Règles de confidentialité

Conditions Google Ads relatives à la protection des données Responsable du traitement-Responsable du traitement

Google et la partie co-contractante qui accepte les présentes conditions (le “Client”) ont conclu un accord pour la fourniture des Services du Responsable du traitement (le “Contrat”, tel que modifié périodiquement).

Les présentes Conditions Google Ads relatives à la protection des données Responsable du traitement-Responsable du traitement (y compris l'annexe, les “Conditions du Responsable du traitement”) sont conclues par Google et le Client, et complètent le Contrat. Les présentes Conditions du Responsable du traitement entreront en vigueur et remplaceront toutes les conditions précédemment applicables à leur objet, à compter de la Date d'entrée en vigueur des Conditions.

Si vous acceptez les présentes Conditions du Responsable du traitement pour le compte du Client, vous garantissez que : (a) vous jouissez de la capacité juridique nécessaire pour engager le Client au respect des présentes Conditions du Responsable du traitement ; (b) vous avez lu et compris les présentes Conditions Responsable du traitement ; et (c) vous acceptez, pour le compte du Client, les présentes Conditions Responsable du traitement. Si vous n'avez pas la capacité juridique d'engager le Client, veuillez ne pas accepter les présentes Conditions du Responsable du traitement.

1. Introduction

Les présentes Conditions du Responsable du traitement reflètent l'accord des parties sur le traitement des Données à caractère personnel du Responsable du traitement.

2. Définitions et interprétation

2.1 Dans le cadre des présentes Conditions du Responsable du traitement :

Conditions supplémentaires” désigne les conditions supplémentaires mentionnées en Annexe 1, qui reflètent l'accord des parties sur les conditions régissant le traitement des Données à caractère personnel du Responsable du traitement dans le cadre de certaines Législations applicables en matière de protection des données.

Date d'entrée en vigueur des Conditions” désigne la date à laquelle le Client ou les parties ont accepté les présentes Conditions du Responsable du traitement.

Données à caractère personnel du Responsable du traitement” désigne les données à caractère personnel traitées par une partie en vertu du Contrat, et en rapport avec sa fourniture ou son utilisation (le cas échéant) des Services du Responsable du traitement.

Entité Google” désigne Google LLC, Google Ireland Limited ou toute autre Société affiliée de Google LLC.

Google” désigne l'Entité Google qui est partie au Contrat.

Législation applicable en matière de protection des données” désigne, dans la mesure où elle s'applique au traitement des Données à caractère personnel du Responsable du traitement, toute loi ou réglementation nationale, fédérale, européenne, étatique, provinciale ou autre en matière de respect de la vie privée, de sécurité des données ou de protection des données, y compris la Législation européenne en matière de protection des données, la LGPD et les Lois des Etats des Etats-Unis en matière de protection des données.

Lois des Etats des Etats-Unis en matière de protection des données” désigne, selon le cas, (i) le California Consumer Privacy Act de 2018 (y compris dans sa version modifiée par le California Privacy Rights Act de 2020) ainsi que tous les règlements d'application y afférents ("CCPA") ; (ii) le Virginia’s Consumer Data Protection Act, Code de Virginie, § 59.1-571 et suiv. ; (iii) le Colorado Privacy Act, Statuts révisés du Colorado, §6-1-1301 et suiv. ; (iv) le Connecticut’s Act Concerning Data Privacy and Online Monitoring, Loi n° 22015 ; et (v) le Utah Consumer Privacy Act, Code de l’Utah, §13-61-101 et suiv.

Législation européenne en matière de protection des données” désigne, selon le cas : (a) le RGPD ; et/ou (b) la LPD suisse.

LGPD” désigne la Loi Générale sur la Protection des Données du Brésil (Lei Geral de Proteção de Dados Pessoais).

LPD suisse” désigne, selon le cas, la loi fédérale suisse sur la protection des données du 19 juin 1992 (conjointement avec l'ordonnance relative à la loi fédérale sur la protection des données du 14 juin 1993), ou la loi fédérale sur la protection des données du 25 septembre 2020, telle que révisée (conjointement avec l'ordonnance relative à la loi fédérale sur la protection des données du 31 août 2022).

Personne concernée” désigne une personne concernée par les Données à caractère personnel du Responsable du traitement.

Responsable du traitement final” désigne, pour chaque partie, le dernier responsable du traitement des Données à caractère personnel du Responsable du traitement.

RGPD” désigne, selon le cas : (a) le RGPD de l'UE ; et/ou (b) le RGPD du Royaume-Uni.

RGPD de l'UE” désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE.

RGPD du Royaume-Uni” désigne le RGPD de l'UE tel qu'amendé et incorporé dans la législation du Royaume-Uni, en application du European Union (Withdrawal) Act 2018, et la législation dérivée applicable émise dans le cadre de cette Loi.

Services du Responsable du traitement” désigne les services applicables listés à l'adresse business.safety.google/adsservices.

Société affiliée” désigne une entité qui, directement ou indirectement, contrôle une des parties, est contrôlée par elle ou est sous contrôle commun avec elle.

2.2 Les termes “responsable du traitement”, “personne concernée”, “données à caractère personnel”, “traitement” et “sous-traitant” tels qu'utilisés dans les présentes Conditions du Responsable du traitement ont la signification donnée soit (a) dans la Législation applicable en matière de protection des données ; ou (b), en l’absence d’une telle signification ou législation, dans le RGPD.

