Accord de traitement des données (DPA) Ultralytics
Consulte l'accord de traitement des données d'Ultralytics concernant le traitement des données personnelles, les mesures de sécurité et la conformité aux lois sur la protection des données de l'UE et du Royaume-Uni.
Cet accord de traitement des données (« DPA ») est intégré à et fait partie intégrante de (i) nos Conditions d'utilisation Ultralytics et/ou (ii) tout bon de commande, accord d'entreprise ou autre accord écrit applicable faisant référence à ce DPA (chacun étant le « Contrat ») entre le client (« Client », « tu ») et Ultralytics, Inc. (« Ultralytics », « Entreprise », « nous »).
Ce DPA reflète l'accord des parties concernant :
- (A) les conditions Responsable-vers-Sous-traitant : le traitement des données personnelles du Client par Ultralytics en tant que Sous-traitant (ou sous-traitant ultérieur lorsque le Client est un Responsable) pour ton compte en lien avec les Services ; et
- (B) les conditions Responsable-vers-Responsable : le traitement des données personnelles du Responsable par chaque partie en tant que Responsable indépendant, uniquement dans la mesure décrite à la section 10.
Ce DPA reste en vigueur pendant toute la durée du Contrat et tant qu'Ultralytics traite des données personnelles du Client pour ton compte.
Ce DPA s'applique uniquement au traitement des données personnelles du Client par Ultralytics au sein de la plateforme Ultralytics. Pour éviter toute ambiguïté, ce DPA ne s'applique pas à ton utilisation, ton déploiement ou ton exploitation des modèles open-source Ultralytics YOLO en dehors de la plateforme Ultralytics, ce qui relève de ta seule responsabilité.
Ultralytics peut mettre à jour ce DPA de temps à autre pour refléter les changements de loi, les directives réglementaires ou les Services, prenant effet à la date de publication, sous réserve que les mises à jour ne réduisent pas substantiellement les protections de confidentialité des données personnelles du Client sans ton accord (sauf si requis par la loi applicable).
Link to this section1. Définitions#
« Affilié » désigne toute entité qui, directement ou indirectement, contrôle, est contrôlée par ou est sous contrôle commun avec une partie, où « contrôle » signifie la détention de plus de 50 % des droits de vote.
« Garanties appropriées » désigne le(s) mécanisme(s) légalement exécutoire(s) pour les transferts de données personnelles tel(s) qu'autorisé(s) par les lois applicables sur la protection des données, notamment mais sans s'y limiter, l'article 46 du RGPD.
« Sous-traitant » désigne tout sous-traitant engagé par Ultralytics ou ses Affiliés pour traiter des données personnelles du Client pour le compte d'Ultralytics en lien avec les Services.
« Données de compte de l'Entreprise » désigne les données personnelles relatives à la relation de l'Entreprise avec le Client, y compris les noms ou coordonnées des personnes autorisées par le Client à accéder au compte du Client et les informations de facturation des personnes que le Client a associées à son compte. Les données de compte de l'Entreprise incluent également toutes les données que l'Entreprise peut avoir besoin de collecter pour gérer sa relation avec le Client, vérifier l'identité ou selon les exigences des lois et réglementations applicables.
« Données d'utilisation de l'Entreprise » désigne les données d'utilisation des Services collectées et traitées par l'Entreprise en lien avec la fourniture des Services, y compris, sans limitation, les données utilisées pour identifier la source et la destination d'une communication, les journaux d'activité, et les données utilisées pour optimiser et maintenir la performance des Services, ainsi que pour enquêter sur et prévenir les abus du système.
« Données Client » désigne toutes les données, contenus, matériels, fichiers ou informations (y compris les jeux de données, images, vidéos, annotations, étiquettes, métadonnées, entrées et sorties de modèles, et autres contenus) que le Client ou ses utilisateurs autorisés téléchargent, soumettent, transmettent ou rendent disponibles pour traitement en lien avec les Services, y compris toute donnée générée pour le Client par ton utilisation des Services.
« Violation des données personnelles du Client » désigne une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illicite aux données personnelles du Client traitées par Ultralytics ou ses Sous-traitants en lien avec les Services. La violation des données personnelles du Client n'inclut pas les tentatives ou activités infructueuses qui ne compromettent pas les données personnelles du Client (par ex., tentatives de connexion échouées, scans de ports, attaques par déni de service ou autres attaques sur les pare-feux ou systèmes en réseau).
« Lois sur la protection des données » désigne toutes les lois applicables relatives à la vie privée et à la protection des données qui s'appliquent au traitement des données personnelles par une partie en vertu du Contrat, y compris (le cas échéant) le RGPD, le RGPD britannique, la LPD suisse, ePrivacy/PECR, le CCPA/CPRA et d'autres lois étatiques applicables aux États-Unis sur la vie privée.
« RGPD » désigne le Règlement (UE) 2016/679 ; « RGPD britannique » désigne le RGPD tel qu'intégré dans le droit britannique ; « LPD suisse » désigne la Loi fédérale suisse sur la protection des données (telle que révisée). « Instructions » désigne tes instructions documentées adressées à Ultralytics concernant le traitement des données personnelles du Client, comme décrit à la section 2.2.
« CCS » désigne les clauses contractuelles types de l'UE (Décision 2021/914) ; « Addendum britannique » désigne l'addendum international de transfert de données de l'ICO. Les autres termes en majuscules ont le sens donné dans les Lois sur la protection des données et/ou le Contrat.
« Services » désigne les services et fonctionnalités mis à disposition par Ultralytics au Client en vertu du Contrat, y compris la plateforme Ultralytics et tout support, administration et documentation associés, tel que décrit plus en détail dans le Contrat.
« Plateforme Ultralytics » désigne l'environnement logiciel en tant que service (SaaS) basé sur le cloud d'Ultralytics à travers lequel les Clients peuvent télécharger, gérer, annoter et versionner des jeux de données ; entraîner, évaluer, comparer, exporter et déployer des modèles de vision par ordinateur ; gérer des projets et des utilisateurs ; et accéder aux fonctionnalités et supports associés, et à travers lequel Ultralytics traite les données personnelles du Client pour ton compte conformément à ce DPA.
« Modèles open-source Ultralytics YOLO » désigne les modèles de vision par ordinateur open-source et le code source associé mis à disposition par Ultralytics sous des licences open-source applicables, que les Clients peuvent télécharger, déployer, héberger et exploiter indépendamment dans leurs propres environnements. Pour plus de clarté, lorsque les Clients déploient ou utilisent des modèles open-source Ultralytics YOLO en dehors de la plateforme Ultralytics, Ultralytics ne traite pas de données personnelles pour ton compte en vertu de ce DPA.
Link to this section2. Tes responsabilités en tant que Client#
2.1 Conformité aux lois. Tu es responsable du respect des lois sur la protection des données en lien avec ton traitement des données personnelles et ton utilisation des Services, y compris la fourniture des avis requis et l'obtention de tout consentement et autorisation nécessaires.
2.2 Instructions. Le Contrat (y compris ce DPA), ainsi que ta configuration et ton utilisation des Services conformément au Contrat, constituent tes instructions complètes à Ultralytics pour le traitement des données personnelles du Client. Tu peux fournir des instructions supplémentaires pendant la durée du contrat, à condition qu'elles soient cohérentes avec le Contrat et les Services. Si Ultralytics estime raisonnablement que des instructions supplémentaires nécessitent des changements matériels ou imposent une charge, les parties en discuteront de bonne foi.
