Addendum sur le traitement des données

LE PRÉSENT ADDENDUM AU TRAITEMENT DES DONNÉES ("ADDENDUM") S'APPLIQUE DANS LA MESURE OÙ KUSTOMER, LLC (ANCIENNEMENT, KUSTOMER, INC.) ("KUSTOMER") EST UN "PROCESSEUR" (DÉFINI CI-DESSOUS) DE DONNÉES PERSONNELLES (DÉFINIES CI-DESSOUS) QUI EST SOUMIS AUX LOIS APPLICABLES SUR LA PROTECTION DES DONNÉES (DÉFINIES CI-DESSOUS) DANS LE CADRE DE SA PRESTATION DE SERVICES À L'ENTITÉ ("CLIENT") EXÉCUTANT LE CONTRAT D'ABONNEMENT PRINCIPAL OU TOUT AUTRE CONTRAT ÉCRIT OU ÉLECTRONIQUE ENTRE KUSTOMER ET LE CLIENT POUR L'ACHAT DE SERVICES EN LIGNE (LE "CONTRAT") AUQUEL LE PRÉSENT ADDENDUM EST JOINT OU INCORPORÉ PAR RÉFÉRENCE. DANS LA MESURE OÙ LE CONTRAT CONCLU PAR LE CLIENT INCORPORAIT PAR RÉFÉRENCE L'ADDENDUM RELATIF AU TRAITEMENT DES DONNÉES SITUÉ À L'ADRESSE HTTPS://WWW.KUSTOMER.COM/COMPLIANCE/DPA, LE PRÉSENT ADDENDUM REMPLACE CET ADDENDUM RELATIF AU TRAITEMENT DES DONNÉES À LA DERNIÈRE DATE DE MISE À JOUR INDIQUÉE CI-DESSUS. SI VOUS ACCÉDEZ AUX SERVICES AU NOM DU CLIENT, VOUS DÉCLAREZ ET GARANTISSEZ QUE VOUS AVEZ LE POUVOIR D'ACCEPTER LES PRÉSENTES CONDITIONS EN SON NOM ET LE DROIT DE LIER LE CLIENT À CELLES-CI. POUR ÉVITER TOUT DOUTE, CET ADDENDUM N'EST PAS VALIDE OU LÉGALEMENT CONTRAIGNANT S'IL N'Y A PAS D'ACCORD EN PLACE ENTRE LE CLIENT ET KUSTOMER.

 

1. Définitions

1.1 "Affilié" désigne toute entité qui, directement ou indirectement, contrôle, est contrôlée par, ou est sous contrôle commun avec l'entité concernée. Le terme " contrôle ", aux fins de la présente définition, désigne la propriété ou le contrôle direct ou indirect de plus de 50 % des intérêts avec droit de vote de l'entité concernée.

1.2 "Données anonymes" signifie les données qui ne sont pas considérées comme des "données personnelles" ou des "informations personnelles" (ou des variations analogues de ces termes) en vertu des lois applicables sur la protection des données, y compris (i) aux fins des lois sur la protection des données de l'UE et du Royaume-Uni, les données personnelles qui ont été traitées de telle manière qu'elles ne peuvent plus être attribuées à une personne physique identifiée ou identifiable ; ou (ii) les "informations agrégées sur les consommateurs" ou les "informations personnelles désidentifiées" telles que ces termes sont définis dans les lois américaines applicables sur la protection de la vie privée.

1.3 "Lois applicables en matière de protection des données" signifie toutes les lois et réglementations applicables au traitement des données personnelles en vertu de l'Accord. En ce qui concerne les Données à caractère personnel relatives aux Personnes concernées de l'EEE, du Royaume-Uni et/ou de la Suisse, les " Lois applicables en matière de protection des données " comprennent, sans s'y limiter, les Lois européennes et britanniques en matière de protection des données. En ce qui concerne les données personnelles relatives aux personnes concernées de Californie, du Colorado, du Connecticut, de l'Utah et/ou de la Virginie, les "lois de protection des données applicables" comprennent, sans s'y limiter, les lois américaines sur la protection de la vie privée.

1.4 "Employé autorisé" signifie un employé de Kustomer qui a besoin de connaître ou d'accéder aux Données Personnelles pour permettre à Kustomer d'exécuter ses obligations en vertu du présent Addendum ou du Contrat.