2.3 Les termes “incluant” et “y compris” signifient “y compris, mais sans s'y limiter”. Les exemples utilisés dans les présentes Conditions du Responsable du traitement ne sont fournis qu'à titre illustratif et ne constituent pas les seuls exemples d'un concept donné.

2.4 Toute référence à un cadre juridique, une loi ou un autre texte législatif est une référence à sa version en vigueur telle que modifiée de temps à autre.

2.5 Dans le cas où la version traduite des présentes Conditions du Responsable du traitement n'est pas cohérente avec la version en anglais, la version en anglais prévaut.

3. Application des présentes Conditions du Responsable du traitement

3.1Généralités. Les présentes Conditions du Responsable du traitement ne s'appliqueront qu'aux Services du Responsable du traitement pour lesquels les parties ont accepté les présentes Conditions du Responsable du traitement, par exemple : (a) les Services du Responsable du traitement pour lesquels le Client a cliqué pour accepter les présentes Conditions du Responsable du traitement ; ou (b) si le Contrat incorpore les présentes Conditions du Responsable du traitement par référence, les Services du Responsable du traitement faisant l'objet du Contrat.

3.2Intégration des Conditions supplémentaires. Les Conditions supplémentaires s'ajoutent aux présentes Conditions du Responsable du traitement.

4. Rôles et restrictions quant au traitement

4.1 Responsables du traitement indépendants. Sous réserve de l'Article 4.3 (Responsables du traitement finaux), chaque partie :

(a) est un responsable du traitement des Données à caractère personnel du Responsable du traitement indépendant ;

(b) déterminera individuellement les finalités et les moyens du traitement des Données à caractère personnel du Responsable du traitement ; et

(c) se conformera aux obligations qui lui sont applicables conformément à la Législation applicable en matière de protection des données concernant le traitement des Données à caractère personnel du Responsable du traitement.

4.2 Restrictions quant au Traitement. L'Article 4.1 (Responsables du traitement indépendants) n'aura aucun effet sur les restrictions applicables aux parties quant à leurs droits d'utilisation ou de traitement des Données à caractère personnel du Responsable du traitement en vertu du Contrat.

4.3 Responsables du traitement finaux. Sans limiter les obligations d'aucune partie conformément aux présentes Conditions du Responsable du traitement, chaque partie reconnaît que : (a) les Sociétés affiliées ou les clients de l'autre partie peuvent être des Responsables du traitement finaux ; et (b) l'autre partie peut agir en qualité de sous-traitant pour le compte de ses Responsables du traitement finaux. Chaque partie veillera à ce que ses Responsables du traitement finaux se conforment aux Conditions du Responsable du traitement.

4.4Transparence. Le Client reconnaît que Google a publié des informations sur la manière dont Google utilise les informations provenant de sites, d’applications ou d’autres propriétés qui font appel à ses services à l'adresse suivante https://business.safety.google/privacy/ . Sans préjudice de ses obligations prévues à l'Article 4.1(c), le Client pourra fournir un hyperlien vers cette page afin de fournir aux Personnes concernées des informations sur le traitement réalisé par Google des Données à caractère personnel du Responsable du traitement.

5. Responsabilité

Si le Contrat est régi par les lois :

(a) d'un État des États-Unis d'Amérique, alors, nonobstant tout ce qui figure dans le Contrat, la responsabilité totale de l'une des parties vis-à-vis de l'autre partie dans le cadre des présentes Conditions du Responsable du traitement ou en relation avec celles-ci sera limitée à la valeur monétaire ou au paiement maximal auquel la responsabilité de cette partie est plafonnée en vertu du Contrat (aucune exclusion de demande d'indemnisation issue des clauses limitatives de responsabilité du Contrat ne sera donc pas applicable aux demandes d'indemnisations faites en application du Contrat et relatives à la Législation applicable en matière de protection des données) ; ou

(b) d'une juridiction qui n'est pas un État des États-Unis d'Amérique, alors la responsabilité des parties dans le cadre des présentes Conditions du Responsable du traitement ou en relation avec celles-ci sera soumise aux exclusions et aux limitations de responsabilité figurant dans le Contrat.

6. Effet des Conditions du Responsable du traitement

6.1 Ordre de priorité. En cas de conflit ou d'incohérence entre les Conditions supplémentaires, le reste des présentes Conditions du Responsable du traitement et/ou le reste du Contrat, sous réserve des Articles 4.2 (Restrictions quant au Traitement) et 6.2 (Absence d’effet sur les Conditions du Sous-traitant), l'ordre de priorité suivant s’appliquera :

(a) les Conditions supplémentaires (le cas échéant) ;

(b) le reste des présentes Conditions du Responsable du traitement ; et

(c) le reste du Contrat.

6.2Absence d’effet sur les Conditions du Sous-traitant. Les présentes Conditions du Responsable du traitement n'auront aucun effet sur d'autres conditions distinctes liant Google et le Client dans une relation de type responsable du traitement/sous-traitant, sous-traitant/sous-traitant ou sous-traitant/responsable du traitement pour un autre service que les Services du Responsable du traitement.