2.3 Données interdites. Sauf accord exprès écrit des parties (incluant un accord sur des garanties supplémentaires requises par les lois applicables sur la protection des données), tu ne dois pas fournir, soumettre ou rendre disponible à Ultralytics des catégories particulières de données personnelles en vertu de l'article 9 du RGPD (ou équivalent), ou des données relatives à des condamnations pénales ou des infractions en vertu de l'article 10 du RGPD.
À titre d'illustration et sans limitation, les données interdites incluent :
- numéros d'identification émis par le gouvernement (tels que numéros de passeport, numéros d'identité nationaux ou numéros de sécurité sociale) ;
- informations de santé ou médicales, y compris les identifiants biométriques utilisés dans le but d'identifier de manière unique une personne physique ;
- informations concernant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques, ou l'appartenance syndicale d'un individu ;
- données génétiques ou données biométriques traitées dans le but d'identifier de manière unique une personne physique ;
- données personnelles relatives aux enfants, lorsque cela est restreint par les lois applicables sur la protection des données ;
- et les données relatives aux condamnations pénales, aux conduites criminelles présumées ou aux activités d'application de la loi.
De plus, les Services ne sont pas destinés à traiter d'autres données nécessitant une protection accrue en vertu des lois applicables sur la protection des données, telles que les données de carte de paiement, les numéros de compte bancaire ou la géolocalisation précise. Tu es seul responsable de garantir que les jeux de données, images, vidéos, annotations, étiquettes, métadonnées ou autres contenus téléchargés ou traités via les Services n'incluent pas de données interdites. Tout traitement de données interdites en violation de cette section constitue une violation matérielle de ce DPA.
2.4 Données inappropriées ; Indemnisation. Tu es seul responsable de la légalité des données personnelles du Client fournies à Ultralytics et de t'assurer qu'elles sont appropriées pour les Services. Tu défendras et indemniseras Ultralytics contre toute réclamation de tiers découlant de ta fourniture de données personnelles aux Services en violation du Contrat, de ce DPA ou des lois applicables sur la protection des données.
Link to this section3. Obligations d'Ultralytics en tant que Sous-traitant#
3.1 Limitation de finalité. Ultralytics traitera les données personnelles du Client uniquement (a) pour fournir les Services conformément au Contrat et à l'Annexe A, (b) conformément à tes Instructions, et (c) tel que requis par la loi applicable. Ultralytics n'utilisera pas les données personnelles du Client ou les Données Client pour entraîner, améliorer ou développer les modèles généraux ou commercialement disponibles d'Ultralytics, sauf instruction expresse de ta part par écrit ou via les Services.
3.2 Conflit de lois. Si Ultralytics prend connaissance qu'il ne peut pas traiter les données personnelles du Client conformément aux Instructions en raison d'une exigence légale, Ultralytics (dans la mesure permise par la loi) t'en informera et, si nécessaire, suspendra le traitement affecté (autre que le stockage sécurisé) jusqu'à ce que tu émettes des instructions conformes.
3.3 Confidentialité du personnel. Ultralytics garantira que les personnes autorisées à traiter les données personnelles du Client sont liées par des obligations de confidentialité. Tu acceptes qu'Ultralytics puisse divulguer les données personnelles du Client à ses conseillers professionnels et auditeurs dans la mesure raisonnablement nécessaire en lien avec l'exécution du Contrat/DPA, sous réserve d'obligations de confidentialité.
3.4 Sous-traitance. Ultralytics peut engager des Sous-traitants conformément à la section 5 et reste responsable de leur exécution des obligations équivalentes.
3.5 Suppression / Retour. À la résiliation des Services, Ultralytics supprimera ou renverra les données personnelles du Client conformément au Contrat et à l'Annexe A, sauf si la conservation est requise par la loi. Une certification de suppression en vertu des CCS sera fournie sur ta demande.
Link to this section4. Droits des personnes concernées (ou consommateurs)#
4.1 Demande de la personne concernée (ou du consommateur). Ultralytics, dans la mesure légalement permise, t'informera au contact principal du compte sans retard injustifié si Ultralytics reçoit une demande d'une personne concernée (ou d'un consommateur) pour exercer son droit d'accès (ou de divulgation), son droit à la rectification, à la restriction du traitement, à l'effacement (ou à la suppression ou au « droit à l'oubli »), à la portabilité des données, de s'opposer au traitement, ou son droit de ne pas faire l'objet d'une décision individuelle automatisée (« Demande de la personne concernée (ou du consommateur) »).
4.2 Assistance. En tenant compte de la nature du traitement, Ultralytics fournira une assistance raisonnable pour t'aider à répondre aux demandes d'exercice des droits des personnes concernées en vertu des lois sur la protection des données, dans la mesure où tu ne peux pas répondre à la demande en utilisant la fonctionnalité disponible du Service.
4.3 AIPD ; Consultation préalable. En tenant compte de la nature du traitement et des informations disponibles pour Ultralytics, Ultralytics fournira une assistance raisonnable (i) pour les analyses d'impact relatives à la protection des données et (ii) pour ta consultation et/ou coopération avec les autorités de contrôle, dans chaque cas lorsque requis par les lois sur la protection des données et lorsque tu n'as pas accès aux informations pertinentes. Sauf si requis par les lois sur la protection des données ou en lien avec une violation des données personnelles du Client, tu ne demanderas pas une telle assistance plus d'une fois au cours d'une période de douze (12) mois. Tu rembourseras les coûts et dépenses raisonnables d'Ultralytics engagés pour fournir une telle assistance, lorsque la loi le permet.
Link to this section5. Sous-traitants#
5.1 Autorisation générale. Tu accordes à Ultralytics une autorisation écrite générale pour engager des Sous-traitants afin de traiter les données personnelles du Client pour les Services.
5.2 Liste et avis. Une liste des sous-processeurs actuels est disponible sur la Liste des sous-processeurs Ultralytics (la « Liste »). Ultralytics fournira un mécanisme pour s'abonner aux notifications de mise à jour de la Liste et notifiera les nouveaux sous-processeurs au moins dix (10) jours avant de les autoriser à traiter les données personnelles du client. Le client est responsable de son inscription à ces notifications lorsqu'elles sont disponibles ; si le client ne s'y abonne pas, il reconnaît qu'il pourrait ne pas recevoir de préavis via ce mécanisme. Dans tous les cas, les mises à jour de la Liste constitueront un avis de changement concernant les sous-processeurs. Le client reconnaît que certains sous-processeurs sont essentiels à la fourniture des services et qu'une objection à l'utilisation d'un sous-processeur pourrait empêcher l'entreprise de proposer les services au client.
Pour plus de clarté, les Affiliés d'Ultralytics impliqués dans la fourniture des Services, y compris Ultralytics Ltd (UK) et Ultralytics AI Spain, S.L., peuvent agir en tant que Sous-traitants intra-groupe lorsqu'ils traitent des données personnelles du Client pour le compte d'Ultralytics Inc. en lien avec les Services.
