Accord sur le traitement des données

1.1 Le client en tant que responsable du traitement. Si le client est un responsable du traitement des données du client en vertu de la législation applicable en matière de protection de la vie privée :

1.1.1 l'objet et les détails du traitement sont décrits dans la section 2 ;

1.1.2 CHCNAV est un sous-traitant de ces données du client en vertu du droit applicable en matière de protection de la vie privée ;

1.1.3 chaque partie se conformera aux obligations qui lui incombent en vertu du droit applicable en matière de protection de la vie privée en ce qui concerne le traitement de ces données relatives aux clients.

1.2 Demandes du contrôleur. Pendant la durée de ce DPA, si CHCNAV reçoit une demande ou une instruction d'une tierce partie prétendant être un contrôleur des données du client, CHCNAV conseillera à la tierce partie de contacter le client.

2.1 Objet du traitement. L'objet du traitement est la fourniture des services au client par CHCNAV.

2.2 Durée : la durée du traitement correspond aux conditions d'utilisation plus la période allant de la fin des conditions d'utilisation jusqu'à la suppression de toutes les données du client conformément au présent DPA.

2.3 Nature et finalité du traitement. La nature et la finalité du traitement sont l'informatique, le stockage et d'autres services en nuage disponibles sur le réseau de CHCNAV afin d'assurer l'accès et l'utilisation des services par le client conformément aux conditions d'utilisation.

2.4 Types de données personnelles. Les types de données personnelles sont des données relatives à des individus au sujet desquels des données sont fournies à CHCNAV par (ou sur instruction de) le Client ou par les Utilisateurs finaux.

2.5 Catégories de personnes concernées. Les catégories de personnes concernées comprennent les individus au sujet desquels des données sont fournies à CHCNAV par (ou sur instruction de) le client ou par les utilisateurs finaux, en particulier (i) les employés du client, (ii) les fournisseurs, (iii) les utilisateurs finaux, (iv) les clients.

3.1 Légalité. Chaque partie respecte les lois applicables en matière de protection de la vie privée dans le cadre de l'exécution du présent DPA. Chaque partie sera en mesure de démontrer cette conformité.

3.2 Informations. CHCNAV mettra à la disposition du client toutes les informations nécessaires pour démontrer le respect des obligations énoncées dans le présent DPA.

3.3 Instructionsdu client. Les parties conviennent que le présent DPA et les conditions d'utilisation constituent les instructions documentées du client concernant le traitement des données du client par CHCNAV ("Instructions"). CHCNAV traitera les données du client uniquement conformément aux instructions.

3.4 Notification. Compte tenu de la nature du traitement, le client convient qu'il est peu probable que CHCNAV puisse se faire une opinion sur la question de savoir si les instructions enfreignent le droit applicable en matière de protection de la vie privée. Toutefois, si CHCNAV se forge une telle opinion, CHCNAV notifiera immédiatement le client si, de l'avis de CHCNAV : (a) le droit applicable en matière de protection de la vie privée interdit à CHCNAV de se conformer aux instructions ; (b) les instructions ne sont pas conformes au droit applicable en matière de protection de la vie privée ; ou (c) CHCNAV n'est pas en mesure de se conformer aux instructions, dans chaque cas, à moins qu'une telle notification ne soit interdite par le droit applicable en matière de protection de la vie privée. La présente section ne limite pas les droits ou obligations de l'une ou l'autre des parties dans d'autres parties des conditions d'utilisation.

3.5 Portée des instructions. En tant que sous-traitant, CHCNAV traitera les données des clients dans la mesure où cela est nécessaire pour fournir, sécuriser et contrôler les services, et ne collectera pas, n'utilisera pas, ne conservera pas, n'accédera pas, ne partagera pas, ne vendra pas, ne transférera pas ou ne traitera pas les données des clients à des fins non liées à la fourniture de ces services, à des fins autres que celles définies dans les conditions d'utilisation, dans le présent DPA ou autrement requises par le droit applicable en matière de protection de la vie privée.

4.1 Personnel. CHCNAV s'assurera que les personnes autorisées à traiter les données des clients se sont engagées à respecter la confidentialité ou sont soumises à une obligation légale de confidentialité.

