Contrat de traitement Ultralytics

Dernière mise à jour : 26 mars 2026

Le présent accord sur le traitement des données (« DPA ») est intégré et fait partie intégrante (i) des Ultralytics d'utilisation Ultralytics et/ou (ii) de tout bon de commande, contrat d'entreprise ou autre accord écrit applicable faisant référence au présent DPA (chacun étant dénommé ci-après « l'Accord ») conclu entre le client (« Client », « vous ») et Ultralytics, Inc. («Ultralytics », « Société », « nous »).

Le présent accord de traitement des données (DPA) reflète l'accord conclu entre les parties concernant :

(A) Conditions régissant la relation entre le responsable du traitement et le sous-traitant : le traitement Ultralytics des données à caractère personnel du client en tant que sous-traitant (ou sous-traitant secondaire lorsque le client agit lui-même en tant que sous-traitant) pour le compte du client dans le cadre des services ; et
(B) Conditions entre responsables du traitement : le traitement, par chaque partie, des données à caractère personnel du responsable du traitement en sa qualité de responsable du traitement indépendant, uniquement dans la mesure prévue à l'article 10.

Le présent accord de traitement des données personnelles reste en vigueur pendant toute la durée de l'accord et tant Ultralytics les données personnelles du client pour le compte de ce dernier.

Le présent accord sur le traitement des données (DPA) s'applique exclusivement au traitement des données à caractère personnel du client par Ultralytics la Ultralytics . Pour éviter toute ambiguïté, le présent DPA ne s'applique pas à l'utilisation, au déploiement ou à l'exploitation par le client des modèlesYOLO Ultralytics en dehors de la Ultralytics , qui relèvent de la seule responsabilité du client.

Ultralytics mettre à jour le présent accord de traitement des données (DPA) de temps à autre afin de tenir compte des modifications apportées à la législation, aux directives réglementaires ou aux Services, avec effet à compter de la date de publication, à condition que ces mises à jour ne réduisent pas de manière significative la protection des données à caractère personnel du Client sans le consentement de ce dernier (sauf si la législation applicable l'exige).

1. Définitions

Le terme « affilié » désigne toute entité qui contrôle directement ou indirectement une partie, qui est contrôlée par celle-ci ou qui est sous contrôle commun avec celle-ci, le terme « contrôle » désignant la détention de plus de 50 % des droits de vote.

On entend par « garanties appropriées » les mécanismes juridiquement contraignants applicables aux transferts de données à caractère personnel qui sont autorisés en vertu des lois applicables en matière de protection des données, notamment, mais sans s'y limiter, l'article 46 du RGPD.

Le terme « sous-traitant » désigne tout sous-traitant engagé par Ultralytics ses sociétés affiliées pour traiter les données à caractère personnel des clients pour le compte Ultralytics dans le cadre des services.

On entend par « Données relatives au compte de la Société » les données à caractère personnel liées à la relation entre la Société et le Client, notamment les noms ou coordonnées des personnes autorisées par le Client à accéder à son compte, ainsi que les informations de facturation des personnes que le Client a associées à son compte. Les Données relatives au compte de la Société comprennent également toutes les données que la Société peut être amenée à collecter aux fins de la gestion de sa relation avec le Client, de la vérification d'identité ou conformément aux lois et réglementations applicables.

On entend par « données d'utilisation de la Société » les données relatives à l'utilisation des Services collectées et traitées par la Société dans le cadre de la fourniture des Services, y compris, sans s'y limiter, les données utilisées pour identifier l'origine et la destination d'une communication, les journaux d'activité, ainsi que les données utilisées pour optimiser et maintenir les performances des Services, et pour enquêter sur les abus du système et les prévenir.

Le terme « Données du Client » désigne toutes les données, tous les contenus, tous les documents, tous les fichiers ou toutes les informations (y compris les ensembles de données, les images, les vidéos, les annotations, les étiquettes, les métadonnées, les entrées et sorties des modèles, ainsi que tout autre contenu) que le Client ou ses utilisateurs autorisés téléchargent, soumettent, transmettent ou mettent autrement à disposition à des fins de Traitement dans le cadre des Services, y compris toutes les données générées pour le Client lors de son utilisation des Services.

On entend par « violation des données personnelles du client » toute faille de sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé, de manière accidentelle ou illicite, aux données personnelles du client traitées par Ultralytics ses sous-traitants dans le cadre des Services. Une violation des données personnelles du client n'inclut pas les tentatives infructueuses ou les activités qui ne compromettent pas les données personnelles du client (par exemple, les tentatives de connexion infructueuses, les analyses de ports, les attaques par déni de service ou d'autres attaques visant les pare-feu ou les systèmes en réseau).

On entend par « lois sur la protection des données » l'ensemble des lois applicables en matière de confidentialité et de protection des données qui s'appliquent au traitement des données à caractère personnel effectué par une partie dans le cadre du Contrat, y compris (le cas échéant) le RGPD, le RGPD britannique, la LPD suisse, la directive « e-Privacy »/PECR, le CCPA/CPRA et les autres lois étatiques américaines applicables en matière de confidentialité.

Le terme « RGPD » désigne le règlement (UE) 2016/679 ; le terme « RGPD britannique » désigne le RGPD tel qu'il a été transposé dans le droit britannique ; le terme « LPD suisse » désigne la loi fédérale suisse sur la protection des données (telle que révisée). Le terme « instructions » désigne les instructions écrites fournies par le client à Ultralytics le traitement des données à caractère personnel du client, telles que décrites à la section 2.2.

Le terme « SCC » désigne les clauses contractuelles types de l'UE (décision 2021/914) ; le terme « Avenant britannique » désigne l'avenant relatif au transfert international de données de l'ICO. Les autres termes en majuscules ont le sens qui leur est donné dans les lois sur la protection des données et/ou dans le Contrat.

Le terme « Services » désigne les services et fonctionnalités mis à la disposition Ultralytics Client Ultralytics en vertu du Contrat, y compris la Ultralytics ainsi que l'assistance, l'administration et la documentation associées, comme décrit plus en détail dans le Contrat.

On entend par «Ultralytics » l'environnement SaaS (Software-as-a-Service) basé sur le cloud Ultralytics, grâce auquel les Clients peuvent télécharger, gérer, annoter et versionner des ensembles de données ; entraîner, évaluer, comparer, exporter et déployer des modèles de vision par ordinateur ; gérer des projets et des utilisateurs ; et accéder aux fonctionnalités et à l'assistance associées, et par l'intermédiaire duquel Ultralytics les Données à caractère personnel des Clients pour le compte de ces derniers, conformément au présent ATD.

Les « modèlesYOLO Ultralytics » désignent les modèles de vision par ordinateur open source et le code source associé mis à disposition par Ultralytics les licences open source applicables, que les clients peuvent télécharger, déployer, héberger et exploiter de manière indépendante dans leurs propres environnements. À des fins de clarté, lorsque les clients déploient ou utilisent les modèlesYOLO Ultralytics en dehors de Ultralytics , Ultralytics données à caractère personnel pour le compte du client au titre du présent accord sur le traitement des données.

2. Responsabilités du client

2.1 Respect de la législation. Le Client est tenu de se conformer à la législation en matière de protection des données dans le cadre du traitement des données à caractère personnel et de son utilisation des Services, notamment en fournissant les informations requises et en obtenant les consentements et autorisations nécessaires.