5.3 Objection aux nouveaux Sous-traitants. Tu peux t'opposer par écrit à l'engagement d'un nouveau Sous-traitant pour des raisons raisonnables liées à la protection des données conformément à la section 5.2. Si Ultralytics ne peut pas raisonnablement répondre à ton objection, tu peux cesser le Service concerné par un avis écrit, sans te libérer des frais courus avant cette cessation.
5.4 Transmission des obligations. Ultralytics engagera des Sous-traitants uniquement après avoir effectué une diligence raisonnable basée sur les risques pour évaluer si le Sous-traitant est capable de fournir un niveau de protection approprié pour les données personnelles du Client conformément aux lois applicables sur la protection des données, et surveillera périodiquement les Sous-traitants dans le cadre de son programme de gestion des fournisseurs. Ultralytics veillera à ce que ses Sous-traitants soient soumis à des obligations de protection des données matériellement équivalentes ou plus protectrices que celles énoncées dans ce DPA. Sur ta demande, Ultralytics fournira des copies (qui peuvent être expurgées pour confidentialité) des termes pertinents de protection des données des Sous-traitants tels que requis par les CCS.
Link to this section6. Sécurité#
6.1 Mesures. En tenant compte de l'état de la technique, de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, Ultralytics mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité adapté à ce risque, conformément aux lois applicables sur la protection des données, y compris l'article 32 du RGPD. Ces mesures sont décrites dans l'Annexe C, qu'Ultralytics peut mettre à jour de temps à autre, sous réserve que toute mise à jour ne réduise pas substantiellement le niveau global de protection des données personnelles du Client.
6.2 Tes responsabilités. Nonobstant ce qui précède, tu acknowledges que, sauf disposition expresse dans ce DPA, tu es responsable de ton utilisation sécurisée des Services, y compris la sauvegarde de tes identifiants d'authentification de compte, la configuration appropriée des contrôles d'accès, et de t'assurer que tes utilisateurs accèdent et utilisent les Services d'une manière cohérente avec les lois applicables sur la protection des données et les fonctionnalités de sécurité mises à disposition par Ultralytics.
Link to this section7. Audits clients et démonstration de conformité#
7.1 Documentation. Sur demande raisonnable, Ultralytics mettra à disposition les informations raisonnablement nécessaires pour démontrer la conformité à ce DPA (y compris les rapports d'audit ou certifications tiers actuels, le cas échéant). Ultralytics conservera des enregistrements suffisants pour démontrer la conformité à ce DPA et conservera ces enregistrements pendant une période raisonnable suivant la résiliation (par ex., trois (3) ans), sauf si une période plus longue est requise par la loi.
7.2 Audit. Lorsque les lois sur la protection des données l'exigent et que la documentation est insuffisante, tu peux, moyennant un avis écrit préalable raisonnable et à tes propres frais, demander un audit ou une inspection des systèmes et processus pertinents d'Ultralytics. Tout audit ou inspection ne sera effectué qu'après un accord écrit mutuel entre les parties sur la portée, le calendrier et la durée de l'audit, ainsi que tout taux de remboursement raisonnable pour le temps et les ressources d'Ultralytics dépensés en lien avec l'audit. Tout audit effectué conformément à cette section devra :
- (a) avoir lieu pas plus d'une fois au cours d'une période de douze (12) mois ;
- (b) se dérouler pendant les heures de bureau normales d'Ultralytics ;
- (c) être soumis à des contrôles raisonnables de confidentialité, de sécurité et de sûreté ; et
- (d) être limité aux systèmes et enregistrements raisonnablement pertinents au traitement des données personnelles du Client.
Tu aviseras rapidement Ultralytics de toute non-conformité matérielle identifiée lors d'un audit pour permettre à Ultralytics une opportunité raisonnable de traiter ces conclusions.
Link to this section8. Violations des données personnelles#
8.1 Avis. Ultralytics t'aviseras sans retard injustifié mais au plus tard 72 heures après avoir pris connaissance d'une violation des données personnelles du Client.
8.2 Assistance. Ultralytics fournira une assistance raisonnable pour tes notifications requises aux régulateurs et aux personnes concernées affectées, en tenant compte des informations disponibles pour Ultralytics.
8.3 Pas d'admission. La notification de violation ne constitue pas une admission de faute ou de responsabilité. L'obligation de notification de violation ne s'applique pas dans la mesure où une violation des données personnelles du Client est causée par tes actions ou omissions ou celles de tes utilisateurs.
Link to this section9. Transferts (UE/UK/Suisse)#
9.1 Transferts internationaux. Tu acknowledges que les opérations de traitement principales d'Ultralytics peuvent avoir lieu aux États-Unis et dans d'autres endroits selon les besoins pour fournir les Services.
Pour plus de clarté, les données personnelles du Client peuvent également être transférées entre Ultralytics Inc. et ses Affiliés (y compris Ultralytics Ltd (UK) et Ultralytics AI Spain, S.L.) lorsque ces Affiliés agissent en tant que Sous-traitants en lien avec les Services. Lorsque de tels transferts sont qualifiés de transferts internationaux en vertu des lois applicables sur la protection des données, ils seront soumis à des Garanties appropriées, y compris les CCS (Module 3, le cas échéant) ou d'autres mécanismes de transfert valides.
Lorsque le transfert de données personnelles du Client vers un pays qui n'a pas été reconnu comme offrant un niveau adéquat de protection des données est requis, de tels transferts seront effectués sous réserve de Garanties appropriées conformément aux lois applicables sur la protection des données, y compris, le cas échéant, les CCS et l'Addendum britannique tels qu'intégrés dans ce DPA.
9.2 CCS de l'UE. Pour les transferts de données personnelles du Client soumis au RGPD vers un pays tiers sans adéquation, les parties intègrent les CCS de l'UE. Le Module Deux (Responsable→Sous-traitant) s'applique lorsque tu es un Responsable ; le Module Trois (Sous-traitant→Sous-traitant) s'applique lorsque tu es un Sous-traitant. Les annexes des CCS sont complétées en utilisant l'Annexe B (Annexe I/III) et l'Annexe C (Annexe II).
9.3 Addendum britannique. Pour les transferts soumis au RGPD britannique, les parties intègrent l'Addendum britannique, complété par référence à l'Annexe B/C et à la sélection du mécanisme de transfert applicable.
9.4 Suisse. Pour les transferts suisses, les CCS de l'UE s'appliquent avec les modifications suisses standard (les références au RGPD incluent la LPD suisse ; le PFPDT comme autorité compétente, etc.), complétées par référence aux Annexes.
9.5 Demandes d'accès gouvernementales. Ultralytics traitera les demandes légalement contraignantes concernant les données personnelles du Client conformément à la loi applicable et aux CCS, y compris (lorsque légalement permis) en t'avisant et en coopérant raisonnablement.
Link to this section10. Conditions Responsable-vers-Responsable (Compte / Utilisation / Opérations de sécurité Ultralytics)#
10.1 Portée. Cette section s'applique au traitement des données personnelles du Responsable par chaque partie en tant que Responsable indépendant (pas en tant que co-responsables), y compris le traitement par Ultralytics des données de compte de l'Entreprise et des données d'utilisation de l'Entreprise.