7. Modifications des présentes Conditions du Responsable du traitement

7.1 Modifications des URL. Google pourra ponctuellement modifier toute URL mentionnée dans les présentes Conditions du Responsable du traitement et le contenu accessible via ces URL, en tenant compte du fait que Google pourra uniquement modifier la liste des Services du Responsable du traitement potentiels disponible à l'adresse business.safety.google/adsservices :

(a) pour refléter un changement dans le nom d'un service ;

(b) pour ajouter un nouveau service ; ou

(c) pour supprimer un service (ou une fonctionnalité d'un service) pour lequel : (i) tous les contrats de fourniture de ce service ont été résiliés ; (ii) Google a obtenu le consentement du Client ; ou (iii) le service, ou une certaine fonctionnalité du service, a été recatégorisé en tant que service de sous-traitant.

7.2Modifications des Conditions du Responsable du traitement. Google peut modifier les présentes Conditions du Responsable du traitement si la modification :

(a) est celle décrite à l’Article 7.1 (Modifications des URL) ;

(b) reflète un changement dans le nom ou la forme d'une entité juridique ;

(c) est requise pour se conformer à la législation applicable, à la réglementation en vigueur, à une ordonnance du tribunal ou à une directive émise par un organisme régulateur ou une administration gouvernementale, ou si elle reflète l'adoption par Google d'une Solution de transfert alternative (telle que définie à l’Annexe 1A) ; ou

(d) n'a pas par ailleurs pour effet de : (i) chercher à modifier la catégorisation des parties en tant que responsables du traitement des Données à caractère personnel du Responsable du traitement en vertu de la Législation applicable en matière de protection des données ; (ii) étendre la portée des droits ou lever une quelconque restriction sur les droits de l'une ou l'autre partie d'utiliser ou de traiter (x) dans le cadre des Conditions supplémentaires, les données entrant dans le champ d’application des Conditions supplémentaires ou (y) dans le cadre du reste des présentes Conditions du Responsable du traitement, les Données à caractère personnel du Responsable du traitement ; ou (iii) d'avoir un impact négatif important sur le Client, tel que raisonnablement déterminé par Google.

7.3Notification de modifications. Dans les cas où Google aurait l'intention de modifier les présentes Conditions du Responsable du traitement en vertu de l’Article 7.2(c) et que ladite modification aurait un impact négatif important sur le Client, tel que raisonnablement déterminé par Google, Google déploiera des efforts commercialement raisonnables pour informer le Client au moins 30 jours (ou toute période plus courte pouvant être requise pour se conformer à la législation applicable, à la réglementation en vigueur, à une ordonnance du tribunal ou à une directive émise par un organisme régulateur ou une administration gouvernementale) avant que la modification entre en vigueur. Si le Client s'oppose à une telle modification, le Client peut résilier le Contrat en envoyant un avis écrit à Google dans les 90 jours suivant la notification du changement par Google.

Annexe 1 : Conditions supplémentaires liées à la Législation applicable en matière de protection des données

SECTION A - CONDITIONS SUPPLEMENTAIRES LIÉES A LA LEGISLATION EUROPEENNE EN MATIERE DE PROTECTION DES DONNEES

1. Introduction

La présente Annexe 1A ne s’applique que dans la mesure où la Législation européenne en matière de protection des données s’applique au traitement de Données à caractère personnel du Responsable du traitement.

2.Définitions

2.1Dans cette Annexe 1A :

Clauses contractuelles types du Responsable du traitement” désigne les conditions figurant à l'adresse business.safety.google/adscontrollerterms/sccs/c2c.

Données à caractère personnel du Responsable du traitement dans l'Union européenne” désigne les Données à caractère personnel du Responsable du traitement des Personnes concernées dans l'EEE ou en Suisse.

Données à caractère personnel du Responsable du traitement au Royaume-Uni” désigne les Données à caractère personnel du Responsable du traitement des Personnes concernées au Royaume-Uni.

EEE” désigne l'Espace économique européen.

Législation européenne” désigne, selon le cas : (a) le droit de l'UE ou des États membres de l'UE (si le RGPD de l'UE s'applique au traitement des Données à caractère personnel du Responsable du traitement) ; (b) la législation du Royaume-Uni ou d'une partie du Royaume-Uni (si le RGPD du Royaume-Uni s'applique au traitement des Données à caractère personnel du Responsable du traitement) ; et (c) la législation suisse (si la LPD suisse s’applique au traitement des Données à caractère personnel du Responsable du traitement).

Pays adéquat” désigne :

(a) pour les données traitées soumises au RGPD de l'UE : l'EEE, ou un pays ou un territoire reconnu comme assurant une protection adéquate des données en vertu du RGPD de l'UE ;

(b) pour les données traitées soumises au RGPD du Royaume-Uni : le Royaume-Uni, ou un pays ou un territoire reconnu comme assurant une protection adéquate des données en vertu du RGPD du Royaume-Uni et du Data Protection Act 2018 ; et/ou

(c) pour les données traitées soumises à la Loi fédérale suisse sur la protection des données (LPD) : la Suisse, ou un pays ou un territoire (i) figurant sur la liste des États dont la législation assure une protection adéquate des données telle que publiée par le Préposé fédéral suisse à la protection des données et à la transparence (PFPDT), ou (ii) reconnu comme assurant une protection adéquate des données par le Conseil fédéral suisse conformément à la LPD suisse, dans chaque cas, autrement que sur la base d'un mode facultatif d'encadrement de protection des données.

Solution de transfert alternative” désigne une solution, autre que les Clauses contractuelles types du Responsable du traitement, qui permet le transfert légal de données à caractère personnel vers un pays tiers, conformément à la Législation européenne en matière de protection des données, par exemple, un cadre de protection des données reconnu comme garantissant que les entités participantes assurent une protection adéquate.