1.5 "Personne autorisée" signifie un employé autorisé ou un sous-traitant autorisé.

1.6 "Sous-traitant autorisé" signifie chacune des sociétés affiliées de Kustomeret un sous-traitant, agent, revendeur ou auditeur tiers qui (i) a besoin de connaître ou d'accéder aux Données personnelles pour permettre à Kustomer d'exécuter ses obligations en vertu du présent Addendum ou du Contrat et (ii) est soit un Sous-traitant actuel en vertu de la Section 4.1 des présentes, soit ajouté en tant que Sous-traitant autorisé en vertu de la Section 4.2 des présentes après la Date effective.

1.7 "Contrôleur" désigne l'entité qui détermine les objectifs et les moyens du Traitement des Données à caractère personnel. En ce qui concerne les Données à caractère personnel relatives aux Personnes concernées de Californie, du Colorado, du Connecticut, de l'Utah et de Virginie, le Contrôleur comprend, sans s'y limiter, le terme " Entreprise " ou " Contrôleur ", selon le cas, en vertu des Lois américaines sur la protection de la vie privée applicables.

1.8 "Personne concernée" signifie (i) une personne physique identifiée ou identifiable à laquelle se rapportent des Données Personnelles, et qui se trouve dans l'EEE, au Royaume-Uni ou en Suisse, ou dont les droits sont protégés par les lois de l'UE et du Royaume-Uni sur la protection des données ; ou (ii) un "Consommateur" ou, le cas échéant, un "Ménage", tel que ce terme est défini dans la loi américaine sur la protection de la vie privée.

1.9 "EEE" désigne l'Espace économique européen.

1.10 "Lois de l'UE et du Royaume-Uni sur la protection des données" désigne (i) le Règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) (" RGPD ") ; (ii) la Loi de 2018 sur la protection des données du Royaume-Uni ("UK DPA") ; le règlement général sur la protection des données du Royaume-Uni tel que défini par le DPA du Royaume-Uni, modifié par le règlement de 2019 sur la protection des données, la confidentialité et les communications électroniques (modifications, etc.) (sortie de l'UE) (conjointement avec le DPA du Royaume-Uni, le " GDPR du Royaume-Uni ") ; (iii) le règlement de 2003 sur la confidentialité et les communications électroniques ; et (iv) toute loi, tout statut, toute déclaration, tout décret, toute directive, tout texte législatif, tout ordre, toute ordonnance, tout règlement, toute règle ou tout autre instrument contraignant pertinent qui met en œuvre l'un des éléments ci-dessus ou qui se rapporte autrement à la protection des données, à la vie privée ou au Traitement des données personnelles, dans chaque cas tel qu'applicable et en vigueur de temps à autre, et tel qu'amendé, consolidé, réadopté ou remplacé de temps à autre (y compris, à des fins de clarification et sans limitation, la Loi fédérale sur la protection des données du 19 juin 1992 (Suisse) (telle qu'elle peut être remplacée par la Loi suisse sur la protection des données 2020 et telle qu'amendée de temps à autre) (" LPD suisse ")).

1.11 "Clauses de transfert de l'UE" désigne les Clauses contractuelles types approuvées par la décision 2021/914 de la Commission européenne du 4 juin 2021, comprenant spécifiquement le module 2 (contrôleur au sous-traitant) et le module 3 (sous-traitant au sous-traitant), telles qu'elles peuvent être modifiées, mises à jour ou remplacées de temps à autre par la Commission européenne, pour le transfert de données à caractère personnel de l'Espace économique européen (" EEE ") vers un Pays tiers et le traitement des Données à caractère personnel ;

1.12 "Instruction" signifie une instruction, soit par écrit, sous forme textuelle (par exemple par e-mail) ou par l'utilisation d'un logiciel ou d'un outil en ligne, émise par le Client à Kustomer et ordonnant à Kustomer de traiter les Données Personnelles.

1.13 "Données personnelles" ou "Informations personnelles" désigne toute information mise à la disposition de Kustomer dans le cadre des Services qui constitue des "informations personnelles", des "informations personnellement identifiables", des "données personnelles" ou des informations similaires régies par les Lois applicables en matière de protection des données et a la signification attribuée à ces termes, le cas échéant, en vertu des Lois applicables en matière de protection des données, y compris les informations relatives aux Personnes concernées que Kustomer traite pour le compte du Client autres que les Données anonymes.