4.2 Divulgation. Sans préjudice des articles 3.5 ci-dessus et 9 ci-dessous, CHCNAV n'accèdera pas, n'utilisera pas et ne divulguera pas à un tiers les données du client, sauf, dans chaque cas, si cela est nécessaire pour maintenir ou fournir les services, ou si cela est nécessaire pour se conformer à la loi ou à un ordre valide et contraignant d'une autorité publique compétente (tel qu'une citation à comparaître ou une ordonnance du tribunal). Si CHCNAV est sommée par les autorités publiques compétentes de divulguer les données du client, CHCNAV s'efforcera de rediriger cette sommation vers le client. Cela peut inclure la fourniture des coordonnées de base du client à l'autorité publique compétente. Si CHCNAV est légalement obligée de divulguer les données du client à une autorité publique compétente, CHCNAV fournira au client un préavis raisonnable de l'ordre afin de permettre au client de prendre les mesures nécessaires, à moins que CHCNAV ne soit légalement interdite de le faire.

5.1 Mesures de sécurité La CHCNAV mettra en œuvre et maintiendra les mesures de sécurité. Les mesures de sécurité comprennent des mesures visant à crypter les données personnelles, à garantir la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de CHCNAV, à rétablir l'accès aux données personnelles en temps voulu après un incident et à tester régulièrement l'efficacité des mesures de sécurité. CHCNAV peut mettre à jour les mesures de sécurité de temps à autre, à condition que ces mises à jour n'entraînent pas une réduction matérielle de la sécurité des services.

5.2 Accès aux données des clients. CHCNAV (a) autorisera ses employés, contractants et sous-traitants à accéder aux données des clients uniquement dans la mesure strictement nécessaire pour se conformer aux instructions ; et (b) prendra les mesures appropriées pour s'assurer que ses employés, contractants et sous-traitants se conforment aux mesures de sécurité dans la mesure où elles s'appliquent à leur champ d'application.

5.3 Contrôles de sécurité supplémentaires. La CHCNAV mettra à disposition des contrôles de sécurité supplémentaires pour : (a) permettre au client de prendre des mesures pour sécuriser les données du client ; et (b) fournir au client des informations sur la sécurisation, l'accès et l'utilisation des données du client.

5.4 Assistance en matière de sécurité. CHCNAV aidera le client à se conformer à ses obligations en vertu des articles 32 à 34 du GDPR, en tenant compte de la nature du traitement des données du client et des informations dont dispose CHCNAV, en :

5.4.1 en mettant en œuvre et en maintenant les mesures de sécurité conformément aux sections 5.1 et 5.2 ;

5.4.2 en mettant à la disposition du client des contrôles de sécurité supplémentaires conformément à la section 5.3 ;

5.4.3. se conformer aux dispositions de l'article 6 ;

5.4.4 fournir au client une coopération et une assistance raisonnables supplémentaires, à la demande du client, si les paragraphes 5.4.1 - 5.4.3 ci-dessus sont insuffisants pour que le client (ou le contrôleur concerné) se conforme à ces obligations. Tous les coûts raisonnables encourus par CHCNAV pour se conformer à cette section seront supportés uniquement par le client.

5.5 Responsabilités du client en matière de sécurité. Sans préjudice des obligations de CHCNAV en vertu des sections 5.1 - 5.4, de la section 6 et d'autres sections du DPA ou des conditions d'utilisation, le client est responsable de son utilisation des services et du stockage de toute copie des données du client en dehors des systèmes de CHCNAV ou des sous-traitants, y compris :

5.5.1 l'utilisation des services et des contrôles de sécurité supplémentaires pour assurer un niveau de sécurité approprié au risque pour les données du client ;

5.5.2 la sécurisation des références d'authentification du compte, des systèmes et des appareils que le client utilise pour accéder aux services ; et

5.5.3 en sauvegardant ses Données Client de manière appropriée.

6.1 Notification : CHCNAV notifiera le client dans les plus brefs délais après avoir pris connaissance d'une violation de données à caractère personnel. Cette (ces) notification(s) sera (seront) délivrée(s) en utilisant les informations de contact fournies par le client par tout moyen choisi par CHCNAV, y compris, mais sans s'y limiter, le courrier électronique, les SMS, etc. Il est de la seule responsabilité du client de s'assurer que les administrateurs/personnels du client maintiennent à tout moment des informations de contact exactes dans le compte.

6.2 Assistance. En cas de violation de données à caractère personnel, CHCNAV aidera le client à se conformer aux obligations prévues à l'article 33 et/ou à l'article 34 du GDPR, en tenant compte de la nature du traitement et des informations dont dispose CHCNAV.

