Skip to main content
Voir tous les produits
Calcul
Stockage
Mise en réseau
Databases
Services
Outils pour les développeurs
Industries
Tarification
Communauté
Engagez-vous avec nous

Version actuelle : 1.1
Linode EU Model Contract

Dernière mise à jour: 11 juin 2019

 

La version actuelle du contrat type de l'UE est disponible ici.

Accord de traitement des données Linode 

Le présent document est le modèle de contrat européen référencé et incorporé dans le contrat-cadre de services Linode, tel qu'amendé ou modifié de temps à autre par Linode. Le contrat type UE ne s'applique qu'aux clients de Linode (i) situés dans l'Union européenne (l'"UE") ou dans l'Espace économique européen (l'"EEE") ; (ii) qui sont autorisés à accéder, transférer ou transmettre des données dans l'UE ou l'EEE ; et (iii) qui ont accepté le contrat client et la politique de confidentialité de Linode, et n'est valable et effectif qu'à l'égard de ces derniers.

Clauses contractuelles types pour les sous-traitants

Aux fins de l'article 26, paragraphe 2, de la directive 95/46/CE, telle que modifiée par le règlement 2016/679, pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données :

Vous, le titulaire du compte, le représentant autorisé du client Linode (l'"exportateur de données")

ET

nous, Linode, LLC, dont l'adresse aux fins du présent contrat type de l'UE est la suivante : 249 Arch Street, Philadelphia, Pennsylvania 08090, États-Unis d'Amérique (l'"importateur de données")

Chacun est une"partie" et ensemble les"parties".

SONT CONVENUS des clauses contractuelles suivantes (les "clauses") afin de mettre en place des garanties adéquates en matière de protection de la vie privée et des libertés et droits fondamentaux des personnes physiques pour le transfert par l'exportateur de données à l'importateur de données des données à caractère personnel spécifiées à l'appendice 1.

Clause 1

Définitions

Aux fins des clauses :

  1. Les termes "données à caractère personnel", "catégories particulières de données", "traitement", "responsable du traitement", "sous-traitant", "personne concernée" et "autorité de contrôle" ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
  2. l'exportateur de données" : le responsable du traitement qui transfère les données à caractère personnel ;
  3. "l'importateur de données" : le sous-traitant qui accepte de recevoir de l'exportateur de données des données à caractère personnel destinées à être traitées pour son compte après le transfert conformément à ses instructions et aux termes des clauses et qui n'est pas soumis au système d'un pays tiers assurant une protection adéquate au sens de l'article 25, paragraphe 1, de la directive 95/46/CE, telle que modifiée par le règlement 2016/679 ;
  4. le sous-traitant" : tout sous-traitant engagé par l'importateur de données ou par tout autre sous-traitant de l'importateur de données qui accepte de recevoir de l'importateur de données ou de tout autre sous-traitant de l'importateur de données des données à caractère personnel exclusivement destinées à des activités de traitement à effectuer pour le compte de l'exportateur de données après le transfert conformément à ses instructions, aux clauses et aux conditions du contrat de sous-traitance écrit ;
  5. la législation applicable en matière de protection des données" : la législation protégeant les libertés et droits fondamentaux des personnes et, en particulier, leur droit à la vie privée en ce qui concerne le traitement des données à caractère personnel, applicable à un responsable du traitement des données dans l'État membre dans lequel l'exportateur de données est établi ;
  6. mesures de sécurité techniques et organisationnelles" : les mesures visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement implique la transmission de données par l'intermédiaire d'un réseau, et contre toute autre forme de traitement illicite.

Article 2

Détails du transfert

Les détails du transfert et, en particulier, les catégories spéciales de données à caractère personnel, le cas échéant, sont précisés à l'annexe 1, qui fait partie intégrante des clauses.