2.2 Instructions. Le Contrat (y compris le présent ATD), ainsi que la configuration et l'utilisation des Services par le Client conformément au Contrat, constituent l'intégralité des instructions données par le Client à Ultralytics le traitement des Données à caractère personnel du Client. Le Client peut fournir des instructions supplémentaires pendant la durée du Contrat, à condition qu'elles soient conformes au Contrat et aux Services. Si Ultralytics estime Ultralytics que ces instructions supplémentaires nécessitent des modifications ou imposent une charge importante, les parties en discuteront de bonne foi.

2.3 Données interdites. Sauf accord écrit exprès des parties (y compris un accord sur les garanties supplémentaires requises par les lois applicables en matière de protection des données), le Client ne doit pas fournir à Ultralytics transmettre par quelque moyen que ce soit, ni mettre à sa disposition de quelque manière que ce soit Ultralytics catégories particulières de données à caractère personnel au sens de l'article 9 du RGPD (ou équivalent), ni des données relatives aux condamnations pénales ou aux infractions au sens de l'article 10 du RGPD.

À titre d'exemple et sans que cette liste soit exhaustive, les données interdites comprennent :

les numéros d'identification délivrés par les autorités publiques (tels que les numéros de passeport, les numéros d'identité nationaux ou les numéros de sécurité sociale) ;
des informations relatives à la santé ou des informations médicales, y compris les identifiants biométriques utilisés pour identifier de manière unique une personne physique ;
les informations concernant l'origine raciale ou ethnique d'une personne, ses opinions politiques, ses convictions religieuses ou philosophiques, ou son appartenance à un syndicat ;
les données génétiques ou biométriques traitées dans le but d'identifier de manière unique une personne physique ;
les données à caractère personnel concernant des enfants, lorsque cela est soumis à des restrictions en vertu de la législation applicable en matière de protection des données ;
et les données relatives aux condamnations pénales, aux faits présumés d'infraction pénale ou aux activités des forces de l'ordre.

En outre, les Services ne sont pas non plus destinés à traiter d'autres données nécessitant une protection renforcée en vertu des lois applicables en matière de protection des données, telles que les données de cartes de paiement, les numéros de compte bancaire ou la géolocalisation précise. Il incombe exclusivement au Client de s'assurer que les ensembles de données, images, vidéos, annotations, étiquettes, métadonnées ou tout autre contenu téléchargé vers les Services ou traité par leur intermédiaire ne contiennent pas de Données interdites. Tout traitement de Données interdites en violation de la présente section constitue une violation substantielle du présent ATD.

2.4 Données inappropriées ; Indemnisation. Le Client est seul responsable de la légalité des Données à caractère personnel qu’il fournit à Ultralytics doit s’assurer qu’elles sont adaptées aux Services. Le Client s’engage à défendre et à indemniser Ultralytics toute réclamation de tiers résultant de la fourniture par le Client de Données à caractère personnel aux Services en violation du Contrat, du présent ATD ou des lois applicables en matière de protection des données.

3. Ultralytics en tant que sous-traitant

3.1 Limitation de la finalité. Ultralytics les données à caractère personnel du client uniquement (a) pour fournir les services conformément au contrat et à l'annexe A, (b) conformément aux instructions du client, et (c) comme l'exige la législation applicable. Ultralytics pas les données à caractère personnel du client ni les données du client pour former, améliorer ou développer Ultralytics modèles généraux ou disponibles dans le commerce, sauf instruction expresse du client par écrit ou par le biais des services.

3.2 Conflit de lois. Si Ultralytics elle ne peut pas traiter les données à caractère personnel du client conformément aux instructions en raison d’une obligation légale, Ultralytics le client (dans la mesure où la loi le permet) et, si nécessaire, suspendra le traitement concerné (à l’exception du stockage sécurisé) jusqu’à ce que le client émette des instructions conformes.

3.3 Confidentialité du personnel. Ultralytics les personnes autorisées à traiter les données à caractère personnel du client soient soumises à des obligations de confidentialité. Le client accepte Ultralytics divulguer ses données à caractère personnel à ses conseillers professionnels et à ses auditeurs dans la mesure où cela est raisonnablement nécessaire à l'exécution du contrat ou de l'accord sur le traitement des données (DPA), sous réserve du respect des obligations de confidentialité.

3.4 Sous-traitance. Ultralytics faire appel à des sous-traitants conformément à la section 5 et reste responsable du respect par ceux-ci des obligations correspondantes.

3.5 Suppression / Restitution. À la résiliation des Services, Ultralytics ou restituera les Données à caractère personnel du Client conformément au Contrat et à l'Annexe A, sauf si la loi impose leur conservation. Une attestation de suppression au titre des CCT sera fournie à la demande du Client.

4. Droits des personnes concernées (ou des consommateurs)

4.1 Demande de la personne concernée (ou du consommateur). Ultralytics , dans la mesure où la loi le permet, Ultralytics informer sans délai le Client via le contact principal du compte si Ultralytics une demande d'une personne concernée (ou d'un consommateur) visant à exercer son droit d'accès (ou de divulgation), son droit de rectification, de limitation du traitement, d'effacement (ou de suppression, ou « droit à l'oubli »), à la portabilité des données, à s'opposer au traitement, ou son droit de ne pas être soumis à une prise de décision individuelle automatisée (« Demande de la personne concernée (ou du consommateur) »).

4.2 Assistance. Compte tenu de la nature du traitement, Ultralytics une assistance raisonnable au Client pour répondre aux demandes d'exercice des droits des personnes concernées en vertu des lois sur la protection des données, dans la mesure où le Client ne peut pas satisfaire à ces demandes à l'aide des fonctionnalités disponibles du Service.

4.3 AIPD ; consultation préalable. Compte tenu de la nature du traitement et des informations dont dispose Ultralytics, Ultralytics une assistance raisonnable au Client en ce qui concerne (i) les analyses d'impact relatives à la protection des données et (ii) la consultation et/ou la coopération du Client avec les autorités de contrôle, dans chaque cas où les lois sur la protection des données l'exigent et lorsque le Client n'a pas accès aux informations pertinentes par d'autres moyens. Sauf lorsque les lois sur la protection des données l'exigent ou en cas de violation des données à caractère personnel du Client, ce dernier ne demandera pas une telle assistance plus d'une fois par période de douze (12) mois. Le Client remboursera Ultralytics les frais et dépenses raisonnables engagés pour fournir cette assistance, lorsque la loi le permet.

5. Sous-traitants

5.1 Autorisation générale. Le Client accorde à Ultralytics autorisation générale écrite lui permettant de faire appel à des sous-traitants pour traiter les Données à caractère personnel du Client dans le cadre des Services.

5.2 Liste et notification. Une liste des sous-traitants actuels est disponible à ultralytics (la « Liste »). Ultralytics place un mécanisme permettant de s'abonner aux notifications de mise à jour de la Liste et informera le Client de l'ajout de nouveaux sous-traitants au moins dix (10) jours avant de les autoriser à traiter les Données à caractère personnel du Client. Le Client est tenu de s’abonner à ces notifications lorsqu’elles sont disponibles ; s’il ne s’abonne pas, il reconnaît qu’il pourrait ne pas recevoir de notification préalable via ce mécanisme. Dans tous les cas, les mises à jour de la Liste constituent une notification des changements concernant les sous-traitants. Le Client reconnaît que certains sous-traitants sont essentiels à la fourniture des Services et que s’opposer à l’utilisation d’un sous-traitant peut empêcher la Société d’offrir les Services au Client.

À des fins de clarté, Ultralytics participant à la fourniture des Services, notamment Ultralytics (Royaume-Uni) et Ultralytics Spain, S.L., peuvent agir en tant que sous-traitants intragroupe lorsqu'elles traitent les données à caractère personnel des clients pour le compte Ultralytics . dans le cadre des Services.