Responsables du traitement finaux Google” désigne les Responsables du traitement finaux des données à caractère personnel du Responsable du traitement traitées par Google.

Transferts européens autorisés” désigne le traitement ou le transfert de Données à caractère personnel du Responsable du traitement dans un Pays adéquat.

Transferts européens limités” désigne les transferts de Données à caractère personnel du Responsable du traitement qui (a) sont soumis à la Législation européenne en matière de protection des données ; et (b) ne sont pas des Transferts européens autorisés.

2.2Les termes “importateur de données” et “exportateur de données” ont la signification donnée dans les Clauses contractuelles types du Responsable du traitement.

3.Responsables du traitement finaux Google

Les Responsables du traitement finaux Google sont : (i) Google Ireland Limited pour les Données à caractère personnel du Responsable du traitement dans l'Union européenne traitées par Google ; et (ii) Google LLC pour les Données à caractère personnel du Responsable du traitement au Royaume-Uni traitées par Google. Chaque partie s'assurera que ses Responsables du traitement finaux respectent les Clauses contractuelles types du Responsable du traitement (le cas échéant).

4. Transferts de données

4.1 Transferts européens limités. Chaque partie peut effectuer des Transferts européens limités si elle respecte les dispositions relatives aux Transferts européens limités dans la Législation européenne en matière de protection des données.

4.2 Solution de transfert alternative.

(a) Si Google a adopté une Solution de transfert alternative pour des Transferts européens limités, alors : (i) Google s'assurera que de tels Transferts européens limités sont conformes à cette Solution de transfert alternative ; et (ii) le paragraphe 5 (Clauses contractuelles types du Responsable du traitement) de la présente Annexe 1A ne s'appliquera pas à de tels Transferts européens limités.

(b) Si Google n'a pas adopté, ou informe le Client que Google n'adopte plus, une Solution de transfert alternative pour tout Transfert européen limité, le paragraphe 5 (Clauses contractuelles types du Responsable du traitement) de la présente Annexe 1A s'appliquera auxdits Transferts européens limités.

4.3 Stipulations relatives à un transfert ultérieur

(a) Application du paragraphe 4.3. Les paragraphes 4.3(b) (Utilisation des Données à caractère personnel du Fournisseur de données) et 4.3(c) (Protection des Données à caractère personnel du Fournisseur de données) de la présente Annexe 1A ne s'appliqueront que dans les cas où :

(i) une partie (le “Destinataire des données”) traite les Données à caractère personnel du Responsable de traitement qui sont mises à disposition par l'autre partie (le “Fournisseur des données”) dans le cadre du Contrat (lesdites Données à caractère personnel du Responsable de traitement, ci-après les “Données à caractère personnel du Fournisseur des données”) ;

(ii) le Fournisseur des données ou sa Société affiliée est certifié dans le cadre d'une Solution de transfert alternative ; et

(iii) le Fournisseur des données notifie par écrit au Destinataire des données la certification de ladite Solution de transfert alternative.

(b)Utilisation des Données à caractère personnel du Fournisseur des données.

(i) Dans la mesure où une Solution alternative de transfert applicable intègre des modalités de transfert ultérieur et conformément à ces modalités de transfert ultérieur dans le cadre de la Solution alternative de transfert concernée, le Destinataire des données n'utilisera les Données à caractère personnel du Fournisseur des données que d'une manière compatible avec le consentement des Personnes concernées en cause.

(ii)Dans le cas où le Fournisseur des données ne parvient pas à obtenir le consentement des Personnes concernées en cause, comme l'exige le Contrat, le Destinataire des données ne sera pas considéré comme étant en violation du paragraphe 4.3(b)(i) s'il utilise les Données à caractère personnel du Fournisseur des données d’une manière compatible avec le consentement exigé.

(c)Protection des Données à caractère personnel du Fournisseur des données.

(i) Le Destinataire des données assurera un niveau de protection des Données à caractère personnel du Fournisseur de données au moins équivalent à celui exigé dans le cadre de la Solution de transfert alternative applicable.

(ii) Si le Destinataire des données estime qu'il n’est pas en mesure de se conformer au paragraphe 4.3(c)(i), il : (A) en informera le Fournisseur des données par écrit ; et (B) cessera de traiter les Données à caractère personnel du Fournisseur des données ou prendra des mesures raisonnables et appropriées pour remédier à cette non-conformité.

(d)Adoption d'une solution de transfert alternative et certification. Des informations concernant l’adoption par Google et/ou ses Sociétés affiliées de toute Solution de transfert alternative ou leur certification en vertu de celle-ci sont disponibles à l'adresse https://business.safety.google/adsdatatransfers. Le présent paragraphe 4.3(d) constitue une notification écrite des certifications de Google et de ses Sociétés affiliées à la Date d'entrée en vigueur des Conditions, aux fins du paragraphe 4.3(a)(iii).

5.Clauses contractuelles types du Responsable du traitement

5.1 Transferts au Client de Données à caractère personnel du Responsable du traitement dans l'Union européenne. Dans la mesure où :

(a) Google transfère au Client des Données à caractère personnel du Responsable du traitement dans l'Union européenne ; et

(b)le transfert est un Transfert européen limité,

Le Client, en tant qu'importateur de données, sera considéré comme ayant accepté les Clauses contractuelles types du Responsable du traitement avec Google Ireland Limited (le Responsable du traitement final Google concerné) en tant qu'exportateur de données, et les transferts seront soumis aux Clauses contractuelles types du Responsable du traitement.