CHCNAV traitera le traitement des données à caractère personnel conformément à la présente DPA. Le client peut exercer ses droits d'audit ou habiliter un tiers à le faire en son nom. Afin d'exercer ce droit, le client informera CHCNAV par écrit au moins 30 jours avant le début prévu de tout audit. Si CHCNAV refuse de se conformer aux audits ou inspections du client prévus par les réglementations applicables en matière de protection des données, le client a le droit de résilier le présent DPA et les conditions d'utilisation. Sauf accord écrit contraire, tous les coûts raisonnables encourus par CHCNAV pour se conformer à cette section (à l'exclusion des audits de conformité de routine que CHCNAV est tenue de mener en vertu de la loi applicable sur la protection de la vie privée) seront supportés uniquement par le client. Les "coûts raisonnables" sont définis comme les coûts nécessaires et appropriés pour mener à bien le processus d'audit. Cela inclut les charges administratives, telles que les efforts déployés pour fournir au client des copies (expurgées) de rapports et de documents qui ne sont pas accessibles au public. Si les clauses contractuelles types s'appliquent, aucune disposition de la présente section ne modifie les clauses contractuelles types ni n'affecte les droits d'une autorité de contrôle ou d'une personne concernée en vertu des clauses contractuelles types.

8.1 Conformité. Outre les obligations d'assistance prévues à la section 5.4 ci-dessus, CHCNAV aidera le client à assurer le respect de ses obligations en vertu des articles 35 et 36 du GDPR, en tenant compte de la nature du traitement des données du client et des informations dont dispose CHCNAV.

8.2 Droits de la personne concernée. CHCNAV, compte tenu de la nature du traitement, aidera le client à s'acquitter de ses obligations de répondre aux demandes d'exercice des droits des personnes concernées, conformément au chapitre III du RGPD. CHCNAV offre au client, par le biais des fonctionnalités du compte, la possibilité de prendre les mesures nécessaires pour répondre à toute demande de la personne concernée relative aux données du client. L'assistance requise en vertu du GDPR de la part de CHCNAV est épuisée par l'offre des fonctionnalités du Compte, et parce que CHCNAV transmettra les demandes des personnes concernées reçues au Client. Les mesures techniques et organisationnelles spécifiques pour une telle assistance, ainsi que la portée et l'étendue de l'assistance, sont énoncées à l'annexe II des CSC jointes aux présentes.

8.3 Demandes des personnes concernées : CHCNAV, en déployant des efforts commercialement raisonnables, transmettra rapidement au client toute demande qu'elle a reçue d'une personne concernée. Si le client souhaite exercer ses droits en matière de protection de la vie privée, ou s'il souhaite soulever ou consulter CHCNAV sur une demande d'une personne concernée, il peut nous contacter à l'adresse suivante : datacompliance@huace.cn. Tous les coûts raisonnables encourus par CHCNAV pour se conformer à cette section seront supportés uniquement par le client.

9.1 Autorisation générale : le client accepte que CHCNAV engage des sous-traitants pour effectuer des activités de traitement spécifiques au nom du client.

9.2 Modifications de la liste des sous-traitants secondaires. CHCNAV mettra à la disposition du client des informations sur toute modification prévue de la liste des sous-traitants secondaires, y compris l'identité et l'emplacement général du sous-traitant secondaire, au moins 15 jours à l'avance en mettant à jour la liste des sous-traitants secondaires et en envoyant un avis au client.

9.3 Obligations concernant les sous-traitants. Lorsque CHCNAV engage un sous-traitant conformément aux dispositions de l'article 9.1, CHCNAV s'engage à :

9.3.1 s'assurera, par le biais d'un contrat écrit, que :

9.3.1.1 le sous-traitant n'accède aux données du client et ne les utilise que dans la mesure où cela est nécessaire pour exécuter les obligations qui lui sont confiées, et ce conformément aux conditions d'utilisation (y compris la présente DPA) ; et

9.3.1.2 les obligations de protection des données décrites dans le présent DPA (telles que visées à l'article 28(3) du GDPR, le cas échéant) sont imposées au Sous-traitant ; et

9.3.2 rester entièrement responsable de toutes les obligations sous-traitées au Sous-Traitant, ainsi que de tous les actes et omissions de ce dernier.

10.1 Stockage des données et installations de traitement La région dans laquelle les données du client seront traitées ne peut être spécifiée que par le client. Dans la région de l'UE, les centres de données de CHCNAV sont situés en Irlande - Dublin. Si le client choisit la région UE, toutes les données du client seront stockées en Irlande-Dublin.