10.2 Obligations du Responsable indépendant. Chaque partie :
- (a) traitera les données personnelles du Responsable en conformité avec les lois sur la protection des données ;
- (b) mettra en œuvre une sécurité appropriée ; et
- (c) répondra aux communications réglementaires relatives à son propre traitement.
10.3 Traitement d'Ultralytics en tant que Responsable. Ultralytics traite les données de compte de l'Entreprise et les données d'utilisation de l'Entreprise en tant que Responsable pour : l'administration de compte, la facturation, la surveillance de la sécurité et la prévention des abus, la vérification d'identité, la conformité légale, les audits/comptabilité, et les opérations de service (y compris la performance et la fiabilité). Un tel traitement est décrit dans la Politique de confidentialité d'Ultralytics. Rien dans ce DPA ne sera interprété comme créant une relation de co-responsabilité entre les parties.
Pour éviter toute ambiguïté, Ultralytics et ses Affiliés peuvent traiter des données de contact professionnelles limitées (telles que les noms, adresses e-mail professionnelles et coordonnées professionnelles) dans le contexte d'activités de démarchage commercial, de démonstrations, de partenariats et de gestion de la relation client en tant que Responsables indépendants.
Link to this section11. Conditions de Californie (CCPA/CPRA)#
11.1 Prestataire de services / Sous-traitant. Dans la mesure où le CCPA/CPRA s'applique et qu'Ultralytics traite des données personnelles du Client pour ton compte, Ultralytics agit en tant que « prestataire de services » et/ou « sous-traitant », et ne « vendra » ni ne « partagera » ces informations personnelles.
11.2 Utilisation limitée. Ultralytics ne retiendra, n'utilisera ou ne divulguera les données personnelles du Client en dehors de la finalité commerciale directe de la fourniture des Services, sauf tel que permis par le CCPA/CPRA.
11.3 Discrimination. Les Parties ne doivent pas discriminer un Consommateur parce qu'il a exercé ses droits.
Link to this section12. Dispositions générales#
12.1 Limitation de responsabilité. Les limitations et exclusions du Contrat s'appliquent à ce DPA, sauf si la loi ou les CCS/Addendum britannique l'interdisent.
12.2 Divisibilité. Si une disposition de ce DPA devait être invalide ou inapplicable, alors le reste de ce DPA restera valide et en vigueur. La disposition invalide ou inapplicable sera soit (i) modifiée si nécessaire pour assurer sa validité et son applicabilité, tout en préservant les intentions des Parties le plus étroitement possible ou, si cela n'est pas possible, (ii) interprétée de manière à ce que la partie invalide ou inapplicable n'ait jamais été contenue dans celui-ci.
12.3 Exécution de ce DPA. Ce DPA est intégré à et fait partie intégrante du Contrat. Tu conclus ce DPA (y compris, le cas échéant, les CCS de l'UE et l'Addendum britannique) par :
- (a) acceptation ou accord d'être lié par le Contrat (y compris en cliquant sur « J'accepte » ou mécanisme similaire aux Conditions d'utilisation),
- (b) exécution d'un bon de commande, d'une déclaration de travail ou d'un autre accord écrit qui intègre ou fait référence au Contrat, ou
- (c) utilisation ou poursuite de l'utilisation des Services après la mise à disposition de ce DPA par l'Entreprise.
Tu déclares et garantis que la personne acceptant le Contrat et/ou utilisant les Services pour ton compte a l'autorité de t'engager, toi et, le cas échéant, tes Affiliés.
12.4 Contact. Demandes de confidentialité : privacy@ultralytics.com ; DPO : dpo@ultralytics.com ; avis juridiques : legal@ultralytics.com.
Link to this section13. Parties ; Affiliés#
Tu conclus ce DPA pour toi-même et tes Affiliés qui sont des utilisateurs autorisés des Services en vertu du Contrat et qui sont des Responsables/Sous-traitants des données personnelles du Client (« Affiliés autorisés »). Tu déclares avoir l'autorité d'engager les Affiliés autorisés.
Link to this sectionAnnexe A : Détails du traitement des données personnelles#
Nature : Ultralytics fournit un logiciel basé sur le cloud et des services associés qui permettent aux Clients d'accéder et d'utiliser les produits et fonctionnalités d'Ultralytics, y compris l'entraînement de modèles, l'inférence, la gestion de jeux de données, les flux de travail de déploiement, et le support et l'administration associés (« Services »), tel que décrit dans le Contrat.
Pour plus de clarté, les Services incluent la plateforme Ultralytics, à travers laquelle Ultralytics traite les données personnelles du Client pour ton compte conformément à ce DPA. Séparément, Ultralytics met également à disposition des modèles open-source Ultralytics YOLO, que les Clients peuvent déployer et exploiter indépendamment dans leurs propres environnements. Lorsque les Clients déploient ou utilisent des modèles Ultralytics YOLO en dehors de la plateforme Ultralytics, Ultralytics ne traite pas de données personnelles pour ton compte, et les Clients sont seuls responsables de la mise en œuvre de mesures techniques et organisationnelles appropriées, de la détermination des finalités et des moyens du traitement, et de la garantie de la conformité aux lois applicables sur la protection des données en lien avec un tel déploiement et une telle utilisation.
Finalité : Ultralytics traite les données personnelles du client pour le compte du client aux fins suivantes :
- pour fournir, exploiter, sécuriser et assurer la maintenance des services conformément à l'accord et aux instructions documentées du client ;
- pour se conformer à d'autres instructions raisonnables et documentées fournies par le client, lorsque ces instructions sont conformes à l'accord et au présent DPA ;
- pour répondre aux demandes initiées par le client ou ses utilisateurs autorisés dans le cadre de leur utilisation des services (y compris les demandes de support client) ;
- pour surveiller, prévenir et détecter les incidents de sécurité, la fraude, les abus et l'utilisation abusive des services ; et
- pour se conformer aux obligations légales applicables.
Ultralytics n'utilisera pas les données personnelles du client pour entraîner ou améliorer les modèles généraux d'Ultralytics, sauf instruction expresse du client par écrit ou via les services. Pour plus de clarté, Ultralytics peut utiliser les données d'utilisation de l'entreprise et les données agrégées ou anonymisées (lorsque cela est autorisé) pour exploiter, sécuriser et améliorer les services.
Lorsque le client choisit de partager des jeux de données, des modèles ou d'autres contenus via des fonctionnalités communautaires ou publiques des services, un tel partage constitue une instruction documentée du client. Le client reste seul responsable de s'assurer qu'il dispose de tous les droits et bases légales nécessaires pour rendre ces données disponibles aux autres utilisateurs.
Durée du traitement : Ultralytics traitera les données personnelles du client pendant la durée de l'accord et aussi longtemps que nécessaire pour fournir les services conformément aux instructions du client. Suite à la résiliation ou à l'expiration de l'accord, Ultralytics supprimera ou renverra les données personnelles du client conformément à l'accord et au présent DPA, à moins qu'une conservation supplémentaire ne soit requise par la loi applicable. Pour plus de clarté, lorsque Ultralytics traite des données personnelles du responsable du traitement (y compris les données de compte de l'entreprise et les données d'utilisation de l'entreprise) en tant que responsable indépendant du traitement en vertu de la section 10, ce traitement aura lieu pendant les périodes définies dans la politique de confidentialité d'Ultralytics.