5.3 Opposition à la désignation de nouveaux sous-traitants. Le Client peut s'opposer par écrit à la désignation d'un nouveau sous-traitant pour des motifs raisonnables liés à la protection des données, conformément à la section 5.2. Si Ultralytics répondre de manière raisonnable à l'opposition du Client, ce dernier peut mettre fin au Service concerné par notification écrite, sans pour autant être dispensé du paiement des frais échus avant cette résiliation.

5.4 Transfert aux sous-traitants. Ultralytics appel à des sous-traitants qu'après avoir mené une vérification préalable raisonnable et fondée sur les risques afin d'évaluer si le sous-traitant est en mesure d'assurer un niveau de protection approprié des données à caractère personnel du client, conformément aux lois applicables en matière de protection des données, et assurera un suivi périodique des sous-traitants dans le cadre de son programme de gestion des fournisseurs. Ultralytics que ses sous-traitants soient soumis à des obligations en matière de protection des données qui soient substantiellement équivalentes à celles énoncées dans le présent ATD, ou qui offrent un niveau de protection supérieur. À la demande du Client, Ultralytics des copies (qui pourront être expurgées à des fins de confidentialité) des conditions de protection des données des sous-traitants concernés, comme l'exigent les CCT.

6. Sécurité

6.1 Mesures. Compte tenu de l'état de la technique, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque, en termes de probabilité et de gravité variables, pour les droits et libertés des personnes physiques, Ultralytics et maintiendra des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté à ce risque, conformément aux lois applicables en matière de protection des données, y compris l'article 32 du RGPD. Ces mesures sont décrites dans l'annexe C, Ultralytics mettre à jour de temps à autre, à condition que ces mises à jour ne réduisent pas de manière significative le niveau global de protection des données à caractère personnel du client.

6.2 Responsabilités du Client. Nonobstant ce qui précède, le Client reconnaît que, sauf disposition expresse contraire dans le présent ATD, il est responsable de l'utilisation sécurisée des Services, notamment de la protection de ses identifiants de connexion, de la configuration adéquate des contrôles d'accès et de la garantie que ses utilisateurs accèdent aux Services et les utilisent d'une manière conforme aux lois applicables en matière de protection des données et aux fonctionnalités de sécurité mises à disposition par Ultralytics.

7. Audits des clients et démonstration de la conformité

7.1 Documentation. Sur demande raisonnable, Ultralytics à disposition les informations raisonnablement nécessaires pour démontrer le respect du présent ATD (y compris les rapports d'audit ou les certifications de tiers en vigueur, le cas échéant). Ultralytics des registres suffisants pour démontrer le respect du présent ATD et conservera ces registres pendant une période raisonnable après la résiliation (par exemple, trois (3) ans), sauf si la loi impose une période plus longue.

7.2 Audit. Lorsque les lois sur la protection des données l'exigent et que la documentation est insuffisante, le Client peut, moyennant un préavis écrit raisonnable et à ses frais, demander un audit ou une inspection des systèmes et processus concernés Ultralytics. Tout audit ou inspection de ce type ne sera effectué qu'après accord écrit mutuel entre les parties sur la portée, le calendrier et la durée de l'audit, ainsi que sur tout taux de remboursement raisonnable pour le temps et les ressources consacrés Ultralytics dans le cadre de l'audit. Tout audit effectué conformément à la présente section doit :

(a) ne se produisent pas plus d'une fois par période de douze (12) mois ;
(b) avoir lieu pendant les heures normales d'ouverture Ultralytics;
(c) faire l'objet de mesures raisonnables en matière de confidentialité, de sécurité et de sûreté ; et
(d) se limiter aux systèmes et aux dossiers présentant un intérêt raisonnable pour le traitement des données à caractère personnel des clients.

Le client doit informer sans délai Ultralytics tout manquement grave constaté lors d'un audit afin de permettre à Ultralytics délai raisonnable pour remédier à ces constatations.

8. Violations de données à caractère personnel

8.1 Notification. Ultralytics le Client sans retard injustifié, au plus tard 72 heures après avoir pris connaissance d'une violation des données à caractère personnel du Client.

8.2 Assistance. Ultralytics une assistance raisonnable au Client pour les notifications qu'il est tenu d'adresser aux autorités de régulation et aux personnes concernées, en tenant compte des informations dont dispose Ultralytics.

8.3 Absence de reconnaissance. La notification d'une violation ne constitue pas une reconnaissance de faute ou de responsabilité. L'obligation de notification ne s'applique pas dans la mesure où une violation des données à caractère personnel du Client résulte d'actes ou d'omissions du Client ou de ses utilisateurs.

9. Transferts (UE/Royaume-Uni/Suisse)

9.1 Transferts internationaux. Le Client reconnaît que les principales opérations de traitement Ultralytics peuvent être effectuées aux États-Unis et dans d'autres pays si cela s'avère nécessaire pour fournir les Services.

À des fins de clarté, les données à caractère personnel du client peuvent également être transférées entre Ultralytics . et ses sociétés affiliées (notamment Ultralytics (Royaume-Uni) et Ultralytics Spain, S.L.) lorsque ces sociétés affiliées agissent en tant que sous-traitants dans le cadre des services. Lorsque ces transferts constituent des transferts internationaux au sens des lois applicables en matière de protection des données, ils sont soumis à des garanties appropriées, notamment les clauses contractuelles types (module 3, le cas échéant) ou d'autres mécanismes de transfert valides.

Lorsque le transfert de données à caractère personnel du client vers un pays qui n'est pas reconnu comme offrant un niveau adéquat de protection des données est nécessaire, ces transferts seront soumis à des garanties appropriées conformément à la législation applicable en matière de protection des données, y compris, le cas échéant, les clauses contractuelles types (SCC) et l'avenant britannique tels qu'ils sont intégrés au présent accord sur le traitement des données (DPA).

9.2 Clauses types de l'UE. Pour les transferts de données à caractère personnel du client soumis au RGPD vers un pays tiers ne bénéficiant pas d'un niveau de protection adéquat, les parties intègrent les clauses types de l'UE. Le module 2 (responsable du traitement → sous-traitant) s'applique lorsque le client est un responsable du traitement ; le module 3 (sous-traitant → sous-traitant secondaire) s'applique lorsque le client est un sous-traitant. Les annexes des clauses types sont complétées à l'aide de l'annexe B (annexe I/III) et de l'annexe C (annexe II).

9.3 Avenant britannique. Pour les transferts soumis au RGPD britannique, les parties intègrent l'avenant britannique, complété par référence à l'annexe B/C et au mécanisme de transfert retenu.

9.4 Suisse. Pour les transferts vers la Suisse, les clauses contractuelles types de l'UE s'appliquent avec les modifications standard prévues par la législation suisse (les références au RGPD incluent la LPD suisse ; le PFPDT en tant qu'autorité compétente, etc.), complétées par les références aux annexes.

9.5 Demandes d'accès émanant des autorités publiques. Ultralytics les demandes juridiquement contraignantes concernant les données à caractère personnel du client conformément à la législation applicable et aux clauses types de transfert (SCC), y compris (lorsque la loi le permet) la notification au client et une coopération raisonnable.

10. Conditions entre responsables du traitement (Ultralytics / Utilisation / Opérations de sécurité)

10.1 Champ d'application. La présente section s'applique au traitement des données à caractère personnel par chaque partie en tant que responsable du traitement indépendant (et non en tant que responsables conjoints du traitement), y compris le traitement Ultralytics des données relatives au compte de l'entreprise et des données d'utilisation de l'entreprise.

