conditions du présent Contrat et en plus de ce qui suit :

2.2.1 chaque partie sera réputée avoir conclu les CCT de l’UE et l’addendum du CCT du Royaume-Uni en son propre nom et pour son propre compte en ce qui concerne les Données partagées divulguées ;

2.2.2 La description du transfert et les mesures techniques et organisationnelles figurent à l’Avenant 1 et à l'Avenant 2 de la présente Annexe ;

2.2.3 les dispositions de l’Avenant 2 (Mesures de sécurité) seront réputées figurer à l’Appendice 2 des anciennes clauses types ; et

2.2.4 En cas de conflit entre le présent Contrat et les CCT de l’UE et l’addendum du CCT du Royaume-Uni, ce dernier prévaudra.

Transferts hors de l'EEE

2.3 Lorsqu’un Importateur de données traite des Données partagées provenant d’un territoire non membre de l’EEE (le « Territoire exportateur ») et que le traitement a lieu dans un territoire différent du Territoire exportateur (le « Territoire importateur »), l’Importateur de données traitera les Données partagées selon une norme conforme à la ou aux lois applicables en matière de protection de la vie privée du Territoire exportateur. En particulier, l’Exportateur de données informera l’Importateur de données de toute norme qui pourrait lui être exigée par la ou les Lois applicables en matière de protection de la vie privée, et coopérera pleinement avec l’Importateur de données pour s’assurer que son traitement des Données partagées est conforme à ces normes.

2.4 En tout état de cause, si une ou plusieurs Lois applicables en matière de protection de la vie privée entrent en conflit avec les dispositions du présent Contrat, alors, dans la mesure où il y a conflit :

2.4.1 lorsque la norme de protection des données requise par la ou les Lois applicables en matière de protection de la vie privée dépasse la norme requise par le présent Contrat, l’Importateur de données traitera les Données partagées selon une norme conforme à la ou aux Lois applicables en matière de protection de la vie privée ; et

2.4.2 lorsque la norme de protection des données requise par le présent Contrat dépasse la norme requise par la ou les Lois applicables en matière de protection de la vie privée, l’Importateur de données traitera les Données partagées selon une norme conforme au présent Contrat.

Avenant 1

La Fin permise est telle que définie ci-dessus.

Traitement - Données partagées

Personnes concernées

Les données personnelles transférées concernent les catégories suivantes de Personnes concernées passées, présentes et futures :

  • Salariés
  • Utilisateurs finaux
  • Éditeurs
  • Revendeurs

Catégories de données

Les données personnelles transférées concernent les catégories suivantes de données :

  • Données personnelles : nom et coordonnées
  • Informations relatives au paiement : mode de paiement et informations ; l’historique des paiements et la correspondance.
  • Informations relatives au profil : informations de compte collectées auprès de ou à propos de la personne concernée dans le cadre des services
  • Données de l’appareil : adresses IP, données de cookies, identifiants d’appareils et informations similaires relatives à l’appareil.
  • Informations d’utilisation et d’analyse : données statistiques et analytiques recueillies via l’utilisation du service par le client.
  • Données de l’enquête : informations démographiques et retours envoyés volontairement par la personne concernée dans les enquêtes (données sur la race et l’origine ethnique incluses).
  • Données de correspondance : correspondance et autres communications (notamment les données de communication téléphonique enregistrées légalement) avec la personne concernée dans le but de fournir une assistance client.
  • Préférences marketing : abonnements à la newsletter et autres préférences en rapport avec le marketing ou la publicité.
  • Autres catégories de données personnelles que les Exportateurs de données sont autorisés à transférer aux Importateurs de données.