1.14 "Violation de données personnelles" signifie une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal à des données personnelles en possession, sous la garde ou sous le contrôle de Kustomer.

1.15 " Cadre du bouclier de protection de la vie privée " désigne le programme d'autocertification du bouclier de protection de la vie privée UE-États-Unis et/ou Suisse-États-Unis géré par le ministère du Commerce des États-Unis, ou tout cadre juridique équivalent pouvant s'appliquer entre le Royaume-Uni et les États-Unis.

1.16 "Traitement" ou "Traitement" désigne toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, le verrouillage, l'effacement ou la destruction.

1.17 "Processeur" désigne l'entité qui traite les Données à caractère personnel pour le compte du Contrôleur. En ce qui concerne les Données à caractère personnel couvertes par les Lois américaines sur la protection de la vie privée, provenant des Personnes concernées de Californie, du Colorado, du Connecticut, de l'Utah et/ou de Virginie, le Processeur comprend le terme " Responsable du traitement " ou " Prestataire de services ", selon le cas, selon le sens donné à ce terme par la Loi américaine sur la protection de la vie privée concernée.

1.18 "Documentation relative à la sécurité et à la confidentialité" désigne la documentation relative à la sécurité et à la confidentialité applicable aux services spécifiques achetés par le Client, telle que mise à jour de temps à autre, et accessible via https://www.kustomer.com/security/.

1.19 "Services" désigne tous les services fournis par Kustomer au Client, tels que définis dans le Contrat (y compris toute Commande applicable (telle que définie dans le Contrat)).

1.20 "Clauses contractuelles types" désigne les Clauses de transfert de l'UE et l'Addendum sur le transfert international de données du Royaume-Uni, sous réserve que leurs Appendices et Annexes figurent à l'Annexe 1 du présent Addendum.

1.21 "Autorité de contrôle" désigne une autorité publique indépendante établie par un État membre de l'EEE, la Suisse, le Royaume-Uni, ou toute autre autorité ou organisme gouvernemental ayant compétence sur le respect et l'application des lois applicables en matière de protection des données.

1.22 "Pays tiers" désigne (i) en ce qui concerne les transferts de Données à caractère personnel soumis au GDPR, tout pays en dehors du champ d'application des lois sur la protection des données de l'Espace économique européen, à l'exclusion des pays approuvés comme assurant une protection adéquate des Données à caractère personnel par la Commission européenne de temps à autre ; et (ii) en ce qui concerne les transferts de Données à caractère personnel soumis au GDPR britannique ou à la loi suisse sur la protection des données, tout pays en dehors du champ d'application des lois sur la protection des données du Royaume-Uni ou de la Suisse (selon le cas), à l'exclusion des pays approuvés comme assurant une protection adéquate des Données à caractère personnel par l'autorité compétente pertinente du Royaume-Uni ou de la Suisse (selon le cas) de temps à autre.

1.23 "Services tiers" désigne les connexions et/ou les liens vers des sites Web et/ou des services tiers que Kustomer permet au Client d'intégrer et d'accéder par le biais des Services, y compris, sans s'y limiter, via des interfaces de programmation d'applications, des flux de travail ou des webhooks, et pour lesquels le Client a conclu un ou des accords directement avec ces sites Web et/ou services tiers en ce qui concerne le Traitement des Données à caractère personnel.

1.24 "UK International Data Transfer Addendum" désigne l'International Data Transfer Addendum aux clauses contractuelles types de la Commission européenne (version B.1.0) publié par le commissaire à l'information du Royaume-Uni, tel qu'il peut être modifié de temps à autre, pour le transfert de données personnelles du Royaume-Uni vers un pays tiers et le traitement des données personnelles.