10.2 Obligations du responsable du traitement indépendant. Chaque partie s'engage à :

(a) Traiter les données à caractère personnel conformément à la législation en matière de protection des données ;
b) mettre en place des mesures de sécurité appropriées ; et
(c) répondre aux communications des autorités de régulation concernant ses propres traitements.

10.3 Traitement Ultralytics . Ultralytics les données relatives aux comptes de la société et les données d'utilisation de la société en tant que responsable du traitement aux fins suivantes : gestion des comptes, facturation, surveillance de la sécurité et prévention des abus, vérification d'identité, conformité légale, audits/comptabilité et exploitation des services (y compris les performances et la fiabilité). Ce traitement est décrit dans la politique Ultralytics . Aucune disposition du présent ATD ne saurait être interprétée comme créant une relation de responsables conjoints du traitement entre les parties.

À titre de clarification, Ultralytics ses sociétés affiliées peuvent traiter certaines données de contact professionnelles (telles que les noms, les adresses e-mail professionnelles et les coordonnées professionnelles) dans le cadre d'actions de prospection commerciale, de démonstrations, de partenariats et d'activités de gestion de la relation client, en tant que responsables du traitement indépendants.

11. Dispositions applicables en Californie (CCPA/CPRA)

11.1 Prestataire de services / Sous-traitant. Dans la mesure où la CCPA/CPRA s'applique et où Ultralytics les données à caractère personnel du client pour le compte de ce dernier, Ultralytics en tant que « prestataire de services » et/ou « sous-traitant », et s'engage à ne pas « vendre » ni « partager » ces informations à caractère personnel.

11.2 Utilisation limitée. Ultralytics ne pas conserver, utiliser ou divulguer les données personnelles du client en dehors de l'objectif commercial direct consistant à fournir les services, sauf dans les cas autorisés par la CCPA/CPRA.

11.3 Discrimination. Les parties ne doivent pas exercer de discrimination à l'encontre d'un consommateur au motif qu'il a exercé ses droits.

12. Dispositions générales

12.1 Limitation de responsabilité. Les limitations et exclusions prévues dans le Contrat s'appliquent au présent ATD, sauf si la loi ou les CCT/l'avenant britannique l'interdisent.

12.2 Divisibilité. Si une disposition du présent ATD s'avérait invalide ou inapplicable, les autres dispositions du présent ATD resteraient valides et en vigueur. La disposition invalide ou inapplicable sera soit (i) modifiée dans la mesure nécessaire pour garantir sa validité et son applicabilité, tout en préservant autant que possible les intentions des parties, soit, si cela n'est pas possible, (ii) interprétée comme si la partie invalide ou inapplicable n'y avait jamais figuré.

12.3 Signature du présent ATD. Le présent ATD est intégré au Contrat et en fait partie intégrante. Le Client conclut le présent ATD (y compris, le cas échéant, les clauses contractuelles types de l'UE et l'avenant britannique) en :

(a) accepter ou consentir à être lié par le Contrat (notamment en cliquant sur « J'accepte » ou en utilisant un mécanisme similaire aux Conditions d'utilisation),
(b) la signature d'un bon de commande, d'un cahier des charges ou de tout autre accord écrit qui intègre ou fait référence au Contrat, ou
(c) utiliser ou continuer à utiliser les Services après que la Société a mis à disposition le présent ATD.

Le Client déclare et garantit que la personne qui accepte le Contrat et/ou utilise les Services pour le compte du Client est habilitée à engager le Client et, le cas échéant, ses sociétés affiliées.

12.4 Contact. Demandes relatives à la protection des données : ultralytics; délégué à la protection des données : ultralytics; mentions légales : ultralytics.

13. Parties ; sociétés affiliées

Le Client conclut le présent ATD en son nom propre et au nom de ses sociétés affiliées qui sont des utilisateurs autorisés des Services en vertu du Contrat et qui sont des responsables du traitement ou des sous-traitants des Données à caractère personnel du Client (« Sociétés affiliées autorisées »). Le Client déclare avoir le pouvoir de lier les Sociétés affiliées autorisées.

Pièce A : Informations relatives au traitement des données à caractère personnel

Nature : Ultralytics un logiciel basé sur le cloud ainsi que des services connexes qui permettent aux Clients d'accéder Ultralytics et fonctionnalités Ultralytics et de les utiliser, notamment l'entraînement de modèles, l'inférence, la gestion des ensembles de données, les workflows de déploiement, ainsi que l'assistance et l'administration associées (« Services »), comme décrit dans le Contrat.

Pour plus de clarté, les Services comprennent la Ultralytics , par l'intermédiaire de laquelle Ultralytics les Données à caractère personnel du Client pour le compte de ce dernier, conformément au présent ATD. Par ailleurs, Ultralytics met Ultralytics à disposition les modèlesYOLO Ultralytics YOLO , que les Clients peuvent déployer et exploiter de manière indépendante dans leurs propres environnements. Lorsque les Clients déploient ou utilisentYOLO Ultralytics YOLO en dehors de la Ultralytics , Ultralytics traite Ultralytics Données à caractère personnel pour le compte du Client, et les Clients sont seuls responsables de la mise en œuvre des mesures techniques et organisationnelles appropriées, de la détermination des finalités et des moyens du traitement, ainsi que du respect des lois applicables en matière de protection des données dans le cadre de ce déploiement et de cette utilisation.

Objet : Ultralytics les données à caractère personnel du client pour le compte de ce dernier aux fins suivantes :

fournir, exploiter, sécuriser et assurer le support des Services conformément au Contrat et aux Instructions écrites du Client ;
se conformer à toute autre instruction raisonnable et documentée fournie par le Client, pour autant que ces instructions soient conformes au Contrat et au présent ATD ;
pour répondre aux demandes formulées par le Client ou ses utilisateurs autorisés dans le cadre de leur utilisation des Services (y compris les demandes d'assistance) ;
pour surveiller, prévenir et detect les incidents detect , les fraudes, les abus et les utilisations abusives du service ; et
pour nous conformer aux obligations légales applicables.

Ultralytics pas les Données personnelles du Client pour entraîner ou améliorer Ultralytics modèles généraux, sauf instruction expresse du Client par écrit ou via les Services. À titre de précision, Ultralytics utiliser les Données d'utilisation de l'Entreprise ainsi que des données agrégées ou anonymisées (lorsque cela est autorisé) pour assurer le fonctionnement, la sécurité et l'amélioration des Services.

Lorsque le Client choisit de partager des ensembles de données, des modèles ou tout autre contenu via les fonctionnalités communautaires ou publiques des Services, ce partage constitue une instruction formelle de sa part. Il incombe exclusivement au Client de s'assurer qu'il dispose de tous les droits et fondements juridiques nécessaires pour mettre ces données à la disposition d'autres utilisateurs.

Durée du traitement : Ultralytics les données à caractère personnel du client pendant toute la durée du contrat et aussi longtemps que nécessaire pour fournir les services conformément aux instructions du client. À la suite de la résiliation ou de l'expiration du contrat, Ultralytics ou restituera les données à caractère personnel du client conformément au contrat et au présent ATD, sauf si la législation applicable impose une conservation plus longue. Pour plus de clarté, lorsque Ultralytics les données à caractère personnel du responsable du traitement (y compris les données du compte de l'entreprise et les données d'utilisation de l'entreprise) en tant que responsable du traitement indépendant en vertu de la section 10, ce traitement aura lieu pendant les périodes prévues dans la politique Ultralytics .