5.2 Transferts au Client de Données à caractère personnel du Responsable du traitement au Royaume-Uni. Dans la mesure où :

(a)Google transfère au Client des Données à caractère personnel du Responsable du traitement au Royaume-Uni ; et

(b)le transfert est un Transfert européen limité,

le Client, en tant qu'importateur de données, sera considéré comme ayant accepté les Clauses contractuelles types du Responsable du traitement avec Google LLC (le Responsable du traitement final Google concerné) en tant qu'exportateur de données, et les transferts seront soumis aux Clauses contractuelles types du Responsable du traitement.

5.3 Transferts à Google de Données à caractère personnel du Responsable du traitement dans l'Union européenne. Les parties reconnaissent que, dans la mesure où le Client transfère à Google des Données à caractère personnel du Responsable du traitement dans l'Union européenne, les Clauses contractuelles types du Responsable du traitement ne s'appliquent pas, car l'adresse de Google Ireland Limited (le Responsable du traitement final Google concerné) se trouve dans un Pays adéquat, et les transferts de ce type sont des Transferts européens autorisés. Cela n'a aucune incidence sur les obligations de Google en vertu du paragraphe 4.1 (Transferts européens limités) de la présente Annexe 1A.

5.4Transferts à Google de Données à caractère personnel du Responsable du traitement au Royaume-Uni. Dans la mesure où le Client transfère à Google des Données à caractère personnel du Responsable du traitement au Royaume-Uni, le Client, en tant qu'exportateur de données sera considéré comme ayant accepté les Clauses contractuelles types du Responsable du traitement avec Google LLC (le Responsable du traitement final Google concerné) en tant qu'importateur de données, et les transferts seront soumis aux Clauses contractuelles types du Responsable du traitement, car l'adresse de Google LLC ne se trouve pas dans un Pays adéquat.

5.5 Contacter Google ; Informations sur le client.

(a) Le Client peut contacter Google Ireland Limited et/ou Google LLC au sujet des Clauses contractuelles types du Responsable du traitement via la page https://support.google.com/policies/troubleshooter/9009584 ou à l'aide d'autres moyens pouvant de temps à autre être mis en place par Google.

(b) Le Client reconnaît que Google doit, dans le cadre des Clauses contractuelles types du Responsable du traitement enregistrer certaines informations, parmi lesquelles (i) l'identité et les coordonnées de l'importateur de données (y compris la personne de contact responsable de la protection des données) ; et (ii) les mesures techniques et organisationnelles mises en place par l'importateur de données. Par conséquent, le Client devra, le cas échéant et lorsqu'il y est invité, fournir ces informations à Google par l'intermédiaire des moyens pouvant être fournis par Google. Le Client doit également garantir que toutes les informations fournies sont précises et à jour.

5.6Répondre aux demandes des personnes concernées. L'importateur de données concerné devra répondre aux demandes des personnes concernées et de l'autorité de contrôle au sujet du traitement par l'importateur de données des Données à caractère personnel du Responsable du traitement applicables.

5.7Suppression des données en cas de résiliation. Dans la mesure où :

(a) Google LLC agit en tant qu'importateur de données et le Client agit en tant qu'exportateur de données en vertu des Clauses contractuelles types du Responsable du traitement; et

(b) le Client résilie le Contrat conformément à la Clause 16(c) des Clauses contractuelles types du Responsable du traitement, alors, aux fins de la Clause 16(d) des Clauses contractuelles types du Responsable du traitement, le Client demande à Google de supprimer les Données à caractère personnel du Responsable du traitement et, à moins que la Législation Européenne n'exige le stockage, Google facilitera cette suppression dès que cela sera raisonnablement possible, dans la mesure où cela est raisonnablement possible (compte tenu du fait que Google est un Responsable du traitement indépendant de ces données, ainsi que de la nature et de la fonctionnalité des Services du Responsable du traitement).

6.Responsabilité si les Clauses contractuelles types du Responsable du traitement s'appliquent.

Si les Clauses contractuelles types du Responsable du traitement s'appliquent en vertu du paragraphe 5 (Clauses contractuelles types du Responsable du traitement) de la présente Annexe 1A, la responsabilité combinée totale :

(a) de Google, Google LLC et Google Ireland Limited envers le Client ; et

(b) du Client envers Google, Google LLC et Google Ireland Limited,

dans le cadre du Contrat et des Clauses contractuelles types du Responsable du traitement ou en lien avec ceux-ci sera soumise à l'Article 5 (Responsabilité). La Clause 12 des Clauses contractuelles types du Responsable du traitement n'aura aucune incidence sur la phrase précédente.

7.Bénéficiaires tiers

Dans les cas où Google LLC et/ou Google Ireland Limited ne sont pas parties au Contrat, mais bien aux Clauses contractuelles types du Responsable du traitement en vertu du paragraphe 5 (Clauses contractuelles types du Responsable du traitement) de la présente Annexe 1A, Google LLC et/ou Google Ireland Limited (selon le cas) seront considérés comme des bénéficiaires tiers de l’Article 4.3 (Responsables du traitement finaux) et des paragraphes 3 (Responsables du traitement finaux Google), 5 (Clauses contractuelles types du Responsable du traitement) et 6 (Responsabilité si les Clauses contractuelles types du Responsable du traitement s'appliquent) de la présente Annexe 1A. Dans la mesure où le présent paragraphe 7 (Bénéficiaires tiers) entre en conflit ou n'est pas cohérent avec toute autre clause du Contrat, le présent paragraphe 7 (Bénéficiaires tiers) s'appliquera.