Article 3

Clause du tiers bénéficiaire

  1. La personne concernée peut opposer à l'exportateur de données la présente clause, la clause 4, points b) à i), la clause 5, points a) à e) et g) à j), la clause 6, points 1 et 2, la clause 7, la clause 8, point 2, et les clauses 9 à 12 en tant que tiers bénéficiaire.
  2. La personne concernée peut faire appliquer la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 à l'encontre de l'importateur de données dans les cas où l'exportateur de données a effectivement disparu ou a cessé d'exister en droit, à moins qu'une entité succédant à l'exportateur de données n'ait assumé l'ensemble des obligations juridiques de ce dernier par contrat ou par effet de la loi, reprenant ainsi les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire appliquer à l'encontre de cette entité.
  3. La personne concernée peut opposer au sous-traitant ultérieur la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, dans les cas où l'exportateur de données et l'importateur de données ont disparu dans les faits, ont cessé d'exister en droit ou sont devenus insolvables, à moins qu'une entité succédant à l'exportateur de données n'ait assumé l'ensemble des obligations légales de ce dernier par contrat ou par effet de la loi, en conséquence de quoi elle assume les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir auprès de cette entité. La responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des présentes clauses.
  4. Les parties ne s'opposent pas à ce qu'une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si le droit national le permet.

Article 4

Obligations de l'exportateur de données

L'exportateur de données accepte et garantit :

  1. que le traitement, y compris le transfert lui-même, des données à caractère personnel a été et continuera d'être effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l'État membre dans lequel l'exportateur de données est établi) et n'enfreint pas les dispositions pertinentes de cet État ;
  2. qu'il a donné instruction et qu'il donnera instruction à l'importateur de données, pendant toute la durée des services de traitement des données à caractère personnel, de traiter les données à caractère personnel transférées uniquement pour le compte de l'exportateur de données et conformément à la législation applicable en matière de protection des données et aux Clauses ;
  3. que l'importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 du présent contrat ;
  4. qu'après évaluation des exigences de la législation applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données sur un réseau, et contre toute autre forme de traitement illicite, et que ces mesures assurent un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger, compte tenu de l'état de l'art et du coût de leur mise en œuvre ;
  5. qu'il veillera au respect des mesures de sécurité ;
  6. que, si le transfert concerne des catégories particulières de données, la personne concernée a été informée ou sera informée avant le transfert, ou dès que possible après celui-ci, que ses données pourraient être transmises à un pays tiers n'assurant pas un niveau de protection adéquat au sens de la directive 95/46/CE ;
  7. de transmettre toute notification reçue de l'importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5, point b), et à la clause 8, paragraphe 3, à l'autorité de contrôle de la protection des données si l'exportateur de données décide de poursuivre le transfert ou de lever la suspension ;
  8. de mettre à la disposition des personnes concernées qui en font la demande une copie des clauses, à l'exception de l'annexe 2, et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de services de sous-traitance qui doit être conclu conformément aux clauses, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas elle peut retirer ces informations commerciales ;
  9. qu'en cas de sous-traitance, l'activité de traitement est effectuée conformément à la clause 11 par un sous-traitant qui assure au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l'importateur de données en vertu des clauses ; et
  10. qu'il veillera au respect de la clause 4, points a) à i).

Article 5

Obligations de l'importateur de données

L'importateur de données accepte et garantit :