Catégories de personnes concernées : Les données à caractère personnel du client peuvent concerner les catégories suivantes de personnes concernées, telles que définies et gérées par le client :

les employés, sous-traitants, mandataires et représentants du client ;
les utilisateurs autorisés et les administrateurs du client ;
ainsi que les utilisateurs finaux du Client, ses clients ou toute autre personne dont le Client choisit de transmettre les données à caractère personnel aux Services.

Catégories de données à caractère personnel : Les données à caractère personnel du Client peuvent inclure les catégories suivantes, dans la mesure où elles sont transmises ou mises à disposition d'une autre manière via les Services par le Client ou en son nom :

Données relatives au compte et à l'identité de l'utilisateur, telles que le nom, l'adresse e-mail, le nom d'utilisateur/l'identifiant, le nom de l'organisation et le rôle/les autorisations de l'utilisateur (par exemple, administrateur/utilisateur).
Données d'utilisation et données techniques relatives aux appareils, telles que l'adresse IP, les identifiants des appareils et les attributs système (par exemple, le type d'appareil, le système d'exploitation, le type de navigateur), les fichiers journaux, les horodatages, les événements d'authentification, l'historique d'accès et (le cas échéant) les applications installées ou les détails de configuration, collectées dans le cadre des processus de gestion des appareils d'entreprise ou de sécurité.
Les contenus et contributions fournis par le Client, tels que les invites générées par les utilisateurs, les commentaires, les annotations, les métadonnées ou les étiquettes des ensembles de données, ainsi que tout autre contenu que le Client télécharge ou soumet via les Services (y compris les images, vidéos, fichiers audio ou autres fichiers), mais uniquement dans la mesure où ces contenus contiennent des Données à caractère personnel.
Données relatives à l'assistance et à la communication, telles que les échanges avec le service client, les rapports d'incident, les informations de dépannage et les coordonnées des contacts administratifs.

Les catégories de données à caractère personnel traitées peuvent également inclure celles décrites dans la politique Ultralytics .

Données sensibles ou catégories particulières de données : Les Services ne sont ni conçus ni destinés à traiter des catégories particulières de données à caractère personnel (telles que définies à l'article 9 du RGPD ou dans toute législation applicable en matière de protection des données) ni des données à caractère personnel relatives aux condamnations pénales et aux infractions (article 10 du RGPD) ; il est interdit au Client de fournir de telles données, sauf accord écrit exprès avec Ultralytics sous réserve de garanties supplémentaires.

Pièce B : Informations relatives aux annexes I et III (clauses contractuelles types de l'UE et addendum britannique)

Les informations ci-dessous correspondent aux exigences des annexes I et III des clauses contractuelles types de l'UE, ainsi qu'au tableau 1, à l'annexe 1A et à l'annexe 1B de l'addendum britannique.

1. Les parties

Exportateur(s) de données :

Nom : Nom de la personne morale du client
Nom commercial (le cas échéant) : [Facultatif]
Adresse : Adresse de domicile du client
Numéro d'enregistrement officiel (le cas échéant) : [Facultatif]
Nom, fonction et coordonnées de la personne à contacter : Nom, Fonction, E-mail
Activités liées aux données transférées en vertu des présentes clauses : utilisation des services prévus par le contrat, y compris le transfert des données à caractère personnel du client à Ultralytics traitement dans le cadre des services, tel que décrit dans le contrat, le présent accord sur le traitement des données et l'annexe A.
Signature et date : lors de la signature/acceptation du contrat/de l'accord sur le traitement des données
Rôle (responsable du traitement/sous-traitant) : Responsable du traitement

Responsable(s) de l'importation des données :

Nom : Ultralytics .
Nom commercial (le cas échéant) : N/A
Adresse et coordonnées : 5001 Judicial Way, Frederick, MD, 21703, États-Unis ; ultralytics
Numéro d'enregistrement officiel (le cas échéant) : 6755919
Activités liées aux données transférées en vertu des présentes clauses : le traitement des données à caractère personnel du client pour le compte de ce dernier afin de fournir, d'exploiter, de sécuriser, de maintenir et d'assurer le support des services, ainsi que pour toute autre finalité décrite dans le contrat, le présent accord sur le traitement des données et l'annexe A.
Signature et date : lors de la signature/acceptation du contrat/de l'accord sur le traitement des données
Rôle (responsable du traitement/sous-traitant) : tel que décrit à la section 3 de la loi sur la protection des données.

2. Description du transfert

Champ	Détails
Personnes concernées	Comme indiqué à l'annexe A de l'accord de poursuite différée
Catégories de données à caractère personnel	Comme indiqué à l'annexe A de l'accord de poursuite différée
Données à caractère personnel relevant de catégories particulières (le cas échéant)	Comme indiqué à l'annexe A de l'accord de poursuite différée
Nature du traitement	Comme indiqué à l'annexe A de l'accord de poursuite différée
Finalités du traitement	Comme indiqué à l'annexe A de l'accord de poursuite différée
Durée du traitement et de la conservation (ou critères permettant de déterminer cette durée)	Comme indiqué à l'annexe A de l'accord de poursuite différée
Fréquence des transferts	Dans la mesure nécessaire pour assurer et exercer l'ensemble des obligations et des droits relatifs aux données à caractère personnel, tels que prévus dans le contrat ou dans l'accord sur le traitement des données
Destinataires des données à caractère personnel transférées à l'importateur de données	La société tiendra à jour une liste des sous-traitants à l'adresse suivante : ultralytics Sous-traitants au sein du groupe : Ultralytics (Royaume-Uni) - assistance technique, service client, aide à l'intégration et interactions commerciales (y compris démonstrations et partenariats) Ultralytics Spain, S.L. (Espagne) - assistance technique, interactions commerciales et activités en contact avec la clientèle, impliquant un traitement limité des données de contact professionnelles

3. Autorité de contrôle compétente

L'autorité de contrôle est celle de l'exportateur de données, telle que désignée conformément à la clause 13 des clauses contractuelles types de l'UE. Aux fins de l'avenant britannique, l'autorité de contrôle est le Bureau du commissaire à l'information du Royaume-Uni.

Annexe C : Mesures de sécurité techniques et organisationnelles

Vous trouverez ci-dessous les informations requises par l'annexe II des clauses contractuelles types de l'UE et par l'annexe II de l'addendum britannique.