Catégories de personnes concernées : Les données personnelles du client peuvent concerner les catégories de personnes concernées suivantes, telles que déterminées et contrôlées par le client :
- les employés, sous-traitants, agents et représentants du client ;
- les utilisateurs autorisés et administrateurs du client ;
- et les utilisateurs finaux, clients ou autres individus du client dont le client choisit de soumettre les données personnelles aux services.
Catégories de données personnelles : Les données personnelles du client peuvent inclure les catégories de données personnelles suivantes, dans la mesure où elles sont soumises ou rendues disponibles via les services par ou pour le compte du client :
- Données de compte et d'identité de l'utilisateur, telles que le nom, l'adresse e-mail, le nom d'utilisateur/ID utilisateur, le nom de l'organisation et le rôle/les autorisations de l'utilisateur (par ex., admin/utilisateur).
- Données d'utilisation et données techniques/de périphérique, telles que l'adresse IP, les identifiants de périphérique et les attributs du système (par ex., type de périphérique, système d'exploitation, type de navigateur), les fichiers journaux, les horodatages, les événements d'authentification, l'historique d'accès et (le cas échéant) les applications installées ou les détails de configuration collectés dans le cadre des flux de travail de sécurité ou de périphérique d'entreprise.
- Contenu et saisies fournis par le client, tels que les invites générées par l'utilisateur, les commentaires, les annotations, les métadonnées ou étiquettes de jeu de données, et tout autre contenu que le client téléverse ou soumet via les services (y compris les images/vidéo/audio ou autres fichiers), mais uniquement dans la mesure où ce contenu contient des données personnelles.
- Données de support et de communication, telles que les communications de support client, les rapports d'incident, les informations de dépannage et les coordonnées administratives.
Les catégories de données personnelles traitées peuvent en outre inclure celles décrites dans la politique de confidentialité d'Ultralytics.
Données sensibles ou catégories particulières de données : Les services ne sont pas conçus ou destinés à traiter des catégories particulières de données personnelles (telles que définies à l'article 9 du RGPD ou équivalent en vertu des lois sur la protection des données applicables) ou des données personnelles relatives à des condamnations pénales et des infractions (article 10 du RGPD), et il est interdit au client de fournir de telles données sauf accord exprès écrit avec Ultralytics et sous réserve de garanties supplémentaires.
Link to this sectionAnnexe B : Informations de l'Annexe I et de l'Annexe III (CCS UE et addendum britannique)#
Ce qui suit comprend les informations requises par l'Annexe I et l'Annexe III des CCS UE, ainsi que le Tableau 1, l'Annexe 1A et l'Annexe 1B de l'addendum britannique.
1. Les parties
Exportateur(s) de données :
- Nom : Nom de l'entité juridique du client
- Nom commercial (le cas échéant) : [Optionnel]
- Adresse : Adresse enregistrée du client
- Numéro d'enregistrement officiel (le cas échéant) : [Optionnel]
- Nom, fonction et coordonnées de la personne de contact : Nom, Titre, E-mail
- Activités pertinentes pour les données transférées dans le cadre de ces clauses : Utilisation des services dans le cadre de l'accord, y compris le transfert des données personnelles du client à Ultralytics pour le traitement en lien avec les services, tel que décrit dans l'accord, le présent DPA et l'Annexe A.
- Signature et date : Par exécution/acceptation de l'accord/DPA
- Rôle (responsable du traitement/sous-traitant) : Responsable du traitement
Importateur(s) de données :
- Nom : Ultralytics Inc.
- Nom commercial (le cas échéant) : S/O
- Adresse et informations de contact : 5001 Judicial Way, Frederick, MD, 21703, États-Unis ; privacy@ultralytics.com
- Numéro d'enregistrement officiel (le cas échéant) : 6755919
- Activités pertinentes pour les données transférées dans le cadre de ces clauses : Traitement des données personnelles du client pour le compte du client afin de fournir, exploiter, sécuriser, maintenir et soutenir les services, et tel qu'autrement décrit dans l'accord, le présent DPA et l'Annexe A.
- Signature et date : Par exécution/acceptation de l'accord/DPA
- Rôle (responsable du traitement/sous-traitant) : Tel que décrit dans la section 3 du DPA.
2. Description du transfert
| Champ | Détails |
|---|---|
| Personnes concernées | Tel que décrit dans l'Annexe A du DPA |
| Catégories de données personnelles | Tel que décrit dans l'Annexe A du DPA |
| Données personnelles de catégorie spéciale (le cas échéant) | Tel que décrit dans l'Annexe A du DPA |
| Nature du traitement | Tel que décrit dans l'Annexe A du DPA |
| Finalités du traitement | Tel que décrit dans l'Annexe A du DPA |
| Durée du traitement et conservation (ou les critères pour déterminer cette période) | Tel que décrit dans l'Annexe A du DPA |
| Fréquence du transfert | Tel que nécessaire pour fournir et exécuter toutes les obligations et droits relatifs aux données personnelles tels que prévus dans l'accord ou le DPA |
| Destinataires des données personnelles transférées à l'importateur de données | L'entreprise maintiendra une liste de sous-processeurs à l'adresse suivante : Liste des sous-processeurs Ultralytics |
Sous-traitants intragroupe :
Ultralytics Ltd (Royaume-Uni) - support technique, support client, assistance à l'intégration et interactions commerciales (y compris démonstrations et partenariats)
Ultralytics AI Spain, S.L. (Espagne) - support technique, interactions commerciales et activités orientées client, impliquant un traitement limité des données de contact professionnel
3. Autorité de contrôle compétente
L'autorité de contrôle sera l'autorité de contrôle de l'exportateur de données, telle que déterminée conformément à la clause 13 des CCS UE. L'autorité de contrôle aux fins de l'addendum britannique sera l'UK Information Commissioner's Office.
Link to this sectionAnnexe C : Mesures de sécurité techniques et organisationnelles#
Ce qui suit comprend les informations requises par l'Annexe II des CCS UE et l'Annexe II de l'addendum britannique.