1.25 "Lois américaines sur la protection de la vie privée" désigne (i) à compter du 1er janvier 2020, la California Consumer Privacy Act (" CCPA "), (ii) à compter du 1er janvier 2023, la CCPA telle que modifiée par la California Privacy Rights Act (" CPRA "), et la Virginia Consumer Data Protection Act ("VCDPA"), (iii) à compter du 1er juillet 2023, la Connecticut Data Privacy Act ("CTDPA"), la Colorado Privacy Act ("CPA"), et (iv) à compter du 31 décembre 2023, la Utah Consumer Privacy Act ("UCPA"). " Business ", " Business Purpose ", " Commercial Purposes ", " Sell ", " Share " et " Service Provider " ont les significations données dans les lois américaines sur la confidentialité applicables.

2. Traitement des données

2.1 Les parties reconnaissent et conviennent qu'en ce qui concerne le Traitement des Données Personnelles, (i) lorsque le Client est le Contrôleur, Kustomer est le Responsable du traitement et (ii) lorsque le Client agit en tant que Responsable du traitement pour le compte d'une autre entité, Kustomer est un Sous-traitant. Kustomer engagera des Sous-traitants autorisés conformément aux exigences énoncées à la Section 4 ci-dessous. Le Client comprend que dans la mesure où le Client accède à des Services Tiers, le Client sert de Contrôleur (ou de Responsable du traitement au nom d'une autre entité, le cas échéant) et les Services Tiers sont des Responsables du traitement (ou des Sous-traitants, le cas échéant), et les Services Tiers ne sont pas des Sous-traitants autorisés de Kustomer.

2.2 Les droits et obligations du Client en ce qui concerne ce Traitement sont décrits dans les présentes. Le Client doit, dans le cadre de son utilisation des Services, traiter à tout moment les Données Personnelles, et fournir des Instructions pour le Traitement des Données Personnelles, en conformité avec les Lois Applicables sur la Protection des Données. Sans limiter les obligations de Kustomeren vertu des Lois Applicables sur la Protection des Données, le Client doit s'assurer que ses Instructions sont conformes à toutes les Lois Applicables sur la Protection des Données en ce qui concerne les Données Personnelles, et que le Traitement des Données Personnelles conformément aux Instructions du Client, au Contrat et au présent Addendum n'entraînera pas la violation des Lois Applicables sur la Protection des Données par Kustomer . Le Client est seul responsable de l'exactitude, de la qualité et de la légalité (i) des Données Personnelles fournies à Kustomer par ou au nom du Client, (ii) des moyens par lesquels le Client a acquis ces Données Personnelles, et (iii) des Instructions qu'il fournit à Kustomer concernant le Traitement de ces Données Personnelles. Le Client ne fournira pas ou ne mettra pas à la disposition de Kustomer des Données Personnelles en violation du Contrat ou autrement inappropriées à la nature des Services, et indemnisera Kustomer de toutes les réclamations et pertes en rapport avec celles-ci.

2.3 Kustomer traitera les Données Personnelles uniquement (i) aux fins énoncées dans le Contrat (y compris toute Commande applicable (telle que définie dans le Contrat)), (ii) conformément aux conditions générales énoncées dans le présent Addendum et à toute autre Instruction fournie par le Client, et (iii) en conformité avec les Lois applicables en matière de protection des données. Le Client donne par la présente instruction à Kustomer de traiter les Données personnelles conformément aux objectifs précédents et dans le cadre de tout Traitement initié par le Client dans le cadre de son utilisation des Services et des Instructions raisonnables documentées fournies par le Client (par exemple, par e-mail) lorsque ces Instructions sont compatibles avec les termes du Contrat. Le Client donne également l'instruction à Kustomer d'utiliser et de traiter les Données personnelles dans le but d'utiliser ses fonctions d'intelligence artificielle (IA) et d'apprentissage machine (ML) pour fournir les Services au nom du Client, y compris pour mieux comprendre la nature des communications reçues par le Client afin de permettre au Client de répondre à ses clients avec plus de précision et d'efficacité, et donne en outre l'instruction à Kustomer, si nécessaire, de dépersonnaliser ou d'anonymiser les Données personnelles, pour entraîner les fonctions d'IA et de ML des Services au nom du Client dans le cadre du Traitement.

2.4 L'objet, la nature, la finalité et la durée du Traitement des Données Personnelles par Kustomeren vertu de l'Accord et du présent Addendum, y compris les types de Données Personnelles collectées et les catégories de Personnes concernées, sont décrits dans l'Annexe 1 du présent Addendum.