Mesures de sécurité techniques et organisationnelles	Détails
Mesures de pseudonymisation et de chiffrement des données à caractère personnel	Les données personnelles des clients sont protégées par un chiffrement lors de leur transfert, grâce à des connexions sécurisées conformes aux normes du secteur (TLS) entre les composants de la plateforme et les terminaux externes. Les données stockées dans les services cloud bénéficient d'un chiffrement au repos géré par le fournisseur de services cloud, ainsi que de contrôles sécurisés de gestion des clés.
Mesures visant à garantir en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de traitement	Ultralytics ses engagements en matière de sécurité, de confidentialité et de disponibilité pour ses services, notamment grâce à une configuration système conçue pour limiter les accès non autorisés, à la détection et à la surveillance des intrusions, à l'analyse des vulnérabilités et aux tests d'intrusion, au chiffrement des données en transit et au repos, ainsi qu'à des contrôles relatifs à la conservation et à l'élimination des données. La Ultralytics fonctionne à l'aide de services cloud gérés garantissant la disponibilité. Nos fournisseurs d'infrastructure en tant que service (IaaS) assurent la résilience des bases de données grâce à la réplication et à la haute disponibilité. Ultralytics veille Ultralytics à ce que les mesures techniques et organisationnelles (MTO) des sous-traitants en aval respectent ou dépassent les normes énoncées dans le présent accord.
Mesures visant à garantir la capacité de rétablir rapidement la disponibilité et l'accès aux données à caractère personnel en cas d'incident physique ou technique	Les données clients hébergées sur la Ultralytics sont sauvegardées à l'aide des services natifs du fournisseur de cloud. Les sauvegardes font l'objet d'une surveillance, et toute anomalie est examinée et corrigée. Les données sauvegardées sont chiffrées au repos et en transit, et leur accès est réservé au personnel autorisé. La planification de la continuité des activités et de la reprise après sinistre comprend des objectifs de point de reprise (RPO), des objectifs de délai de reprise (RTO) ainsi que des rôles et responsabilités clairement définis.
Procédures visant à tester, analyser et évaluer régulièrement l'efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement	Ultralytics régulièrement des analyses de vulnérabilité sur le système et le réseau, ainsi que des tests d'intrusion sur l'environnement de production. La gestion des vulnérabilités comprend l'analyse des dépendances et l'intégration de pratiques de développement sécurisées dans les pipelines CI/CD ; les vulnérabilités identifiées sont classées par ordre de priorité et corrigées en fonction de leur gravité et du risque qu'elles présentent. De plus, Ultralytics une évaluation annuelle des risques et Ultralytics une revue de direction dans le cadre des pratiques standard du SMSI.
Mesures relatives à l'identification et à l'autorisation des utilisateurs	Ultralytics utilise un fournisseur d'authentification et d'identité qui prend en charge l'authentification des utilisateurs et la gestion des sessions. L'accès aux systèmes d'ingénierie (y compris les référentiels de code source) est réservé au personnel autorisé et régi par des autorisations basées sur les rôles, des protections de branches et des révisions obligatoires. L'accès interne suit un modèle de privilèges minimaux et des contrôles d'accès basés sur les rôles.
Mesures visant à protéger les données pendant leur transmission	L'accès au réseau de la Ultralytics est limité aux connexions HTTPS (TLS) sécurisées via des points de terminaison frontaux désignés. Les communications internes entre les composants de la plateforme et les services de stockage sont chiffrées en transit à l'aide du protocole TLS.
Mesures de protection des données pendant leur stockage	Sur la Ultralytics , les données des clients sont stockées dans des services cloud gérés et chiffrés, dotés de fonctionnalités de redondance et de sauvegarde. Ces services cloud gérés offrent un chiffrement intégré, des sauvegardes automatisées, un stockage redondant et une haute disponibilité. Le chiffrement géré par le fournisseur de services cloud s'applique aux données au repos.
Mesures visant à garantir la sécurité physique des lieux où sont traitées les données à caractère personnel	Ultralytics est hébergée par des fournisseurs de services cloud tiers. Les mesures de protection physique et environnementale des centres de données d'hébergement sont gérées par les sous-traitants concernés. Ultralytics les rapports d'attestation des sous-traitants et procède à une analyse des risques au moins une fois par an.
Mesures visant à garantir la journalisation des événements	Ultralytics la journalisation native du cloud pour la surveillance, le dépannage et les enquêtes sur les incidents. Les alertes relatives à la disponibilité de la plateforme et à la sécurité sont transmises en interne par le biais de canaux de communication internes et par e-mail, et en externe via une page d'état hébergée. De plus, Ultralytics procède Ultralytics à un examen des accès aux applications, outils et ressources qui traitent ou stockent les données des clients.
Mesures visant à garantir la configuration du système, y compris la configuration par défaut	Ultralytics des processus documentés de gestion des changements régissant les modifications apportées à la Ultralytics et au code sourceYOLO Ultralytics YOLO , notamment le lancement des changements, la documentation, les normes de développement, les tests, la révision et l'approbation avant la mise en production ou le déploiement. Les changements sont suivis dans le système de contrôle de version et font l'objet d'une révision par les pairs ainsi que d'une validation via le pipeline CI/CD.
Mesures relatives à la gouvernance et à la gestion internes des technologies de l'information et de la sécurité informatique	Ultralytics des politiques et des procédures de sécurité conformes à ses engagements de service et à ses exigences internes en matière de conformité, et procède à un examen annuel des principales politiques et procédures. Les employés doivent valider leur prise de connaissance des politiques via un outil dédié à la gouvernance, aux risques et à la conformité (GRC) et sont tenus de suivre une formation annuelle de sensibilisation à la sécurité et à la protection de la vie privée, ainsi qu'une formation au codage sécurisé pour les postes d'ingénierie. Les risques sont consignés dans un registre centralisé et font l'objet d'un examen formel au moins une fois par an.
Mesures relatives à la certification et à l'assurance qualité des processus et des produits	Ultralytics à des services gérés par des tiers (y compris des sous-traitants) et examine chaque année leurs rapports SOC 2 dans le cadre de ses contrôles de surveillance. La diligence raisonnable vis-à-vis des fournisseurs est fondée sur l'évaluation des risques, et les fournisseurs sont classés par niveaux (Critique/Élevé/Moyen/Faible), avec des garanties contractuelles et des réévaluations périodiques.
Mesures visant à garantir la minimisation des données	Ultralytics les données des clients conformément aux contrats conclus avec ces derniers et aux exigences applicables en matière de protection des données, et limite ce traitement à ce qui est nécessaire pour fournir et assurer le support des Services (y compris la gestion des ensembles de données, l'annotation, l'entraînement des modèles, l'évaluation et les fonctionnalités associées de la plateforme). L'utilisationYOLO Ultralytics est gérée par le client et Ultralytics les charges de travail d'inférence pour les clients dans ce contexte.
Mesures visant à garantir la qualité des données	Ultralytics des pratiques de développement et de déploiement contrôlées, conçues pour garantir l'intégrité et la fiabilité, notamment l'examen par les pairs, les tests automatisés, les workflows CI/CD et la gestion contrôlée des modifications pour la plateforme et les versions du code open source.
Mesures visant à garantir une conservation limitée des données	Ultralytics ses engagements en matière de conservation et d'élimination des données dans le cadre de ses engagements de service. Les données des clients relatives à la plateforme sont sauvegardées à l'aide de services gérés, et leur suppression ou leur restitution est effectuée conformément aux contrats conclus avec les clients et à la législation en vigueur.
Mesures visant à garantir la responsabilité	Ultralytics un plan d'intervention en cas d'incident et Ultralytics procédures documentées pour identifier, signaler, gérer et suivre les incidents liés à la sécurité et à la confidentialité, y compris les communications relatives au signalement de vulnérabilités externes viaultralytics. Les incidents sont consignés et traités avec la participation des services d'ingénierie, du service juridique et de la direction générale, en fonction de leur gravité.
Mesures visant à permettre la portabilité des données et à garantir leur effacement	Les données à caractère personnel du Client transmises à Ultralytics peuvent être supprimées par le Client et/ou à la demande de celui-ci, conformément au Contrat et au présent ATD. Lorsqu'une suppression est requise, Ultralytics conformément aux instructions du Client et aux exigences légales applicables. (La portabilité est prise en charge dans la mesure où le Client peut exporter ou récupérer ses Données client à partir des Services, selon le cas.) Les modèlesYOLO Ultralytics sont déployés par le Client au sein de son environnement dédié, garantissant ainsi un contrôle total de la gouvernance des données.
Mesures techniques et organisationnelles des sous-traitants	Ultralytics un programme de gestion des fournisseurs fondé sur les risques pour l'intégration et le suivi des prestataires de services tiers, ce qui comprend l'examen des attestations de conformité ainsi que des exigences contractuelles en matière de sécurité et de protection des données. Ultralytics assure Ultralytics le suivi des sous-traitants et examine chaque année leurs rapports SOC 2. Ultralytics conclut Ultralytics des accords de traitement des données avec ses sous-traitants, qui prévoient des obligations en matière de protection des données substantiellement similaires à celles contenues dans le présent accord.