| Mesure de sécurité technique et organisationnelle | Détails |
|---|---|
| Mesures de pseudonymisation et de chiffrement des données personnelles | Les données personnelles du client sont protégées par chiffrement en transit à l'aide de connexions sécurisées conformes aux normes de l'industrie (TLS) entre les composants de la plateforme et les points de terminaison externes. Les données stockées dans les services cloud bénéficient du chiffrement au repos géré par le fournisseur cloud et de contrôles de gestion de clés sécurisés. |
| Mesures visant à assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement | Ultralytics maintient des engagements de sécurité, de confidentialité et de disponibilité pour ses services, y compris une configuration système conçue pour restreindre l'accès non autorisé, la détection et la surveillance des intrusions, l'analyse des vulnérabilités et les tests d'intrusion, le chiffrement en transit et au repos, ainsi que des contrôles de conservation/élimination des données. La plateforme Ultralytics fonctionne à l'aide de services cloud gérés avec disponibilité. Nos fournisseurs d'infrastructure en tant que service (IaaS) prennent en charge la résilience des bases de données grâce à la réplication et à la haute disponibilité. Ultralytics veille également à ce que les mesures techniques et organisationnelles (TOM) des sous-traitants en aval atteignent ou dépassent les normes énoncées dans cet accord. |
| Mesures visant à assurer la capacité à restaurer la disponibilité et l'accès aux données personnelles en temps opportun en cas d'incident physique ou technique | Les données du client au sein de la plateforme Ultralytics sont sauvegardées à l'aide de services natifs du fournisseur cloud. Les sauvegardes sont surveillées et les exceptions sont étudiées et corrigées. Les données de sauvegarde sont chiffrées au repos et en transit, et l'accès est restreint au personnel autorisé. La planification de la continuité des activités et de la reprise après sinistre inclut des objectifs de point de récupération (RPO), des objectifs de temps de récupération (RTO) et des rôles et responsabilités définis. |
| Processus de test, d'évaluation et d'examen réguliers de l'efficacité des mesures techniques et organisationnelles afin d'assurer la sécurité du traitement | Ultralytics effectue des analyses régulières des vulnérabilités sur le système et le réseau, ainsi que des tests d'intrusion sur l'environnement de production. La gestion des vulnérabilités inclut l'analyse des dépendances et des pratiques de développement sécurisé intégrées dans les pipelines CI/CD, et les vulnérabilités identifiées sont hiérarchisées et corrigées en fonction de leur gravité et de leur risque. De plus, Ultralytics mène une évaluation annuelle des risques et une revue de direction dans le cadre de la pratique standard ISMS. |
| Mesures d'identification et d'autorisation des utilisateurs | La plateforme Ultralytics utilise un fournisseur d'authentification et d'identité, prenant en charge l'authentification des utilisateurs et la gestion des sessions. L'accès aux systèmes d'ingénierie (y compris les référentiels de code source) est restreint au personnel autorisé et régi par des autorisations basées sur les rôles, des protections de branche et des examens requis. L'accès interne suit un modèle de moindre privilège et des contrôles d'accès basés sur les rôles. |
| Mesures de protection des données lors de la transmission | L'entrée réseau vers la plateforme Ultralytics est restreinte aux connexions HTTPS (TLS) sécurisées via des points de terminaison frontaux désignés. Les communications internes entre les composants de la plateforme et les services de stockage sont chiffrées en transit à l'aide de TLS. |
| Mesures de protection des données lors du stockage | Pour la plateforme Ultralytics, les données du client sont stockées dans des services cloud chiffrés et gérés avec redondance et prise en charge de sauvegarde. Les services cloud gérés offrent un chiffrement intégré, des sauvegardes automatisées, un stockage redondant et une haute disponibilité. Le chiffrement géré par le fournisseur cloud est appliqué aux données au repos. |
| Mesures visant à assurer la sécurité physique des lieux où les données personnelles sont traitées | La plateforme Ultralytics est hébergée à l'aide de fournisseurs de services cloud tiers. Les protections physiques et environnementales des centres de données d'hébergement sont gérées par les organisations sous-traitantes concernées. Ultralytics examine les rapports d'attestation des organisations sous-traitantes et effectue une analyse des risques au moins une fois par an. |
| Mesures visant à assurer la journalisation des événements | Ultralytics exploite la journalisation native du cloud pour la surveillance, le dépannage et les enquêtes sur les incidents. La disponibilité de la plateforme et les alertes liées à la sécurité sont communiquées en interne via des communications internes et par e-mail, et en externe via une page de statut hébergée. De plus, Ultralytics examine régulièrement l'accès aux applications, outils et ressources qui traitent ou stockent les données du client. |
| Mesures visant à assurer la configuration du système, y compris la configuration par défaut | Ultralytics maintient des processus de gestion du changement documentés régissant les modifications apportées à la plateforme Ultralytics et à la base de code du modèle Ultralytics YOLO, y compris l'initiation du changement, la documentation, les normes de développement, les tests, l'examen et l'approbation avant la publication ou le déploiement. Les modifications sont suivies dans le contrôle de version avec examen par les pairs et validation du pipeline CI/CD. |
| Mesures de gouvernance et de gestion informatiques et de sécurité informatique internes | Ultralytics maintient des politiques et procédures de sécurité alignées sur les engagements de service et les exigences de conformité internes, avec un examen annuel des politiques et procédures clés. Les employés doivent reconnaître les politiques via un outil dédié de gouvernance, risque et conformité (GRC) et sont tenus de suivre une formation annuelle de sensibilisation à la sécurité et une formation sur la confidentialité, avec une formation sur le codage sécurisé pour les rôles d'ingénierie. Les risques sont documentés dans un registre des risques centralisé et formellement examinés au moins une fois par an. |
| Mesures de certification/assurance des processus et produits | Ultralytics s'appuie sur des services gérés par des tiers (y compris des organisations de sous-service) et examine leurs rapports SOC 2 annuellement dans le cadre des contrôles de surveillance. La diligence raisonnable des fournisseurs est basée sur les risques, et les fournisseurs sont classés en niveaux (Critique/Haut/Moyen/Faible), avec des garanties contractuelles et des réévaluations périodiques. |
| Mesures visant à assurer la minimisation des données | Ultralytics traite les données du client conformément aux accords clients et aux exigences applicables en matière de protection des données, et limite le traitement à ce qui est nécessaire pour fournir et soutenir les services (y compris la gestion des jeux de données, l'annotation, l'entraînement des modèles, l'évaluation et les fonctionnalités de plateforme associées). L'utilisation open-source d'Ultralytics YOLO est gérée par le client et Ultralytics ne traite pas les charges de travail d'inférence pour les clients dans ce contexte. |
| Mesures visant à assurer la qualité des données | Ultralytics utilise des pratiques de développement et de déploiement contrôlées conçues pour soutenir l'intégrité et la fiabilité, y compris l'examen par les pairs, les tests automatisés, les flux de travail CI/CD et la gestion des changements contrôlée pour les versions de la plateforme et du code open-source. |
| Mesures visant à assurer une conservation limitée des données | Ultralytics applique des engagements de conservation et d'élimination des données dans le cadre de ses engagements de service. Les données du client pour la plateforme sont sauvegardées à l'aide de services gérés, et la suppression/le retour est géré conformément aux accords clients et à la loi applicable. |
| Mesures visant à assurer la responsabilité | Ultralytics maintient un plan de réponse aux incidents et des procédures documentées pour identifier, signaler, gérer et suivre les incidents de sécurité et de confidentialité, y compris les communications pour le signalement des vulnérabilités externes via security@ultralytics.com. Les incidents sont documentés et traités avec l'implication de l'ingénierie, du juridique et de la direction générale selon la gravité. |