Dans la région non-UE, les centres de données de CHCNAV sont situés dans la liste des sous-traitants. Si le Client choisit une région hors UE, toutes les données du Client seront stockées dans la région hors UE sélectionnée par le Client et située dans la liste des sous-traitants.

10.2 Transferts vers des pays tiers. Lorsqu'un client souhaite traiter des données personnelles dans une région non européenne, cela ne peut se faire que selon les instructions et les spécifications du client, au moyen d'une instruction écrite du client à CHCNAV.

CHCNAV ne peut transférer les données du client à partir de la (des) région(s) sélectionnée(s) par le client que si : (a) cela est nécessaire pour fournir les services demandés par le client, en particulier pour enquêter sur un incident de sécurité ou une violation des conditions d'utilisation, ou (b) cela est nécessaire pour se conformer aux lois et réglementations applicables ou à un ordre contraignant émis par un tribunal ou une autorité publique compétente.

Lorsque des transferts vers un pays tiers situé en dehors de l'EEE peuvent avoir lieu à la demande d'un client par le biais d'un service écrit, les conditions d'utilisation ne seront appliquées que sur la base de garanties appropriées telles que définies dans le GDPR, en particulier la signature des clauses contractuelles types approuvées par la décision d'exécution (UE) 2021/914 de la Commission européenne et la mise en œuvre de mesures techniques et organisationnelles suffisantes.

Le choix des clauses appropriées est déterminé en fonction du rôle du client dans le cadre du traitement des données à caractère personnel correspondant.

Lorsque le client est un contrôleur de données établi dans l'UE qui engage CHCNAV pour agir en tant que processeur de données en ce qui concerne les données à caractère personnel, les CCAP du contrôleur au processeur (C2P) (module 2) adoptées par la décision d'exécution (UE) 2021/914 de la Commission s'appliquent mutatis mutandis.

Lorsque le Client agit en tant que Processeur de données engageant CHCNAV pour effectuer un Traitement ultérieur des Données à caractère personnel en relation avec les Services, les CCAP de Processeur à Processeur (P2P) (Module 3) adoptées par la Décision d'exécution de la Commission (UE) 2021/914 s'appliqueront mutatis mutandis.

10.3 Transferts vers des pays adéquats. Les parties reconnaissent que le droit applicable en matière de protection de la vie privée n'exige pas de clauses contractuelles types pour que les données du client soient traitées ou transférées dans un pays adéquat.

11.1 Retour ou suppression des données personnelles. Par le biais des fonctionnalités du compte, CHCNAV fournira au client la possibilité de supprimer les données du client dans leur intégralité à tout moment, sous réserve des conditions des conditions d'utilisation, à moins que la loi applicable sur la protection de la vie privée n'exige le stockage des données du client. CHCNAV supprimera les données du client si le client le demande, ou si le client ferme son compte, ou comme décrit dans les conditions d'utilisation (par exemple, à la fin d'une période prolongée et/ou d'une période de conservation).

11.2 Autorisation de suppression. Le client donne l'instruction à CHCNAV de supprimer toutes les données du client comme indiqué dans la section 11.1.

12.1 Dossiers de traitement : CHCNAV conservera une documentation appropriée de ses activités de traitement, comme l'exige la loi sur la protection de la vie privée applicable. Dans la mesure où la loi applicable sur la protection de la vie privée exige que CHCNAV recueille et conserve des enregistrements de certaines informations relatives au client, le client utilisera les contrôles et les fonctionnalités fournis par CHCNAV pour fournir ces informations et les maintenir exactes et à jour. CHCNAV peut mettre ces informations à la disposition des autorités de surveillance si la loi sur la protection de la vie privée applicable l'exige.

En contrepartie des obligations mutuelles prévues dans le présent DPA, les parties conviennent que le présent DPA est soumis au droit applicable et à la juridiction définie dans les conditions d'utilisation.

Sauf définition contraire dans les conditions d'utilisation, tous les termes en majuscules utilisés dans la présente DPA ont la signification qui leur est donnée ci-dessous :

"Contrôles de sécurité supplémentaires" : ressources, caractéristiques, fonctionnalités et/ou contrôles de sécurité que le client peut utiliser à son gré et/ou comme il le détermine, y compris le cryptage, la journalisation et la surveillance, la gestion des identités et des accès, l'analyse de sécurité et les pare-feux.