Annexe D : Addendum pour le Royaume-Uni

Avenant relatif au transfert international de données aux clauses contractuelles types de la Commission européenne

Partie 1 : Tableaux

Tableau 1 : Parties

Champ	Exportateur	Importateur
Date de début	Le présent avenant britannique entrera en vigueur à la même date que l'accord sur le traitement des données
Coordonnées des parties	Client	Entreprise
Interlocuteur principal	Voir l'annexe B du présent accord de poursuite différée	Voir l'annexe B du présent accord de poursuite différée

Tableau 2 : SCC, modules et clauses sélectionnés

Champ	Détails
Clauses types de l'UE	La version des clauses contractuelles types de l'UE approuvées à laquelle le présent avenant britannique est annexé, telle que définie dans l'accord de traitement des données (DPA) et complétée par les sections 6.2 et 6.3 dudit accord.

Tableau 3 : Informations en annexe

On entend par « informations de l'annexe » les informations qui doivent être fournies pour les modules sélectionnés, telles qu'énoncées dans l'annexe des clauses contractuelles types de l'UE approuvées (autres que les parties), et qui, pour le présent addendum britannique, figurent dans :

Annexe	Référence
Annexe 1A : Liste des Parties	Comme indiqué dans le tableau 1 ci-dessus
Annexe 2B : Description du transfert	Voir l'annexe B du présent accord de poursuite différée
Annexe II : Mesures techniques et organisationnelles visant à garantir la sécurité des données	Voir l'annexe C du présent accord de poursuite différée
Annexe III : Liste des sous-traitants (modules 2 et 3 uniquement)	Voir l'annexe B du présent accord de poursuite différée

Tableau 4 : Fin de cet addendum britannique en cas de modification de l'addendum britannique approuvé

Remarque : cette disposition autorise la partie désignée (le cas échéant) à résilier l'avenant britannique si l'ICO modifie l'avenant britannique approuvé, ce qui entraîne directement une augmentation substantielle, disproportionnée et démontrable (a) de ses coûts directs liés à l'exécution de ses obligations au titre de l'avenant britannique ou (b) du risque qu'elle encourt au titre de l'avenant britannique.

Champ	Sélection
Résiliation du présent avenant britannique en cas de modification de l'avenant britannique approuvé	x Importateur x Exportateur ☐ Aucune des deux parties

Signature du présent avenant pour le Royaume-Uni

Chaque partie s'engage à respecter les conditions générales énoncées dans le présent avenant britannique, à condition que l'autre partie s'engage également à respecter ledit avenant.

Bien que l'annexe 1A et la clause 7 des clauses contractuelles types de l'UE approuvées exigent la signature des parties, aux fins de la réalisation de transferts en provenance du Royaume-Uni, les parties peuvent conclure le présent avenant britannique de toute manière qui le rende juridiquement contraignant pour elles et permette aux personnes concernées de faire valoir leurs droits tels qu'énoncés dans le présent avenant britannique. La conclusion du présent addendum britannique aura le même effet que la signature des CCT approuvées de l'UE et de toute partie de celles-ci.

Interprétation du présent addendum britannique

Lorsque le présent addendum britannique utilise des termes définis dans les clauses contractuelles types de l'UE approuvées, ces termes ont la même signification que dans lesdites clauses. En outre, les termes suivants ont la signification indiquée ci-dessous :

Terme	Définition
Annexe pour le Royaume-Uni	désigne le présent avenant relatif au transfert international de données, qui intègre les clauses contractuelles types de l'UE et est joint à l'accord sur le traitement des données en tant qu'annexe D.
Clauses types de l'UE	désigne la ou les versions des clauses contractuelles types de l'UE approuvées auxquelles le présent addendum britannique est annexé, telles qu'énoncées dans le tableau 2, y compris les informations figurant en annexe
Informations complémentaires	sera tel qu'indiqué dans le tableau 3
Mesures de protection appropriées	désigne le niveau de protection des données à caractère personnel et des droits des personnes concernées requis par la législation britannique en matière de protection des données lorsque vous effectuez un transfert hors du Royaume-Uni en vous fondant sur les clauses types de protection des données prévues à l'article 46, paragraphe 2, point d), du RGPD britannique.
Addendum approuvé pour le Royaume-Uni	désigne le modèle d'avenant publié par l'ICO et soumis au Parlement conformément à l'article 119A de la loi de 2018 sur la protection des données le 2 février 2022, tel qu'il peut être révisé en vertu de l'article 18 de l'avenant britannique.
Clauses contractuelles types approuvées par l'UE	désigne les clauses contractuelles types approuvées par la Commission européenne dans sa décision 2021/914 du 4 juin 2021, pour les transferts de données à caractère personnel vers des pays qui ne sont pas autrement reconnus par la Commission européenne comme offrant un niveau de protection adéquat des données à caractère personnel (telles que modifiées et mises à jour de temps à autre).
ICO	désigne le Bureau du commissaire à l'information.
Transfert depuis le Royaume-Uni	aura la même définition que celle énoncée dans la DPA.
Royaume-Uni	désigne le Royaume-Uni de Grande-Bretagne et d'Irlande du Nord
Législation britannique en matière de protection des données	désigne l'ensemble des lois relatives à la protection des données, au traitement des données à caractère personnel, à la vie privée et/ou aux communications électroniques en vigueur au Royaume-Uni, y compris le RGPD britannique et la loi de 2018 sur la protection des données.
RGPD au Royaume-Uni	aura la définition qui y est donnée.

L'avenant britannique doit toujours être interprété d'une manière conforme à la législation britannique en matière de protection des données et de façon à ce qu'il permette aux parties de remplir leur obligation de fournir les garanties appropriées.

Si les dispositions figurant dans l'avenant britannique modifient les clauses contractuelles types de l'UE approuvées d'une manière non autorisée par ces dernières ou par l'avenant britannique approuvé, ces modifications ne seront pas intégrées dans l'avenant britannique et seront remplacées par la disposition équivalente des clauses contractuelles types de l'UE approuvées.

En cas d'incohérence ou de conflit entre la législation britannique en matière de protection des données et l'avenant britannique, c'est la législation britannique en matière de protection des données qui s'appliquera.

Si le sens de l'addendum britannique n'est pas clair ou s'il peut être interprété de plusieurs façons, c'est l'interprétation qui correspond le mieux à la législation britannique en matière de protection des données qui s'applique.

Toute référence à une loi (ou à une disposition spécifique d'une loi) désigne cette loi (ou cette disposition spécifique) telle qu'elle peut évoluer au fil du temps. Cela inclut les cas où cette loi (ou cette disposition spécifique) a fait l'objet d'une consolidation, d'une réadoption et/ou d'un remplacement après la conclusion de l'avenant britannique.

Hiérarchie

Bien que la clause 5 des clauses contractuelles types de l'UE approuvées prévoie que celles-ci prévalent sur tous les accords connexes conclus entre les parties, les parties conviennent que, pour les transferts en provenance du Royaume-Uni, la hiérarchie définie à la section 10 ci-dessous prévaudra.

