Dernière version: LDPA vMar22 Nexthink 110.5

Nexthink France SASU, dont le siège social est situé au 62 rue de Caumartin, 75009 Paris, France ("Nexthink"), et le client utilisateur des licences (« Client ») concluent le présent addenda de Traitement des données dans le cloud (« ATD »), qui prend effet à la date de signature de Nexthink ci-dessous (la "Date d’Entrée en Vigueur"). Chacune des Parties peut être désignée dans les présentes comme une "Partie" et collectivement comme les "Parties"

ATTENDU QUE les Parties (ou leurs affiliés respectifs) ont conclu un Contrat cadre de services ou un Contrat similaire (le "Contrat"), pour la fourniture des services Nexthink Cloud (les "Services") ;

ATTENDU QUE dans le cadre de ces services, Nexthink et ses Affiliés traiteront certaines Données Personnelles pour le compte du Client ;

PAR CONSÉQUENT, les Parties conviennent de conclure les termes de ce ATD, dans le cadre de, et sans alléger, supprimer ou remplacer, les obligations ou les droits d'une Partie en vertu des Lois sur la Protection des Données.

1. Définitions

"Annexe de Traitement de Données Nexthink" désigne l’Annexe de Traitement de Données qui se trouve sur le

Site Nexthink, telle que modifiée de temps à autre et dont la version la plus récente est annexée aux présentes ; "Clauses Contractuelles Types" signifie les Clauses Contractuelles Types pour le transfert international approuvées par la Commission européenne.

"Lois sur la Protection des Données" signifie les lois, règles et règlements pertinents en matière de protection des données et de confidentialité des données auxquels le Traitement des Données Personnelles par Nexthink dans le cadre des Services (pour le Client) est soumis, spécifiquement la Loi suisse sur la protection des données (2020), et le RGPD ;

"RGPD" désigne le Règlement général sur la protection des données de l'UE 2016/679, y compris tel qu'il est intégré dans la législation britannique ;

"Site Nexthink" signifie le site public et/ou le Trust Center et/ou le site communautaire de Nexthink ;

Les termes suivants ont la signification qui leur est donnée dans la RGPD, et les termes cognitifs sont construits en conséquence : "Contrôleur de Données", " Personne Concernée ", " Données Personnelles ", " Violation de Données Personnelles ", " Processeur ", " Traitement " et " Autorité de Contrôle ". Les termes en majuscules, non définis dans les présentes, ont la signification qui leur est attribuée dans l'Accord.

2. Relation entre les Parties et nature du Traitement

(i) Lorsque Nexthink, y compris ses Affiliés, traite des Données Personnelles pour le compte du Client dans le cadre de l'exécution de ses obligations au titre du Contrat, le Client est le Contrôleur et Nexthink est le Responsable du Traitement aux fins des Lois sur la Protection des Données.

(ii) L'annexe de Traitement des données de Nexthink énonce l'objet convenu du Traitement, la nature et la finalité du Traitement, la durée du Traitement, les types de Données Personnelles et les catégories de personnes concernées, ainsi que tout sous-traitant direct, mémorisant les instructions requises par la Section 4.

(iii) Sans préjudice de la généralité de la présente Section 2, le Client s'assurera qu'il dispose de tous les consentements et avis appropriés nécessaires pour permettre le Traitement licite et autorisé des Données Personnelles par Nexthink, pour la durée et les objectifs du Contrat afin que Nexthink puisse légalement et avec une autorisation suffisante Traiter les Données Personnelles conformément au Contrat pour le compte du Client.

3. Sécurité

(i) Chaque Partie doit s'assurer qu'elle a mis en place des mesures techniques et organisationnelles appropriées, pour se protéger contre une Violation de Données Personnelles, adaptées au préjudice qui pourrait résulter d'une telle Violation de Données Personnelles, en tenant compte de l'état du développement technologique et du coût de mise en œuvre de toute mesure.

(ii) Sans limiter ce qui précède, les Parties peuvent convenir de mesures techniques et organisationnelles spécifiques dans unda de Sécurité de l'Information ("ISA"), qui sera mis à disposition sur le Site de Nexthink en langue anglaise. Nexthink applique ses mesures techniques et organisationnelles à l'ensemble de la Clientèle de Nexthink recevant les mêmes Services. Nexthink peut modifier les mesures à tout moment sans préavis tant qu'elle maintient un niveau de sécurité comparable ou supérieur. Les mesures individuelles peuvent être remplacées par de nouvelles mesures qui servent le même objectif sans diminuer le niveau de sécurité protégeant les Données Personnelles.

4. Instructions

Nexthink traitera les Données Personnelles uniquement en accord avec les instructions documentées du Client. Le Contrat (y compris le présent ATD) constitue de telles instructions initiales documentées, et le Client peut fournir d'autres instructions pendant l'exécution des Services. Nexthink fera des efforts raisonnables pour suivre toutes les autres instructions du Client, tant qu'elles sont requises par les Lois sur la Protection des Données, qu'elles sont techniquement réalisables et qu'elles ne nécessitent pas de modifications de l'exécution des Services. Si l'une des exceptions susmentionnées s'applique, ou si Nexthink ne peut pas se conformer à une instruction ou est d'avis qu'une instruction enfreint les Lois sur la Protection des Données, Nexthink en informera rapidement le Client. Lorsque Nexthink se base sur les Lois sur la Protection des Données pour traiter les Données Personnelles, Nexthink en informera rapidement le Client avant d'effectuer le Traitement requis par les Lois sur la Protection des Données, à moins que les lois applicables n'interdisent à Nexthink d'en informer le Client.