2.5 Après l'achèvement des Services, au choix du Client, Kustomer renverra ou supprimera les Données Personnelles dès que raisonnablement possible, à l'exception de celles qui doivent être conservées pour se conformer aux exigences légales applicables, y compris les Lois Applicables sur la Protection des Données (étant entendu et convenu que, nonobstant toute disposition contraire dans les présentes, KustomerIl est entendu que, nonobstant toute disposition contraire dans les présentes, les obligations du Client en vertu du présent addendum subsisteront tant qu'il traitera (y compris le stockage) des données personnelles, y compris, mais sans s'y limiter, le stockage des données personnelles pour permettre au Client d'accéder aux données personnelles et de les télécharger après l'achèvement des services, comme indiqué dans le contrat et dans la politique de conservation du site Kustomerdans sa déclaration de confidentialité à l'adresse https ://www.kustomer.com/privacy/statement/).

3. Employés autorisés

3.1 Kustomer prendra des mesures commercialement raisonnables pour assurer la fiabilité et la formation appropriée de tout employé autorisé.

3.2 Kustomer doit s'assurer que tous les Employés Autorisés sont informés de la nature confidentielle des Données Personnelles et ont signé des accords de confidentialité qui les empêchent de divulguer ou de traiter d'une autre manière, tant pendant qu'après leur engagement avec Kustomer, toute Donnée Personnelle sauf conformément à leurs obligations en relation avec les Services.

3.3 Kustomer prendra des mesures commercialement raisonnables pour limiter l'accès aux données personnelles aux seules personnes autorisées.

4. Sous-traitants autorisés

4.1 Le Client reconnaît et accepte que Kustomer puisse (1) engager les Sous-Traitants Autorisés listés sur le site Internet de Kustomerà l'adresse https://www.kustomer.com/compliance/subprocessors/ à la Date d'Entrée en Vigueur (chacun étant un "Sous-Traitant Actuel") pour accéder aux Données Personnelles et les Traiter dans le cadre des Services et (2) de temps à autre après la Date d'Entrée en Vigueur engager des tiers supplémentaires dans le but de fournir les Services, y compris sans limitation le Traitement des Données Personnelles.

4.2 Kustomer doit informer le Client avant d'engager un tiers autre que ses Affiliés et Sous-traitants actuels pour accéder ou participer au Traitement des Données Personnelles en mettant à jour la liste actuelle des Sous-traitants autorisés disponible sur le site Internet Kustomerà l'adresse https://www.kustomer.com/compliance/subprocessors/ ainsi qu'en fournissant un mécanisme permettant de s'inscrire par e-mail pour recevoir des notifications de nouveaux Sous-traitants Autorisés, et si le Client s'inscrit, Kustomer fournira une notification par e-mail au Client d'un nouveau Sous-traitant Autorisé avant d'autoriser tout nouveau Sous-traitant Autorisé à Traiter des Données Personnelles dans le cadre de la fourniture des Services.

4.3 Kustomer doit, par voie de contrat ou autre acte juridique en vertu du droit applicable (y compris, sans s'y limiter, les codes de conduite approuvés et les clauses contractuelles types), s'assurer que chaque Sous-traitant autorisé est soumis à des obligations de protection des données concernant le Traitement des Données à caractère personnel qui ne sont pas moins protectrices que celles du présent Addendum dans la mesure où elles sont applicables à la nature des services fournis par ledit Sous-traitant autorisé. Kustomer exerce une diligence raisonnable appropriée dans la sélection et la rétention de ses Sous-traitants autorisés.

4.4 Le Client peut s'opposer à l'utilisation d'un nouveau sous-traitant par Kustomeren envoyant un courriel à compliance@kustomer.com dans les quinze (15) jours suivant la réception de la notification de Kustomerconformément au mécanisme prévu à la Section 4.2, à condition que cette objection soit fondée sur des motifs raisonnables selon lesquels le nouveau sous-traitant ne se conforme pas ou ne peut pas se conformer aux exigences énoncées dans le présent Addendum (chacun, une "Objection"). Dans ce cas, les parties conviennent de discuter de bonne foi de solutions commerciales alternatives raisonnables pour répondre à l'objection, ce qui peut inclure la recherche d'une solution de contournement raisonnable ou la résiliation par les parties du contrat et des commandes concernées sans autre responsabilité pour l'une ou l'autre des parties.