8. Ordre de priorité

8.1 En cas de conflit ou d'incohérence entre les Clauses contractuelles types du Responsable du traitement, la présente Annexe 1A, le reste des présentes Conditions du Responsable du traitement et/ou le reste du Contrat, les Clauses contractuelles types du Responsable du traitement prévaudront.

8.2Clauses commerciales supplémentaires. Sous réserve des amendements contenus dans les présentes Conditions du Responsable du traitement, le Contrat reste pleinement en vigueur. Les paragraphes 5.5 (Contacter Google) à 5.7 (Suppression des données en cas de résiliation) et le paragraphe 6 (Responsabilité si les Clauses contractuelles types du responsable du traitement s'appliquent) de la présente Annexe 1A sont des clauses commerciales supplémentaires en lien avec les Clauses contractuelles types du Responsable du traitement, conformément à la Clause 2(a) (Conséquences et invariabilité des Clauses) des Clauses contractuelles types du Responsable du traitement.

8.3Aucune modification des Clauses contractuelles types du Responsable du traitement. Rien dans le Contrat (y compris les présentes Conditions du Responsable du traitement) ne vise à modifier ou contredire les Clauses contractuelles types du Responsable du traitement ni à nuire aux droits fondamentaux ou aux libertés des personnes concernées en vertu de la Législation européenne en matière de protection des données.

SECTION B - CONDITIONS SUPPLEMENTAIRES LIÉES AUX LOIS DES ETATS DES ETATS-UNIS EN MATIERE DE PROTECTION DES DONNEES

1. Introduction

Google pourra proposer et le Client pourra activer certains paramètres, configurations ou autres fonctionnalités du produit pour les Services du Responsable de traitement en lien avec un traitement restreint des données, tel que décrit dans la documentation disponible à l’adresse business.safety.google/rdp et régulièrement mise à jour (“Traitement restreint des données”). La présente Annexe 1B reflète l'accord des parties sur le traitement des Données à caractère personnel du Client et des Données anonymisées (telles que définies ci-dessous) dans le cadre du Contrat et conformément aux Lois des Etats des Etats-Unis en matière de protection des données. La présente Annexe 1B n’est applicable que dans la mesure où chacune des Lois des Etats des Etats-Unis en matière de protection des données s'applique.

2. Définitions supplémentaires et interprétation

2.1

Dans la présente Annexe 1B :

(a)Données à caractère personnel du Client” désigne les données à caractère personnel traitées par Google pour le compte du Client dans le cadre de la fourniture par Google des Services du Responsable du traitement.

(b)Données anonymisées” désigne les données qui sont "anonymisées" (au sens de la CCPA) et les "données anonymisées" (au sens des autres Lois des Etats des Etats-Unis en matière de protection des données), lorsqu'elles sont divulguées par une partie à l'autre.

(c)Instructions” désigne, collectivement, les instructions données par le Client à Google de traiter les Données à caractère personnel du Client uniquement en conformité avec les Lois des Etats des Etats-Unis en matière de protection des données : (a) pour fournir les Services RDP et tout support technique associé ; (b) tel que précisé plus en détail par l'utilisation par le Client des Services RDP (y compris dans les paramètres et autres fonctionnalités des Services RDP) et tout support technique associé ; (c) tel que documenté dans le cadre du présent Contrat, en ce compris la présente Annexe 1B ; (d) tel que documenté plus en détail dans toute autre instruction écrite donnée par le Client et reconnue par Google comme constituant des instructions aux fins de la présente Annexe 1B ; et (e) pour traiter les Données à caractère personnel du Client comme autorisé par les Lois des Etats des Etats-Unis en matière de protection des données pour les prestataires de services et les sous-traitants.

(d)Services RDP” désigne les services du Responsable de traitement dans le cadre du régime de Traitement restreint des données.

(e)Durée du contrat” désigne la période à partir de la Date d'entrée en vigueur des Conditions jusqu’à la fin de la fourniture par Google des Services du Responsable du traitement en vertu du Contrat.

(f)les termes “entreprise”, “consommateur”, “informations personnelles”, “vente(s)”, “vendre”, “prestataire de services” et “partager”, tels qu'utilisés dans la présente Annexe 1B, ont la signification qui leur est donnée par Lois des Etats des Etats-Unis en matière de protection des données.

(g)Le Client est seul responsable du respect de chacune des Lois des Etats des Etats-Unis en matière de protection des données dans le cadre de son utilisation des services Google, y compris le Traitement restreint des données.

3. Dispositions des Lois des Etats des Etats-Unis en matière de protection des données (sous le régime du Traitement restreint des données)

Pour les Données à caractère personnel du Client traitées dans le cadre du Traitement restreint des données, et dans la mesure où une ou plusieurs des Lois des Etats des Etats-Unis en matière de protection des données s'appliquent au traitement des Données à caractère personnel du Client :

3.1Traitement des Données

3.1.1Rôles et conformité réglementaire ; Autorisation.