5. Personnel

Pour traiter les Données Personnelles, Nexthink et ses sous-traitants ne donnent accès qu'au personnel autorisé qui s'est engagé à la confidentialité.

6. Coopération

Nexthink fournira une assistance raisonnable au Client pour répondre à toute demande d'une Personne Concernée et pour assurer le respect de ses obligations en vertu des Lois sur la Protection des Données en ce qui concerne les évaluations d'impact sur la protection des données et les consultations avec les autorités de surveillance ou les régulateurs.

7. Notification de Violation de Données Personnelles

(i) Sans limiter les exigences d'une ISA efficace, Nexthink devra au minimum notifier le Client conformément aux Lois sur la Protection des Données, et dans tous les cas sans délai excessif, dès qu'il aura connaissance d'une Violation de Données Personnelles affectant les Données Personnelles du Client. Une telle notification ne doit pas être interprétée comme une reconnaissance de faute ou de responsabilité de la part de Nexthink.

(ii) Nexthink coopérera avec le Client si nécessaire pour atténuer ou remédier à la Violation de Données Personnelles.

(iii) Nexthink coopérera avec le Client et prendra les mesures commercialement raisonnables demandées par le Client pour aider à l'investigation, à l'atténuation et à la correction d'une telle Violation de Données Personnelles en vertu des lois applicables sur la protection des données. Dans la mesure où le Client dispose de droits ou d'obligations supplémentaires dans le cadre du Contrat ou d'une ISA effective, en accord avec les Lois sur la Protection des Données, les termes des présentes ne doivent pas limiter la portée ou l'efficacité de telles dispositions corollaires.

8. Suppression des données

Sur instructions écrites du Client, et dans la mesure où cela est raisonnable (ou alors conservé par Nexthink), Nexthink restituera les Données Personnelles et les copies de celles-ci au Client à la fin du Contrat ou supprimera ces données, à l'exception des Données Personnelles que Nexthink est tenu de conserver conformément à la loi applicable et/ou des sauvegardes de routine automatisées des données du Client qui peuvent inclure des Données Personnelles ; ces sauvegardes peuvent être conservées conformément à la politique de conservation de Nexthink, à condition que les Données Personnelles qui s'y trouvent restent soumises aux obligations contenues dans ce ATD.

9. Audits

Nexthink tiendra des registres et des informations complets et précis pour démontrer sa conformité au présent ATD. Sans limiter les exigences d'une ISA efficace, au minimum, Nexthink évaluera régulièrement, au moins une fois par an, la conformité et l'adéquation de ses mesures de sécurité techniques et organisationnelles et sera en mesure de démontrer leur mise en œuvre et leur efficacité réelles, ainsi que sa conformité à ses propres politiques de sécurité, en soumettant son système informatique à des tests et audits réguliers réalisés par des auditeurs indépendants. Sous réserve des conditions du Contrat, pendant la durée du Contrat et sur demande écrite préalable raisonnable du Client, pas plus d'une fois par an, Nexthink fournira au Client les Parties non confidentielles de tout rapport d'audit préparé par, et autorisé à être divulgué par, les auditeurs indépendants de Nexthink.

10. Sous-traitants

(i) Dans la mesure où cela s'applique aux Services utilisés par le Client, le Client consent à ce que Nexthink désigne les sous-traitants secondaires énumérés dans l'annexe de Traitement des données de Nexthink pour traiter les Données Personnelles en vertu du présent ATD et du Contrat. Le Client confirme qu'il a donné à Nexthink une autorisation générale écrite préalable de modifier l'annexe de Traitement des données de Nexthink conformément aux présentes.

(ii) Nexthink confirme qu'elle a conclu, ou qu'elle conclura le cas échéant, des contrats écrits avec ses soustraitants contenant des dispositions substantiellement similaires aux conditions énoncées dans le présent ATD. Entre le Client et Nexthink, Nexthink restera entièrement responsable de tous les actes ou omissions de tout sous-Processeur tiers nommé par lui en vertu du présent ATD.

(iii) En cas de modification de l’Annexe de Traitement de Données de Nexthink, celle-ci sera publiée (en langue anglaise) sur le site de Nexthink avec un préavis de trente (30) jours avant la nomination de tout nouveau sous-traitant. Dans le cas où le Client soulève une objection fondée sur des motifs raisonnables relatifs à la protection des données à l'égard de ce nouveau sous-traitant, Nexthink déploiera des efforts raisonnables pour mettre à la disposition du Client une modification des Services ou recommander une modification commercialement raisonnable de la configuration ou de l'utilisation des Services par le Client afin d'éviter le Traitement des Données Personnelles par le nouveau sous-traitant faisant l'objet de l'objection, sans imposer une charge déraisonnable au Client. Si Nexthink n'est pas en mesure de mettre à disposition une telle modification dans un délai raisonnable, qui n'excédera pas soixante (60) jours, le Client peut résilier le(s) bon(s) de commande applicable(s) en ce qui concerne uniquement les services qui ne peuvent être fournis sans l'utilisation du nouveau sous-traitant auquel il s'est opposé, par écrit à Nexthink.

11. Transferts Internationaux de Données

(i) Lorsque le Client l'exige et si cela s'avère nécessaire, Nexthink s'engage à conclure des Clauses Contractuelles Types ou tout autre accord équivalent avec le Client ou toute autre entité concernée ou à fournir d'autres garanties appropriées afin de légaliser le transfert de données vers ledit pays tiers.

(ii) Lorsque Nexthink engage un sous-traitant conformément à l'article 10 ou ses affiliés, et que cet engagement implique un transfert international de Données Personnelles, Nexthink prendra les mesures nécessaires pour s'assurer que le transfert est conforme aux Lois sur la Protection des Données.

Annexe