  1. à ne traiter les données à caractère personnel que pour le compte de l'exportateur de données et conformément à ses instructions et aux clauses ; s'il n'est pas en mesure de le faire pour quelque raison que ce soit, il s'engage à informer rapidement l'exportateur de données de son incapacité à se conformer, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;
  2. qu'il n'a aucune raison de croire que la législation qui lui est applicable l'empêche de respecter les instructions reçues de l'exportateur de données et ses obligations en vertu du contrat et qu'en cas de modification de cette législation susceptible d'avoir un effet négatif important sur les garanties et obligations prévues par les clauses, il notifiera rapidement la modification à l'exportateur de données dès qu'il en aura connaissance, auquel cas l'exportateur de données a le droit de suspendre le transfert de données et/ou de résilier le contrat ;
  3. qu'il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 avant de traiter les données à caractère personnel transférées ;
  4. qu'il notifiera rapidement à l'exportateur de données :
    1. toute demande juridiquement contraignante de divulgation des données à caractère personnel par une autorité chargée de l'application de la loi, sauf interdiction contraire, telle qu'une interdiction en vertu du droit pénal visant à préserver la confidentialité d'une enquête des autorités chargées de l'application de la loi,
    2. tout accès accidentel ou non autorisé, et
    3. toute demande reçue directement des personnes concernées sans répondre à cette demande, à moins qu'il n'ait été autrement autorisé à le faire ;
  5. de traiter rapidement et correctement toutes les demandes de l'exportateur de données concernant son traitement des données à caractère personnel faisant l'objet du transfert et de se conformer à l'avis de l'autorité de contrôle en ce qui concerne le traitement des données transférées ;
  6. à la demande de l'exportateur de données, soumettre ses installations de traitement des données à un audit des activités de traitement couvertes par les clauses, qui sera effectué par l'exportateur de données ou par un organisme de contrôle composé de membres indépendants et possédant les qualifications professionnelles requises, soumis à un devoir de confidentialité, sélectionné par l'exportateur de données, le cas échéant, en accord avec l'autorité de contrôle ;
  7. de mettre à la disposition de la personne concernée qui en fait la demande une copie des clauses ou de tout contrat de sous-traitance existant, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales, à l'exception de l'annexe 2 qui est remplacée par une description sommaire des mesures de sécurité dans les cas où la personne concernée n'est pas en mesure d'en obtenir une copie auprès de l'exportateur de données ;
  8. qu'en cas de sous-traitance, il a préalablement informé l'exportateur de données et obtenu son consentement écrit ;
  9. que les services de traitement par le sous-traitant ultérieur seront effectués conformément à la clause 11 ;
  10. d'envoyer rapidement à l'exportateur de données une copie de tout accord de sous-traitance qu'il conclut en vertu des présentes clauses.

Article 6

Responsabilité

  1. Les parties conviennent que toute personne concernée ayant subi un préjudice du fait d'un manquement aux obligations visées à la clause 3 ou à la clause 11 par une partie ou un sous-traitant ultérieur a le droit d'être indemnisée par l'exportateur de données pour le préjudice subi.
  2. Si une personne concernée n'est pas en mesure d'introduire une demande d'indemnisation conformément au paragraphe 1 à l'encontre de l'exportateur de données, en raison d'un manquement de l'importateur de données ou de son sous-traitant ultérieur à l'une des obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur de données a disparu dans les faits, a cessé d'exister en droit ou est devenu insolvable, l'importateur de données accepte que la personne concernée puisse intenter une action contre l'importateur de données comme s'il était l'exportateur de données, à moins qu'une entité succédant à l'exportateur de données n'ait assumé l'ensemble des obligations légales de ce dernier par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits auprès de cette entité. L'importateur de données ne peut se prévaloir d'un manquement d'un sous-traitant ultérieur à ses obligations pour se soustraire à ses propres responsabilités.
  3. Si une personne concernée n'est pas en mesure d'introduire une réclamation contre l'exportateur de données ou l'importateur de données visés aux paragraphes 1 et 2, en raison d'un manquement du sous-traitant ultérieur à l'une de ses obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur de données et l'importateur de données ont disparu dans les faits, ont cessé d'exister en droit ou sont devenus insolvables, le sous-traitant ultérieur accepte que la personne concernée puisse introduire une réclamation contre le sous-traitant ultérieur en ce qui concerne ses propres opérations de traitement en vertu des clauses, comme s'il s'agissait de l'exportateur ou de l'importateur de données, à moins qu'une entité succédant à l'exportateur ou à l'importateur de données n'ait assumé l'ensemble des obligations légales de ce dernier par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits auprès de cette entité. La responsabilité du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des clauses.

Article 7

Médiation et compétence

  1. L'importateur de données convient que si la personne concernée invoque à son encontre les droits de tiers bénéficiaires et/ou demande des dommages-intérêts en vertu des clauses, l'importateur de données acceptera la décision de la personne concernée :
    1. de soumettre le litige à la médiation d'une personne indépendante ou, le cas échéant, de l'autorité de contrôle ;
    2. de porter le litige devant les tribunaux de l'État membre dans lequel l'exportateur de données est établi.
  2. Les parties conviennent que le choix effectué par la personne concernée ne porte pas atteinte à ses droits substantiels ou procéduraux de demander réparation conformément à d'autres dispositions du droit national ou international.