4.5 Kustomer sera responsable envers le Client des actes et omissions de Traitement des Données Personnelles des Sous-traitants autorisés dans la même mesure que Kustomer serait lui-même responsable en vertu du présent Addendum s'il avait mené de tels actes ou omissions.

5. Sécurité des données personnelles

5.1 En tenant compte de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, Kustomer maintient des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque de Traitement des Données Personnelles (y compris la protection contre le Traitement non autorisé ou illicite et contre la destruction, la perte ou l'altération ou les dommages accidentels ou illicites, la divulgation non autorisée des Données Personnelles ou l'accès à celles-ci), comme indiqué dans la Documentation sur la Sécurité et la Confidentialité. Kustomer contrôle régulièrement le respect de ces mesures.

6. Transferts de données personnelles

6.1 Tout transfert de Données Personnelles faisant l'objet du présent Addendum depuis les Etats membres de l'EEE, de la Suisse ou du Royaume-Uni vers les Etats-Unis ou tout autre Pays Tiers (collectivement, "Données Personnelles Transférées") sera, dans la mesure où ces Données Personnelles Transférées sont soumises à ces Lois Applicables sur la Protection des Données, être entrepris par Kustomer conformément (a) aux Clauses Contractuelles Types, ou (b) à une norme de conformité alternative reconnue, y compris toute nouvelle version ou successeur des Clauses Contractuelles Types ou du Cadre du Bouclier de Confidentialité adopté conformément aux Lois Applicables sur la Protection des Données (lorsque Kustomer a adopté une telle norme de conformité alternative reconnue) ("Solution Alternative de Transfert").

6.2 Le présent avenant intègre par référence les Clauses de transfert de l'UE et l'avenant relatif au transfert international de données du Royaume-Uni. Afin d'éviter toute ambiguïté, la signature de chaque partie ou toute autre forme d'acceptation du présent avenant ou du Contrat est réputée constituer sa signature et son acceptation respectives des deux ensembles de Clauses Contractuelles Types incorporées dans les présentes, y compris leurs appendices et annexes figurant à l'Annexe 1 des présentes. Les parties conviennent que (i) aux seules fins des descriptions figurant dans les Clauses Contractuelles Types, Kustomer se conformera aux obligations d'"importateur de données" et le Client se conformera aux obligations d'"exportateur de données" figurant dans les Clauses Contractuelles Types (nonobstant le fait que le Client puisse être situé hors d'Europe et/ou que le Client puisse agir en tant que sous-traitant pour le compte de contrôleurs tiers) ; (ii) en ce qui concerne le sous-traitement, Kustomer peut mandater des Sous-Traitants Autorisés, conformément à la Section 4 du présent Addendum, pour traiter les Données Personnelles du Client dans un Pays Tiers, auquel cas Kustomer exécutera les Clauses Processeur à Processeur avec tout sous-traitant pertinent (y compris les Affiliés) qu'il mandate pour le compte du Client (avec les détails du traitement énoncés à l'Annexe 1 du présent Addendum (Détails du traitement) et les mesures de sécurité techniques et organisationnelles énoncées dans la documentation de sécurité de l'information pertinente du sous-traitant s'appliquant de temps à autre aux fins de l'Annexe II ou de la Partie 1 des Clauses contractuelles types (selon le cas)) avec tout sous-traitant pertinent (y compris les Affiliés) qu'il mandate pour le compte du Contrôleur des données ; et (iii) il n'est pas dans l'intention de l'une ou l'autre des parties de contredire ou de restreindre l'une quelconque des dispositions énoncées dans les Clauses Contractuelles Types et, par conséquent, si et dans la mesure où les Clauses Contractuelles Types entrent en conflit avec une disposition du Contrat (y compris le présent Avenant), les Clauses Contractuelles Types prévaudront dans la mesure de ce conflit. Les parties peuvent également convenir de signer séparément une copie des clauses contractuelles types, auquel cas ces clauses contractuelles types signées prévaudront.