"Pays adéquat" signifie (a) pour les données traitées dans le cadre du GDPR - les États membres de l'EEE ou un pays ou territoire faisant l'objet d'une décision d'adéquation prise par la Commission européenne en vertu de l'article 45, paragraphe 1, du GDPR ; (b) pour les données traitées dans le cadre de la FDPA - la Suisse, ou un pays ou territoire faisant l'objet d'une décision d'adéquation prise par la Commission européenne en vertu de l'article 45, paragraphe 1, du GDPR. la Suisse, ou un pays ou territoire qui (i) figure sur la liste des États dont la législation assure un niveau de protection adéquat, telle que publiée par le Préposé fédéral suisse à la protection des données et à la transparence, ou (ii) fait l'objet d'une décision d'adéquation du Conseil fédéral suisse en vertu de la LPD, (c) pour les données traitées en vertu d'autres lois applicables en matière de protection de la vie privée, les pays ou territoires considérés comme assurant une protection adéquate en vertu de ces lois.

" Loi sur la protection de la vie privée applicable " signifie, selon le cas : (a) le GDPR ; et/ou (b) le FDPA et/ou (c) la loi serbe sur le DP, et/ou (d) la loi ukrainienne sur le DP, et d'autres lois sur la protection des données ou de la vie privée en vigueur dans les États membres de l'EEE et/ou en Suisse, en Serbie ou en Ukraine, et toute législation et/ou réglementation qui modifie, remplace, réadopte ou consolide l'une d'entre elles, concernant le traitement des données du client en vertu du présent DPA et des conditions d'utilisation.

"Client" désigne la partie qui conclut le présent DPA, agissant soit à titre personnel, soit au nom d'une personne morale, ainsi que ses affiliés autorisés, y compris les utilisateurs finaux.

"Utilisateur final": toute personne que le client autorise à accéder aux services et/ou à votre contenu et à les utiliser.

"Données du client" : données personnelles contenues dans votre contenu.

"EEE" désigne l'Espace économique européen.

"LPD" désigne la loi fédérale sur la protection des données du 19 juin 1992 et la nouvelle loi fédérale sur la protection des données du 25 septembre 2020.

"GDPR" désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données). Une référence aux dispositions particulières du GDPR renvoie également aux dispositions respectives du droit applicable en matière de protection de la vie privée qui prévoient des droits ou des obligations substantiellement similaires aux dispositions respectives du GDPR.

"CCN" ou "Clauses contractuelles types" désigne les clauses types de protection des données pour le transfert de données à caractère personnel vers des pays tiers adoptées par la décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021.

"CCS (module 2)" : les termes du module trois des clauses contractuelles types : Transfert du responsable du traitement au sous-traitant, disponible à l'adresse suivante : [insérer le lien SCCs-CP].

"CSC(module 3)" : les conditions du module trois des clauses contractuelles types : Transfert de sous-traitant à sous-traitant, disponibles à l'adresse suivante : [insérer le lien CSC-PP].

"Mesures de sécurité" : mesures techniques et organisationnelles visant à protéger les données du client contre la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé, de manière accidentelle ou illégale.

"Loi serbe sur le DP" désigne la loi serbe sur la protection des données personnelles ("Journal officiel de la République de Serbie", n° 87/2018)/.

"Sous-Traitant" désigne un tiers engagé par CHCNAV et autorisé en tant qu'autre processeur à avoir un accès logique aux Données Client et à les traiter afin de fournir des parties des Services.

"Liste des Sous-Traitants" signifie une liste de Sous-Traitants approuvés disponible à l'Annexe 1. CHCNAV ne fournira des services qu'à partir de certains ou de tous les sous-traitants spécifiés par les clients.

"Autorité de contrôle" signifie, selon le cas : (a) une "autorité de contrôle" telle que définie dans le GDPR ; et/ou (b) le "Commissaire" tel que défini dans le FDPA.

"Pays tiers" : un pays qui n'est pas un pays adéquat.

"Loi ukrainienne sur la protection des données personnelles" : la loi ukrainienne sur la protection des données personnelles du 1er juin 2010 n° 2297-VI (telle que modifiée) et la législation subordonnée adoptée en vertu de cette loi.

En outre, les termes "données à caractère personnel", "violation de données à caractère personnel", "personne concernée", "traitement", "responsable du traitement" et "sous-traitant" ont la signification qui leur est donnée dans la loi applicable sur la protection de la vie privée.

Mise à jour : [2025/12/15]

Annexe 1 : Liste des sous-traitants