| Mesures permettant la portabilité des données et assurant l'effacement | Les données personnelles du client soumises à la plateforme Ultralytics peuvent être supprimées par le client et/ou à la demande du client, conformément à l'accord et au présent DPA. Lorsque la suppression est requise, Ultralytics agira conformément aux instructions du client et aux exigences légales applicables. (La portabilité est prise en charge dans la mesure où le client peut exporter ou récupérer ses données client à partir des services, le cas échéant.) Les modèles open-source d'Ultralytics YOLO sont déployés par le client au sein de son environnement dédié, assurant un contrôle total de la gouvernance des données. |
| Mesures techniques et organisationnelles des sous-traitants | Ultralytics utilise un programme de gestion des fournisseurs basé sur les risques pour l'intégration et la surveillance des fournisseurs de services tiers, y compris l'examen des attestations de conformité et des exigences contractuelles en matière de sécurité et de protection des données. Ultralytics surveille également les organisations de sous-service et examine leurs rapports SOC 2 annuellement. Ultralytics conclut également des accords de traitement des données avec ses sous-traitants, assortis d'obligations de protection des données substantiellement similaires à celles contenues dans le présent DPA. |
Link to this sectionAnnexe D : Addendum britannique#
Addendum sur le transfert international de données aux clauses contractuelles types de la Commission européenne
Link to this sectionPartie 1 : Tableaux#
Tableau 1 : Parties
| Champ | Exportateur | Importateur |
|---|---|---|
| Date de début | Cet addendum britannique aura la même date d'entrée en vigueur que le DPA | Cet addendum britannique aura la même date d'entrée en vigueur que le DPA |
| Détails des parties | Client | Entreprise |
| Contact clé | Voir l'annexe B de ce DPA | Voir l'annexe B de ce DPA |
Tableau 2 : CCT sélectionnées, modules et clauses sélectionnées
| Champ | Détails |
|---|---|
| CCT de l'UE | La version des CCT de l'UE approuvées à laquelle cet addendum britannique est annexé, telle que définie dans le DPA et complétée par les sections 6.2 et 6.3 du DPA. |
Tableau 3 : Informations de l'annexe
"Informations de l'annexe" désigne les informations qui doivent être fournies pour les modules sélectionnés, telles qu'établies dans l'annexe des CCT de l'UE approuvées (autres que les Parties), et qui, pour cet addendum britannique, sont établies dans :
| Annexe | Référence |
|---|---|
| Annexe 1A : Liste des parties | Conformément au tableau 1 ci-dessus |
| Annexe 2B : Description du transfert | Voir l'annexe B de ce DPA |
| Annexe II : Mesures techniques et organisationnelles, y compris les mesures techniques et organisationnelles visant à assurer la sécurité des données | Voir l'annexe C de ce DPA |
| Annexe III : Liste des sous-traitants (modules 2 et 3 uniquement) | Voir l'annexe B de ce DPA |
Tableau 4 : Fin de cet addendum britannique en cas de modification de l'addendum britannique approuvé
Remarque : Cette disposition permet à la partie sélectionnée (le cas échéant) de résilier l'addendum britannique si l'ICO modifie l'addendum britannique approuvé, ce qui entraîne directement une augmentation substantielle, disproportionnée et démontrable de (a) ses coûts directs d'exécution de ses obligations en vertu de l'addendum britannique ou (b) de ses risques en vertu de l'addendum britannique.
| Champ | Sélection |
|---|---|
| Fin de cet addendum britannique en cas de modification de l'addendum britannique approuvé | x Importateur x Exportateur ☐ Aucune des deux parties |
Link to this sectionConclusion de cet addendum britannique#
Chaque partie accepte d'être liée par les modalités et conditions énoncées dans cet addendum britannique, en échange de l'acceptation par l'autre partie d'être également liée par cet addendum.
Bien que l'annexe 1A et la clause 7 des CCT de l'UE approuvées exigent la signature des Parties, aux fins d'effectuer des transferts hors du Royaume-Uni, les Parties peuvent conclure cet addendum britannique de toute manière qui les rend juridiquement contraignantes pour les Parties et permet aux personnes concernées de faire valoir leurs droits tels qu'énoncés dans cet addendum britannique. La conclusion de cet addendum britannique aura le même effet que la signature des CCT de l'UE approuvées et de toute partie des CCT de l'UE approuvées.
Link to this sectionInterprétation de cet addendum britannique#
Lorsque cet addendum britannique utilise des termes définis dans les CCT de l'UE approuvées, ces termes auront la même signification que dans les CCT de l'UE approuvées. En outre, les termes suivants ont les significations suivantes :
| Terme | Définition |
|---|---|
| Addendum britannique | désigne cet addendum sur le transfert international de données intégrant les CCT de l'UE, annexé au DPA sous le nom d'annexe D. |
| CCT de l'UE | désigne la ou les versions des CCT de l'UE approuvées auxquelles cet addendum britannique est annexé, telles qu'établies dans le tableau 2, y compris les informations de l'annexe |
| Informations de l'annexe | seront telles qu'établies dans le tableau 3 |
| Garanties appropriées | désigne le niveau de protection des données personnelles et des droits des personnes concernées, qui est requis par les lois britanniques sur la protection des données lorsque tu effectues un transfert hors du Royaume-Uni en t'appuyant sur des clauses types de protection des données en vertu de l'article 46(2)(d) du UK GDPR. |
| Addendum britannique approuvé | désigne le modèle d'addendum publié par l'ICO et présenté au Parlement conformément à l'article 119A du Data Protection Act 2018 le 2 février 2022, tel qu'il peut être révisé en vertu de la section 18 de l'addendum britannique. |
| CCT de l'UE approuvées | désigne les clauses contractuelles types approuvées par la Commission européenne dans la décision de la Commission 2021/914 du 4 juin 2021, pour les transferts de données personnelles vers des pays non reconnus par la Commission européenne comme offrant un niveau de protection adéquat pour les données personnelles (telles que modifiées et mises à jour de temps à autre). |
| ICO | désigne le bureau du commissaire à l'information (Information Commissioner's Office). |
| Transfert hors du Royaume-Uni | aura la même définition que celle énoncée dans le DPA. |
| Royaume-Uni | désigne le Royaume-Uni de Grande-Bretagne et d'Irlande du Nord |
| Lois britanniques sur la protection des données | désigne toutes les lois relatives à la protection des données, au traitement des données personnelles, à la vie privée et/ou aux communications électroniques en vigueur de temps à autre au Royaume-Uni, y compris le UK GDPR et le Data Protection Act 2018. |
| UK GDPR | aura la définition énoncée dans le DPA. |
L'addendum britannique doit toujours être interprété d'une manière compatible avec les lois britanniques sur la protection des données et de sorte qu'il remplisse l'obligation des Parties de fournir les garanties appropriées.
Si les dispositions incluses dans l'addendum britannique modifient les CCT de l'UE approuvées d'une manière qui n'est pas autorisée en vertu des CCT de l'UE approuvées ou de l'addendum britannique approuvé, cette ou ces modifications ne seront pas incorporées dans l'addendum britannique et la disposition équivalente des CCT de l'UE approuvées prendra leur place.
En cas d'incohérence ou de conflit entre les lois britanniques sur la protection des données et l'addendum britannique, les lois britanniques sur la protection des données s'appliqueront.
Si la signification de l'addendum britannique n'est pas claire ou s'il existe plus d'une signification, la signification qui s'aligne le plus étroitement sur les lois britanniques sur la protection des données s'applique.
Toute référence à une législation (ou à des dispositions spécifiques d'une législation) désigne cette législation (ou disposition spécifique) telle qu'elle peut changer au fil du temps. Cela inclut le cas où cette législation (ou disposition spécifique) a été consolidée, réadoptée et/ou remplacée après la conclusion de l'addendum britannique.
Link to this sectionHiérarchie#
Bien que la clause 5 des CCT de l'UE approuvées stipule que les CCT de l'UE approuvées prévalent sur tous les accords connexes entre les parties, les parties conviennent que, pour les transferts hors du Royaume-Uni, la hiérarchie décrite dans la section 10 ci-dessous prévaudra.