6.3 Dans le cas où les Services sont couverts par plus d'une norme de conformité reconnue comme un mécanisme de transfert adéquat et légal en ce qui concerne les Données Personnelles Transférées, alors ces Données Personnelles Transférées seront soumises à un seul mécanisme de transfert conformément à l'ordre de préséance suivant : (a) une Solution Alternative de Transfert (lorsque Kustomer a adopté une telle norme de conformité reconnue alternative et seulement dans la mesure où cette Solution Alternative de Transfert est conforme aux Lois Applicables sur la Protection des Données en ce qui concerne ces Données Personnelles Transférées) ; et (b) les Clauses Contractuelles Standard. Si Kustomer le demande, le Client s'engage à prendre rapidement toutes les mesures (y compris, sans s'y limiter, l'accusé de réception électronique ou la signature de documents) raisonnablement nécessaires pour que Kustomer continue à traiter les Données Personnelles comme prévu par le présent Addendum en conformité avec les Lois Applicables sur la Protection des Données, y compris pour donner plein effet à une Solution Alternative de Transfert ou aux Clauses Contractuelles Types.

6.4 Si et dans la mesure où les Clauses Contractuelles Types ne sont plus reconnues par la Commission européenne, la Suisse, le Royaume-Uni ou d'autres autorités locales de protection de la vie privée applicables comme un mécanisme de transfert adéquat et légal en ce qui concerne les Données Personnelles Transférées, alors Kustomer adoptera rapidement et se conformera à une Solution Alternative de Transfert ; à condition, toutefois, que si, après des efforts commercialement raisonnables, Kustomer n'est pas en mesure de se conformer à une Solution Alternative de Transfert, les parties discuteront rapidement et de bonne foi des mesures supplémentaires, techniques, contractuelles et/ou politiques mutuellement acceptables que Kustomer devra prendre pour garantir que les Données Personnelles Transférées sont protégées selon un standard équivalent à celui offert par les Lois Applicables sur la Protection des Données ou, si les parties ne sont pas en mesure de convenir mutuellement de telles mesures supplémentaires, le Client ou Kustomer peut, moyennant un préavis écrit de trente (30) jours (y compris par e-mail) à l'autre partie, résilier le Contrat et les Commandes concernées et le Client aura droit à un remboursement de la part de Kustomer ou du revendeur, selon le cas, du montant proportionnel de tous les frais d'abonnement effectivement prépayés à Kustomer couvrant le reste de la Période d'abonnement après la date effective de résiliation.

7. Droits des personnes concernées

7.1 Kustomer doit, dans la mesure où la loi le permet, notifier rapidement, et en aucun cas plus tard que dix (10) jours ouvrables à compter de la réception de Kustomer, au Client la réception d'une demande d'une Personne concernée d'exercer les droits individuels de la Personne concernée en vertu des Lois applicables sur la protection des données en ce qui concerne les Données personnelles, y compris, le cas échéant, les droits de : l'accès, la rectification, la limitation du Traitement, l'effacement, la portabilité des données, la restriction ou la cessation du Traitement, le retrait du consentement au Traitement, l'objection à être soumis à un Traitement qui constitue une prise de décision automatisée et/ou tout autre droit individuel en vertu des Lois Applicables sur la Protection des Données (de telles demandes individuellement et collectivement "Demande(s) de la Personne concernée").

7.2 Kustomer doit, à la demande du Client, et en tenant compte de la nature du Traitement applicable à toute Demande de la Personne concernée, appliquer des mesures techniques et organisationnelles appropriées pour aider le Client à se conformer à l'obligation du Client de répondre à une telle Demande de la Personne concernée et/ou à démontrer cette conformité, lorsque cela est possible, à condition que (i) le Client soit lui-même incapable de répondre sans l'assistance de Kustomeret (ii) Kustomer soit en mesure de le faire conformément à toutes les Lois applicables sur la protection des données et autres exigences légales applicables. Le client est responsable, dans la mesure où la loi le permet, de tous les coûts et dépenses raisonnables et documentés découlant d'une telle assistance de Kustomer.

8. Actions et demandes d'accès ; Gestion des incidents de sécurité

8.1 Kustomer doit, en tenant compte de la nature du Traitement et des informations dont dispose Kustomer, fournir au Client une coopération et une assistance raisonnables lorsque cela est nécessaire pour que le Client se conforme à ses obligations en vertu des Lois Applicables sur la Protection des Données pour effectuer une évaluation d'impact sur la protection des données et/ou pour démontrer cette conformité, si de telles obligations existent, à condition que le Client n'ait pas autrement accès aux informations pertinentes. Le client est responsable, dans la mesure où la loi le permet, de tous les coûts et dépenses raisonnables et documentés découlant d'une telle assistance de la part de Kustomer.