Article 8

Coopération avec les autorités de contrôle

  1. L'exportateur de données s'engage à déposer une copie du présent contrat auprès de l'autorité de contrôle si celle-ci en fait la demande ou si ce dépôt est requis en vertu de la loi applicable en matière de protection des données.
  2. Les parties conviennent que l'autorité de contrôle a le droit de procéder à un audit de l'importateur de données et de tout sous-traitant ultérieur, qui a la même portée et est soumis aux mêmes conditions que celles qui s'appliqueraient à un audit de l'exportateur de données en vertu de la législation applicable en matière de protection des données.
  3. L'importateur de données informe sans délai l'exportateur de données de l'existence d'une législation qui lui est applicable ou qui est applicable à tout sous-traitant ultérieur et qui empêche la réalisation d'un audit de l'importateur de données ou de tout sous-traitant ultérieur conformément au paragraphe 2. Dans ce cas, l'exportateur de données est autorisé à prendre les mesures prévues à la clause 5, point b).

Article 9

Droit applicable

Les clauses sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi.

Article 10

Modification du contrat

Les parties s'engagent à ne pas varier ou modifier les clauses. Cela n'empêche pas les parties d'ajouter, le cas échéant, des clauses sur des questions d'ordre commercial, pour autant qu'elles ne contredisent pas la clause.

Article 11

Sous-transformation

  1. L'importateur de données ne peut sous-traiter aucune des opérations de traitement effectuées pour le compte de l'exportateur de données en vertu des présentes clauses sans l'accord écrit préalable de l'exportateur de données. Lorsque l'importateur de données sous-traite ses obligations au titre des clauses, avec le consentement de l'exportateur de données, il ne le fait que par le biais d'un accord écrit avec le sous-traitant ultérieur qui impose au sous-traitant ultérieur les mêmes obligations que celles imposées à l'importateur de données au titre des clauses. Si le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données en vertu d'un tel accord écrit, l'importateur de données reste pleinement responsable vis-à-vis de l'exportateur de données de l'exécution des obligations du sous-traitant ultérieur en vertu de cet accord.
  2. Le contrat écrit préalable entre l'importateur de données et le sous-traitant ultérieur prévoit également une clause de tiers bénéficiaire telle que prévue à la clause 3 pour les cas où la personne concernée n'est pas en mesure d'introduire la demande d'indemnisation visée au paragraphe 1 de la clause 6 à l'encontre de l'exportateur de données ou de l'importateur de données parce qu'ils ont disparu dans les faits ou ont cessé d'exister en droit ou sont devenus insolvables et qu'aucune entité succédant à l'exportateur de données ou à l'importateur de données n'a assumé l'intégralité des obligations juridiques de ce dernier par contrat ou par effet de la loi. La responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des présentes clauses.
  3. Les dispositions relatives aux aspects de la protection des données pour le traitement secondaire du contrat visé au paragraphe 1 sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi.
  4. L'exportateur de données tient une liste des accords de sous-traitance conclus en vertu des présentes clauses et notifiés par l'importateur de données conformément à la clause 5, point j), qui est mise à jour au moins une fois par an. Cette liste est mise à la disposition de l'autorité de contrôle de la protection des données de l'exportateur de données.

Article 12

Obligation après la cessation des services de traitement des données à caractère personnel

  1. Les parties conviennent qu'à la fin de la fourniture des services de traitement des données, l'importateur de données et le sous-traitant ultérieur doivent, au choix de l'exportateur de données, restituer toutes les données à caractère personnel transférées et leurs copies à l'exportateur de données ou détruire toutes les données à caractère personnel et certifier à l'exportateur de données qu'ils l'ont fait, à moins que la législation imposée à l'importateur de données ne l'empêche de restituer ou de détruire la totalité ou une partie des données à caractère personnel transférées. Dans ce cas, l'importateur de données garantit qu'il assurera la confidentialité des données à caractère personnel transférées et qu'il ne traitera plus activement les données à caractère personnel transférées.
  2. L'importateur de données et le sous-traitant ultérieur garantissent que, à la demande de l'exportateur de données et/ou de l'autorité de contrôle, ils soumettront leurs installations de traitement des données à un audit des mesures visées au paragraphe 1.

Ces clauses ont été revues et acceptées par le titulaire du compte au nom de l'exportateur de données, sans réserve, à la date indiquée par l'acceptation du titulaire du compte dans le portail client et acceptées par le responsable de la protection des données de Linode, au nom de l'importateur de données, à la même date.