Destinataires Les données personnelles transférées ne peuvent être divulguées qu’aux destinataires ou catégories de destinataires suivants :

  • Entreprises du même groupe que l'Importateur de données : si nécessaire aux fins décrites dans les présentes clauses et sous réserve des protections qui y sont énoncées.
  • Personnel de l’Importateur de données : les salariés, gestionnaires et directeurs dûment autorisés de l'Importateur de données, notamment ceux chargés des ventes, du marketing, de l'assistance à la clientèle et de l'informatique, auront accès aux données personnelles selon le principe du besoin d'en connaître, dans le cadre de l'exécution de leurs fonctions et strictement aux fins décrites ci-dessus.
  • Fournisseurs de services tiers : comptables, auditeurs, avocats et autres conseillers professionnels externes ; fournisseurs de services de centres d'appels ; fournisseurs de systèmes informatiques, d'assistance et de services d'hébergement ; sociétés de traitement des transactions par carte de crédit ; fournisseurs de services de publicité, de marketing et d'études et d'analyses de marché ; banques et institutions financières ; fournisseurs de gestion de documents et de dossiers ; et fournisseurs tiers similaires et fournisseurs de services externalisés aidant l'Importateur de données à mener ses activités commerciales.
  • Organismes publics et autorités policières : le personnel dûment autorisé des organismes publics et des autorités policières qui demande ou exige la communication d’informations de la part de l’Importateur de données conformément à la loi en vigueur.

Avenant 2

Mesures de sécurité

Mesures de sécurité techniques et organisationnelles

ComponentSource utilise plusieurs mesures et procédures de sécurité pour protéger les données personnelles. Elles incluent, sans s’y limiter :

  1. Salariés désignés responsables de la mise en œuvre des procédures de sécurité de ComponentSource.
  2. Maintien des politiques de protection, de conservation et de sécurité des données, revues régulièrement et au minimum une fois par an.
  3. Contrôles de sécurité des données et des réseaux,notamment l’accès restreint et le déploiement de technologies de chiffrement commerciales conformes aux normes de l’industrie.
  4. Contrôles de mot de passe pour s’assurer que des mots de passe forts et uniques sont utilisés et changés régulièrement.
  5. Contrôles d’accès qui limitent l'accès électronique aux données personnelles et aux fonctionnalités du système en fonction des responsabilités professionnelles et du niveau de gestion, avec révocation de l'accès aux employés qui quittent l'entreprise.
  6. Authentification multifacteur et utilisation d’un réseau privé virtuel pour tout accès à distance aux systèmes ou aux données personnelles.
  7. Utilisation de pare-feu et de logiciels de sécurité pour détecter, filtrer et repousser les attaques, en complément du déploiement de logiciels de chiffrement en relation avec la transmission de données personnelles.
  8. Journalisation des événements et procédures de surveillance connexes pour enregistrer de manière proactive l’activité du système et l’accès des utilisateurs à des fins d’enquête et d’examen de routine.
  9. Sécurité à la fois physique et environnementale de la salle des serveurs et d’autres zones contenant des données personnelles, afin d’empêcher tout accès non autorisé et de protéger les données personnelles de nombreux dangers tels que les incendies ou les dégâts des eaux.
  10. Pratiques et contrôles opérationnels pour la configuration, la surveillance et la maintenance des technologies et des systèmes d’information conformément aux normes de l’industrie, avec notamment la mise au rebut sécurisée des systèmes et des supports, de sorte que toutes les données personnelles soient indéchiffrables ou irrécupérables avant la libération définitive de la possession de ComponentSource.
  11. Contrôles de sécurité réseau, incluant les pare-feu d’entreprise et les systèmes de détection d’intrusion afin de protéger les systèmes contre les intrusions et de limiter la portée des attaques réussies.
  12. Évaluation régulière de la vulnérabilité, gestion des correctifs et autres procédures de surveillance pour faciliter la détection et le blocage ou l'atténuation des menaces de sécurité, des virus et autres codes malveillants identifiés.
  13. Procédures de continuité des activités conçues pour maintenir les prestations de services et la sécurité des données personnelles en cas de situations d'urgence ou de catastrophes.

Informations utiles supplémentaires (limites de stockage et autres informations pertinentes)

Les données personnelles ne seront pas conservées plus longtemps que nécessaire aux fins décrites ci-dessus, à moins que des exigences juridiques applicables ne l'imposent. En tout état de cause, les données personnelles ne seront jamais conservées plus longtemps que ce qui est autorisé par la loi en vigueur.

Contacts pour les demandes générales ou liées aux données :
dpm@componentsource.com OU, si urgent,
ComponentSource par téléphone : (770) 250 6105 ou +44 1189 822108

CSWWEULA 10/2025