(a)Responsabilités du Sous-traitant et du Responsable de traitement. Les parties reconnaissent et acceptent que :

(i) le paragraphe 7 (Objet et Détails du Traitement des données au regard des Lois des Etats des Etats-Unis en matière de protection des données) de la présente Annexe 1B décrit l'objet et les détails du traitement des Données à caractère personnel du Client ;

(ii) Google est un prestataire de services et un sous-traitant des Données à caractère personnel du Client en vertu des Lois des Etats des Etats-Unis en matière de protection des données;

(iii) le Client est un responsable du traitement ou un sous-traitant, selon le cas, des Données à caractère personnel du Client au regard des Lois des Etats des Etats-Unis en matière de protection des données ; et

(b)Clients sous-traitants. Si le client est un sous-traitant :

(i) le Client garantit en permanence que le responsable du traitement concerné a autorisé : (A) les Instructions, (B) la désignation par le Client de Google comme autre sous-traitant, et (C) l'engagement par Google de sous-traitants tels que décrits au paragraphe 3.6 (Sous-traitants) de la présente Annexe 1B ;

(ii) le Client transmettra immédiatement au responsable du traitement concerné tout avis fourni par Google en vertu des paragraphes 3.3.2(a) (Notification d'incident) et 3.6 (Sous-traitants) ; et

(iii) le Client peut mettre à la disposition du responsable du traitement concerné toute information mise à disposition par Google en vertu des paragraphes 3.3.3(c) (Droits d'audit du Client) et 3.6 (Sous-traitants).

3.1.2 Instructions du Client. En concluant la présente Annexe 1B, le Client donne instruction à Google de traiter les Données à caractère personnel du Client uniquement en accord avec les Instructions.

3.1.3 Respect des Instructions par Google. Google se conformera aux Instructions, sauf si les Lois des Etats des Etats-Unis en matière de protection des données l'interdit.

3.1.4 Produits supplémentaires. Si le Client utilise un produit, un service ou une application, fourni par Google ou un tiers qui : (a) ne fait pas partie des Services RDP ; et (b) est accessible pour être utilisé dans l'interface utilisateur des Services RDP ou est autrement intégré aux Services RDP (un “Produit supplémentaire”), les Services RDP peuvent permettre à ce Produit supplémentaire d'accéder aux Données à caractère personnel du Client pour garantir l'interopérabilité du Produit supplémentaire avec les Services RDP. Pour plus de clarté, la présente Annexe 1B ne s'applique pas au traitement des données à caractère personnel en relation avec la fourniture de tout Produit supplémentaire utilisé par le Client, y compris les données à caractère personnel transmises vers ou à partir de ce Produit supplémentaire.

3.2Suppression des données à l'expiration du Contrat. Le Client demande à Google de supprimer toutes les Données à caractère personnel du Client restantes (y compris les copies existantes) des systèmes de Google à la fin du Contrat, conformément à la loi applicable. Google se conformera à cette instruction dès que raisonnablement possible et dans un délai maximum de 180 jours, sauf si les lois applicables exigent le stockage.

3.3Sécurité des données.

3.3.1Mesures de sécurité et assistance de Google.

(a)Mesures de sécurité de Google. Google mettra en œuvre et maintiendra des mesures techniques et organisationnelles pour protéger les Données à caractère personnel du Client contre la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé, de manière accidentelle ou illégale (“Mesures de Sécurité”). Les mesures de sécurité comprennent des mesures (i) pour chiffrer les données à caractère personnel; (ii) pour contribuer à garantir de manière continue la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de Google ; (iii) pour aider à rétablir rapidement l'accès aux données à caractère personnel après un incident ; et (iv) pour tester régulièrement l'efficacité des mesures de sécurité. Google pourra mettre à jour ou modifier les Mesures de sécurité ponctuellement , à condition que ces mises à jour et ces modifications n'entraînent pas une dégradation de la sécurité globale des Données à caractère personnel du Client.

(b)Accès et conformité. Google veillera à ce que toutes les personnes autorisées à traiter les Données à caractère personnel du Client se soient engagées à en respecter la confidentialité ou soient soumises à une obligation légale de confidentialité.

(c)Assistance de Google en matière de sécurité. Google (en tenant compte de la nature du traitement des Données à caractère personnel du Client et des informations dont elle dispose) assistera le Client dans le respect de ses obligations (ou, si le Client est un sous-traitant, des obligations du Responsable du traitement concerné) en matière de sécurité des données à caractère personnel et en cas de violation des données à caractère personnel, en ce compris les obligations du Client (ou, si le Client est un sous-traitant, les obligations du responsable du traitement concerné) relatives à la sécurité des données à caractère personnel et en cas de violation des données à caractère personnel en vertu Lois des Etats des Etats-Unis en matière de protection des données, en :

(i) mettant en œuvre et en maintenant les Mesures de sécurité conformément au paragraphe 3.3.1(a) (Mesures de sécurité de Google) ;

(ii) en se conformant aux dispositions du paragraphe 3.3.2 (Incidents liés aux données) ; et

(iii) en accordant au Client les droits accordés en vertu du paragraphe 3.3.3(c) (Droits d'audit du Client).

3.3.2Incidents concernant les données.