8.2 Kustomer doit, compte tenu de la nature du Traitement et des informations dont dispose Kustomer, fournir au Client une coopération et une assistance raisonnables en ce qui concerne la coopération et/ou la consultation préalable du Client avec toute Autorité de contrôle, si nécessaire et si les Lois applicables en matière de protection des données l'exigent. Le client est responsable, dans la mesure où la loi l'autorise, de tous les coûts et dépenses raisonnables et documentés découlant d'une telle assistance de Kustomer.

8.3 Kustomer tiendra des registres suffisants pour démontrer sa conformité avec ses obligations en vertu du présent Addendum et des normes de sécurité des données en vigueur applicables au Traitement des Données Personnelles du Client sous la forme des certifications, rapports et audits de tiers tels que définis dans la Documentation sur la Sécurité et la Confidentialité dans la mesure où Kustomer les met généralement à la disposition de ses clients professionnels. Kustomer conservera ces registres pendant une période de trois (3) ans après la résiliation du Contrat. Sous réserve et sans limitation des lois applicables en matière de protection des données, le Client (ou l'auditeur tiers indépendant du Client) aura le droit, moyennant un préavis raisonnable à Kustomer et pas plus d'une fois par an, d'examiner, d'auditer et de copier ces dossiers dans les bureaux de Kustomerpendant les heures de bureau, sous réserve des obligations de confidentialité énoncées dans le Contrat.

8.4 En cas de violation de données personnelles, Kustomer doit, sans retard excessif, mais au plus tard dans les soixante-douze (72) heures suivant la connaissance effective par Kustomerde cette violation de données personnelles, informer le client de la violation de données personnelles et des catégories de données personnelles impliquées.

8.5 Rapidement après une violation de données personnelles, Kustomer prendra les mesures que Kustomer , à sa seule discrétion, juge nécessaires et raisonnables pour identifier la cause de cette violation de données personnelles et remédier à cette violation (dans la mesure où la remédiation est sous le contrôle raisonnable de Kustomer) et, dans la mesure du possible, inclura ces informations dans la notification de la violation de données personnelles au Client.

8.6 En cas de violation de données personnelles, Kustomer doit, en tenant compte de la nature du traitement et des informations dont dispose Kustomer, fournir au client la coopération et l'assistance raisonnables nécessaires pour que le client se conforme à ses obligations en vertu des lois applicables sur la protection des données en ce qui concerne la notification (i) de l'autorité de contrôle compétente et (ii) des personnes concernées par cette violation de données personnelles sans retard excessif.

8.7 Les obligations décrites aux sections 8.5 et 8.6 ne s'appliquent pas dans le cas où une violation de données personnelles résulte des actions ou omissions du client.

9. Limitation de la responsabilité

9.1 La responsabilité totale du client et de Kustomer (et de leurs employés, administrateurs, dirigeants, sociétés affiliées, successeurs et ayants droit respectifs), découlant du présent addendum ou liée à celui-ci, qu'il s'agisse d'un contrat, d'un délit ou de toute autre théorie de la responsabilité, ne doit pas, lorsqu'elle est prise dans son ensemble, dépasser la limite de responsabilité applicable énoncée dans le contrat.

10. Conditions spécifiques à une juridiction

10.1 Dans la mesure où Kustomer traite des Données personnelles de Personnes concernées résidant et protégées par des Lois applicables sur la protection des données dans l'une des juridictions énumérées à l'Annexe 2 des présentes, les conditions spécifiées à l'Annexe 2 concernant la ou les juridictions applicables ("Conditions spécifiques à la juridiction") s'appliquent en plus des conditions du présent Addendum. En cas de conflit ou d'ambiguïté entre les Conditions spécifiques à une juridiction et toute autre condition du présent addendum, les Conditions spécifiques à une juridiction applicables auront la priorité. En cas de conflit ou d'ambiguïté entre les Conditions spécifiques à la juridiction et les Clauses contractuelles standard, les Clauses contractuelles standard primeront.