En cas d'incohérence ou de conflit entre l'avenant britannique approuvé et les clauses contractuelles types de l'UE (selon le cas), l'avenant britannique approuvé prévaut sur les clauses contractuelles types de l'UE, sauf si (et dans la mesure où) les dispositions incohérentes ou contradictoires des clauses contractuelles types de l'UE offrent une protection plus étendue aux personnes concernées, auquel cas ces dispositions prévaudront sur l'avenant britannique approuvé.

Dans la mesure où le présent avenant britannique intègre les clauses contractuelles types de l'UE qui ont été conclues afin de protéger les transferts hors de l'UE soumis au RGPD, les parties reconnaissent qu'aucune disposition de l'avenant britannique n'a d'incidence sur ces clauses contractuelles types de l'UE.

Intégration et modifications des clauses contractuelles types de l'UE

Le présent avenant britannique intègre les clauses contractuelles types de l'UE, qui ont été modifiées dans la mesure nécessaire afin que :

elles s'appliquent conjointement aux transferts de données effectués par l'exportateur de données vers l'importateur de données, dans la mesure où la législation britannique en matière de protection des données s'applique au traitement effectué par l'exportateur de données lors de ce transfert, et elles offrent des garanties adéquates pour ces transferts de données ;
Les sections 9 à 11 ci-dessus prévalent sur la clause 5 (Hiérarchie) des clauses contractuelles types de l'UE ; et
L'avenant britannique (y compris les clauses contractuelles types de l'UE qui y sont intégrées) est (1) régi par le droit anglais et gallois et (2) tout litige en découlant est tranché par les tribunaux d'Angleterre et du Pays de Galles.

À moins que les parties ne se soient mises d'accord sur d'autres modifications répondant aux exigences de la section 12 du présent avenant britannique, les dispositions de la section 15 du présent avenant britannique s'appliquent.

Aucune modification ne peut être apportée aux clauses contractuelles types de l'UE approuvées, sauf pour se conformer aux exigences de la section 12 du présent addendum britannique.

Les modifications suivantes sont apportées aux clauses contractuelles types de l'UE (aux fins de la section 12 du présent addendum britannique) :

Toute référence aux « clauses » désigne le présent avenant britannique, qui intègre les clauses contractuelles types de l'UE ;
À la clause 2, supprimer les mots suivants : « et, en ce qui concerne les transferts de données des responsables du traitement vers les sous-traitants et/ou entre sous-traitants, les clauses contractuelles types visées à l'article 28, paragraphe 7, du règlement (UE) 2016/679 » ;
La clause 6 (Description du ou des transferts) est remplacée par le texte suivant : « Les détails du ou des transferts, et notamment les catégories de données à caractère personnel transférées ainsi que la ou les finalités pour lesquelles elles sont transférées, sont ceux spécifiés à l'annexe I.B lorsque la législation britannique en matière de protection des données s'applique au traitement effectué par l'exportateur de données lors de ce transfert. » ;
La clause 8.7(i) du module 1 est remplacée par : « il s'agit d'un pays bénéficiant de dispositions d'adéquation en vertu de l'article 17A du RGPD britannique, qui régit le transfert ultérieur » ;
La clause 8.8(i) des modules 2 et 3 est remplacée par : « le transfert ultérieur est destiné à un pays bénéficiant d'une décision d'adéquation en vertu de l'article 17A du RGPD britannique qui couvre ce transfert ultérieur ; »
Les références au « règlement (UE) 2016/679 », au «Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données)» et à «ce règlement» sont toutes remplacées par «lois britanniques sur la protection des données». Les références à un ou plusieurs articles spécifiques du « règlement (UE) 2016/679 » sont remplacées par l'article ou la section équivalent(e) des lois britanniques sur la protection des données ;
Les références au règlement (UE) 2018/1725 sont supprimées ;
Les mentions « Union européenne », « Union », « UE », « État membre de l'UE », « État membre » et « UE ou État membre » sont toutes remplacées par « Royaume-Uni » ;
La référence à la « clause 12(c)(i) » figurant à la clause 10(b)(i) du module 1 est remplacée par « clause 11(c)(i) » ;
La clause 13, point a), et la partie C de l'annexe I ne sont pas utilisées ;
Les termes « autorité de contrôle compétente » et « autorité de contrôle » sont tous deux remplacés par « commissaire à l'information » ;
À l'article 16, point e), le paragraphe i) est remplacé par le texte suivant : « le ministre arrête, en vertu de l'article 17A de la loi de 2018 sur la protection des données, des règlements régissant le transfert des données à caractère personnel auxquels s'appliquent les présentes clauses ; » ;
La clause 17 est remplacée par : « Les présentes clauses sont régies par le droit anglais et gallois » ;
La clause 18 est remplacée par le texte suivant : « Tout litige découlant des présentes clauses sera tranché par les tribunaux d'Angleterre et du Pays de Galles. Une personne concernée peut également intenter une action en justice contre l'exportateur de données et/ou l'importateur de données devant les tribunaux de n'importe quel pays du Royaume-Uni. Les parties conviennent de se soumettre à la compétence de ces tribunaux. » ; et
Les notes de bas de page relatives aux clauses contractuelles types de l'UE approuvées ne font pas partie de l'addendum britannique, à l'exception des notes 8, 9, 10 et 11.

Modifications apportées à l'addendum britannique

Les parties peuvent convenir de modifier les clauses 17 et/ou 18 des clauses contractuelles types de l'UE afin de faire référence à la législation et/ou aux tribunaux d'Écosse ou d'Irlande du Nord.

Si les parties souhaitent modifier la présentation des informations figurant dans la partie 1 : Tableaux de l'addendum approuvé pour le Royaume-Uni, elles peuvent le faire en convenant de cette modification par écrit, à condition que celle-ci ne porte pas atteinte aux garanties appropriées.

De temps à autre, l'ICO peut publier une version révisée de l'addendum approuvé pour le Royaume-Uni qui :

apporte des modifications raisonnables et proportionnées à l'addendum approuvé pour le Royaume-Uni, y compris la correction des erreurs contenues dans cet addendum ; et/ou
tient compte des modifications apportées à la législation britannique en matière de protection des données.

L'avenant britannique approuvé révisé précisera la date à compter de laquelle les modifications apportées à l'avenant britannique approuvé prendront effet et indiquera si les parties doivent réexaminer cet avenant britannique, y compris les informations figurant en annexe. Le présent avenant britannique sera automatiquement modifié conformément aux dispositions de l'avenant britannique approuvé révisé à compter de la date indiquée.

Si l'ICO publie un addendum britannique approuvé révisé en vertu de l'article 18 du présent addendum britannique, et si, en conséquence directe des modifications apportées à cet addendum, une partie subit une augmentation substantielle, disproportionnée et démontrable :

ses coûts directs liés à l'exécution de ses obligations au titre de l'avenant britannique ; et/ou
son risque au titre de l'avenant britannique,

et si, dans l'un ou l'autre cas, elle a d'abord pris des mesures raisonnables pour réduire ces coûts ou ces risques de manière à ce qu'ils ne soient ni substantiels ni disproportionnés, cette partie peut alors mettre fin au présent avenant britannique à l'issue d'un délai de préavis raisonnable, en adressant un préavis écrit de cette durée à l'autre partie avant la date d'entrée en vigueur de l'avenant britannique approuvé révisé.

Les parties n'ont pas besoin de l'accord d'un tiers pour apporter des modifications au présent avenant britannique, mais toute modification doit être effectuée conformément à ses dispositions.