En cas d'incohérence ou de conflit entre l'addendum britannique approuvé et les CCT de l'UE (le cas échéant), l'addendum britannique approuvé l'emporte sur les CCT de l'UE, sauf lorsque (et dans la mesure où) les termes incohérents ou contradictoires des CCT de l'UE offrent une meilleure protection aux personnes concernées, auquel cas ces termes l'emporteront sur l'addendum britannique approuvé.
Lorsque cet addendum britannique intègre des CCT de l'UE qui ont été conclues pour protéger les transferts hors de l'UE soumis au GDPR, les parties reconnaissent que rien dans l'addendum britannique n'a d'impact sur ces CCT de l'UE.
Link to this sectionIncorporation et modifications des CCT de l'UE#
Cet addendum britannique incorpore les CCT de l'UE qui sont modifiées dans la mesure nécessaire afin que :
- ensemble, ils fonctionnent pour les transferts de données effectués par l'exportateur de données vers l'importateur de données, dans la mesure où les lois britanniques sur la protection des données s'appliquent au traitement effectué par l'exportateur de données lors de ce transfert de données, et qu'ils fournissent des garanties appropriées pour ces transferts de données ;
- les sections 9 à 11 ci-dessus prévalent sur la clause 5 (Hiérarchie) des CCT de l'UE ; et
- l'addendum britannique (y compris les CCT de l'UE qui y sont incorporées) est (1) régi par les lois d'Angleterre et du Pays de Galles et (2) tout litige en découlant est résolu par les tribunaux d'Angleterre et du Pays de Galles.
À moins que les parties n'aient convenu de modifications alternatives répondant aux exigences de la section 12 de cet addendum britannique, les dispositions de la section 15 de cet addendum britannique s'appliqueront.
Aucune modification des CCT de l'UE approuvées autre que pour répondre aux exigences de la section 12 de cet addendum britannique ne peut être apportée.
Les modifications suivantes des CCT de l'UE (aux fins de la section 12 de cet addendum britannique) sont apportées :
- Les références aux "Clauses" signifient cet addendum britannique, incorporant les CCT de l'UE ;
- Dans la clause 2, supprimer les mots : "et, en ce qui concerne les transferts de données des responsables de traitement vers les sous-traitants et/ou des sous-traitants vers les sous-traitants, des clauses contractuelles types conformément à l'article 28(7) du Règlement (UE) 2016/679" ;
- La clause 6 (Description du ou des transferts) est remplacée par : "Les détails du ou des transferts et, en particulier, les catégories de données personnelles qui sont transférées et la ou les finalités pour lesquelles elles sont transférées sont ceux spécifiés à l'annexe I.B lorsque les lois britanniques sur la protection des données s'appliquent au traitement de l'exportateur de données lors de ce transfert." ;
- La clause 8.7(i) du module 1 est remplacée par : "il s'agit d'un pays bénéficiant de réglementations d'adéquation en vertu de la section 17A du UK GDPR qui couvre le transfert ultérieur" ;
- La clause 8.8(i) des modules 2 et 3 est remplacée par : "le transfert ultérieur est effectué vers un pays bénéficiant de réglementations d'adéquation en vertu de la section 17A du UK GDPR qui couvre le transfert ultérieur ;"
- Les références au "Règlement (UE) 2016/679", au "Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données)" et à "ce règlement" sont toutes remplacées par "lois britanniques sur la protection des données". Les références à un ou des articles spécifiques du "Règlement (UE) 2016/679" sont remplacées par l'article ou la section équivalent des lois britanniques sur la protection des données ;
- Les références au règlement (UE) 2018/1725 sont supprimées ;
- Les références à "l'Union européenne", "l'Union", "UE", "État membre de l'UE", "État membre" et "UE ou État membre" sont toutes remplacées par le "Royaume-Uni" ;
- La référence à la "Clause 12(c)(i)" dans la clause 10(b)(i) du module un est remplacée par "Clause 11(c)(i)" ;
- La clause 13(a) et la partie C de l'annexe I ne sont pas utilisées ;
- L'"autorité de contrôle compétente" et l'"autorité de contrôle" sont toutes deux remplacées par le "commissaire à l'information" ;
- Dans la clause 16(e), la sous-section (i) est remplacée par : "le secrétaire d'État prend des réglementations en vertu de la section 17A du Data Protection Act 2018 qui couvrent le transfert de données personnelles auxquelles ces clauses s'appliquent ;" ;
- La clause 17 est remplacée par : "Ces clauses sont régies par les lois d'Angleterre et du Pays de Galles" ;
- La clause 18 est remplacée par : "Tout litige découlant de ces clauses sera résolu par les tribunaux d'Angleterre et du Pays de Galles." Une personne concernée peut également engager des poursuites judiciaires contre l'exportateur de données et/ou l'importateur de données devant les tribunaux de tout pays du Royaume-Uni. Les parties acceptent de se soumettre à la juridiction de ces tribunaux. ; et
- Les notes de bas de page des CCT de l'UE approuvées ne font pas partie de l'addendum britannique, à l'exception des notes de bas de page 8, 9, 10 et 11.
Link to this sectionModifications de l'addendum britannique#
Les parties peuvent convenir de modifier les clauses 17 et/ou 18 des CCT de l'UE pour faire référence aux lois et/ou aux tribunaux d'Écosse ou d'Irlande du Nord.
Si les parties souhaitent modifier le format des informations incluses dans la partie 1 : Tableaux de l'addendum britannique approuvé, elles peuvent le faire en convenant du changement par écrit, à condition que le changement ne réduise pas les garanties appropriées.
De temps à autre, l'ICO peut publier un addendum britannique approuvé révisé qui :
- apporte des modifications raisonnables et proportionnées à l'addendum britannique approuvé, y compris la correction d'erreurs dans l'addendum britannique approuvé ; et/ou
- reflète les modifications apportées aux lois britanniques sur la protection des données.
L'addendum britannique approuvé révisé précisera la date de début à partir de laquelle les modifications apportées à l'addendum britannique approuvé prennent effet et si les parties doivent examiner cet addendum britannique, y compris les informations de l'annexe. Cet addendum britannique est automatiquement modifié comme indiqué dans l'addendum britannique approuvé révisé à partir de la date de début spécifiée.
Si l'ICO publie un addendum britannique approuvé révisé en vertu de la section 18 de cet addendum britannique, si une partie, à la suite directe des modifications apportées à l'addendum britannique approuvé, subit une augmentation substantielle, disproportionnée et démontrable de :
- ses coûts directs d'exécution de ses obligations en vertu de l'addendum britannique ; et/ou
- ses risques en vertu de l'addendum britannique,
et, dans les deux cas, si elle a d'abord pris des mesures raisonnables pour réduire ces coûts ou risques afin qu'ils ne soient pas substantiels et disproportionnés, alors cette partie peut mettre fin à cet addendum britannique à la fin d'un délai de préavis raisonnable, en fournissant un avis écrit à cet effet à l'autre partie avant la date de début de l'addendum britannique approuvé révisé.
Les parties n'ont pas besoin du consentement d'un tiers pour apporter des modifications à cet addendum britannique, mais toute modification doit être effectuée conformément à ses termes.