Annexe 1 au contrat-type de l'UE

Ces clauses ont été revues et acceptées par le titulaire du compte au nom de l'exportateur de données, sans réserve, à la date indiquée par l'acceptation du titulaire du compte dans le portail client et acceptées par le responsable de la protection des données de Linode, au nom de l'importateur de données, à la même date.

  1. Date d'entrée en vigueur. Le présent contrat-type de l'UE et toutes ses annexes, tels qu'amendés ou modifiés de temps à autre comme l'exige ou l'autorise la loi, entrent en vigueur et sont valables à la date d'entrée en vigueur de l'accord sur le traitement des données et l'accord avec le client.
  2. Sous-traitants. L'exportateur de données accepte et reconnaît que l'importateur de données, à la seule et entière discrétion de l'importateur de données, peut engager des personnes ou des entités pour fournir des services limités au nom de l'importateur de données (les "Sous-traitants"). Tous les sous-traitants sont autorisés à accéder aux données du client, à les conserver et/ou à les transmettre, au sens de l'accord sur le traitement des données et l'accord avec le client, à toutes les fins autorisées par l'accord sur le traitement des données et l'accord avec le client.
  3. Exportateur de données. L'exportateur de données est la partie non Linode du contrat de traitement des données et du contrat client auquel le présent contrat type de l'UE est annexé. L'exportateur de données est un utilisateur des services Linode tel que défini dans le contrat de traitement des données et le contrat client.
  4. Importateur de données. L'importateur de données est Linode, LLC, un fournisseur mondial de services de données.
  5. Personnes concernées. Les personnes concernées comprennent toutes les parties autorisées par l'importateur ou l'exportateur de données à accéder aux données de l'exportateur de données, à les conserver et/ou à les transmettre, y compris, sans s'y limiter, les représentants de l'exportateur de données, les utilisateurs finaux, les employés, les contractants, les affiliés, les associés, les agents et toutes les autres parties décrites dans l'accord sur le traitement des données et l'accord avec le client.
  6. Catégories de données. Les données personnelles transférées comprennent toutes les données du client, telles que ce terme est défini dans le contrat de traitement des données et le contrat du client, auxquelles l'exportateur de données a accès, qui sont conservées et/ou transmises par l'exportateur de données ou par les personnes concernées autorisées par l'exportateur de données en ce qui concerne les services Linode.
  7. Opérations de traitement. Les données à caractère personnel transférées seront soumises aux capacités de traitement et aux politiques établies par l'accord sur le traitement des données et l'accord avec le client.

Annexe 2 au contrat-type de l'UE

Ces clauses ont été revues et acceptées par le titulaire du compte au nom de l'exportateur de données, sans réserve, à la date indiquée par l'acceptation du titulaire du compte dans le portail client et acceptées par le responsable de la protection des données de Linode, au nom de l'importateur de données, à la même date.

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données conformément à la clause 4, point d), et à la clause 5, point c) (ou document/législation joint) :

    1. 1. Contrôles généraux. Comme cela est mieux décrit dans l'Accord sur le traitement des données et l'Accord sur les clients, l'importateur de données maintiendra des politiques de sécurité administrative, physique et technique raisonnablement appropriées pour atténuer le risque d'accès, de transmission ou de divulgation non autorisés des Données relatives aux clients, comme ce terme est défini dans l'Accord sur le traitement des données et l'Accord sur les clients. Le responsable de la protection des données de l'importateur de données peut être joint à l'adresse suivante :

Linode, LLC
À l'attention de James Ackley, Responsable de la protection des données
249 Arch Street
Philadelphie, Pennsylvanie 19106

2. Personnel. Comme décrit plus en détail dans l'accord sur le traitement des données et l'accord avec le client, le personnel de l'importateur de données ne traitera pas de données à caractère personnel sans l'autorisation de l'exportateur de données. L'importateur de données prendra des mesures raisonnablement appropriées pour préserver la confidentialité des données à caractère personnel pendant la période légalement prescrite après la résiliation du présent accord.

Le délégué à la protection des données de l'importateur de données peut être contacté par l'exportateur de données par courrier électronique à l'adresse privacy@linode.com (ou par tout autre moyen fourni par l'importateur de données).