(a)Notification d'incident. Si Google prend connaissance d'un Incident concernant les données (tel que défini ci-dessous), Google s'engage à : (i) notifier le Client de l'Incident concernant les données dans les meilleurs délais ; et (ii) prendre rapidement des mesures raisonnables pour minimiser les dommages et sécuriser les Données à caractère personnel du Client. Dans la présente Annexe 1B, “Incident concernant les données” désigne une violation de la sécurité de Google entraînant, accidentellement ou illégalement, la destruction, la perte, la modification, la divulgation non autorisée des Données à caractère personnel du Client ou l'accès non autorisé à ces dernières sur des systèmes gérés par Google ou autrement contrôlés par elle. Les "Incidents liés aux données" n'incluent pas les tentatives infructueuses ou les activités qui ne compromettent pas la sécurité des Données à caractère personnel du Client, en ce compris les tentatives infructueuses de connexion, les pings, les analyses de port, les attaques par déni de service et autres attaques de réseau sur les pares-feux ou les systèmes en réseau.

(b)Envoi de la notification. Google enverra sa notification de tout Incident concernant les données à l'adresse électronique désignée par le Client, via l'interface utilisateur des Services RDP ou tout autre moyen fourni par Google, pour recevoir certaines notifications de Google relatives à la présente Annexe 1B (“Adresse électronique de notification”) ou, à la discrétion de Google (en ce compris si le Client n'a pas fourni d'adresse électronique de notification), par une autre communication directe (par exemple, un appel téléphonique, un courrier électronique ou une réunion en personne). Le Client est seul responsable de la fourniture de l'adresse électronique de notification et de l'actualisation et de la validité de cette adresse.

(c)Notifications à des tiers. Le Client est seul responsable du respect des lois qui lui sont applicables en matière de notification des incidents et de l'exécution de toute obligation en matière de notification à un tiers relativement à un Incident concernant les données.

(d) Absence de reconnaissance de faute par Google. La notification ou la réponse de Google à un Incident concernant les données en vertu du présent paragraphe 3.3.2 (Incidents concernant les données) ne constitue en aucun cas une reconnaissance par Google d'une quelconque faute ou responsabilité concernant l'Incident concernant les données.

3.3.3 Responsabilités du Client en matière de sécurité et évaluation.

(a)Responsabilités du Client en matière de sécurité. Le Client convient que, sans préjudice des obligations de Google prévues aux paragraphes 3.3.1 (Mesures de sécurité et assistance de Google) et 3.3.2 (Incidents liés aux données) :

(i) le Client est responsable de son utilisation des Services RDP, y compris : (1) en faisant un usage approprié des Services RDP afin d’assurer un niveau de sécurité adapté au risque en ce qui concerne les Données à caractère personnel du Client ; et (2) en sécurisant les identifiants d'authentification des comptes, les systèmes et les appareils que le Client utilise pour accéder aux Services RDP ; et

(ii) Google n'a aucune obligation de protéger les Données à caractère personnel du Client que Client choisit de stocker ou de transférer hors des systèmes de Google et de ses sous-traitants.

(b)Évaluation de la sécurité par le Client. Le Client reconnaît et accepte que les Mesures de sécurité mises en œuvre et maintenues par Google, telles qu’énoncées au paragraphe 3.3.1(a) (Mesures de sécurité de Google) offrent un niveau de sécurité adapté au risque en ce qui concerne les Données à caractère personnel du Client, en tenant compte de l'état de l'art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement des Données à caractère personnel du Client, ainsi que des risques pour les individus.

(c)Droits d'audit du client.

(i) Le Client peut effectuer un audit pour vérifier le respect par Google de ses obligations en vertu de la présente Annexe 1B en demandant et en consultant (1) un certificat délivré suite à une vérification de la sécurité par le biais d'un audit mené par un auditeur tiers (par exemple, une certification SOC 2 Type II ou ISO/IEC 27001 ou une certification comparable ou toute autre certification de sécurité d faisant suite à un audit réalisé par un auditeur tiers, tel que décidé par le Client et Google) dans un délai de 12 mois à compter de la date de la demande du Client et (2) toute autre information que Google considère raisonnablement nécessaire pour permettre au Client de vérifier cette conformité.

(ii) Alternativement, Google peut, à sa seule discrétion et en réponse à une demande du Client, faire diligenter par un tiers un audit afin de démontrer que Google respecte ses obligations au titre de la présente Annexe 1B. Au cours d'un tel audit, Google mettra à la disposition de l'auditeur tiers toutes les informations nécessaires pour démontrer cette conformité. Lorsque le Client sollicite un audit, Google pourra facturer des frais (correspondant aux coûts raisonnables de Google) pour la réalisation de cet audit. Google fournira au Client de plus amples détails sur les frais applicables, ainsi que sur la base de leur calcul, avant la réalisation de l’audit. Le Client sera responsable de tous les frais facturés par tout auditeur tiers désigné par le Client pour effectuer un tel audit.

(iii)Rien dans la présente Annexe 1B n'oblige Google à divulguer au Client ou à son auditeur tiers les informations suivantes, ni à autoriser le Client ou son auditeur tiers à accéder aux informations suivantes :

(1) données de tout autre client d'une Entité Google ;

(2) toute information comptable ou financière interne d'une Entité Google ;

(3) tout secret commercial d'une Entité Google ;

(4) toute information qui, de l'avis raisonnable de Google, pourrait : (A) compromettre la sécurité des systèmes ou des locaux d'une Entité Google ; ou (B) amener une Entité Google à manquer à ses obligations en vertu des Lois des Etats des Etats-Unis en matière de protection des données ou ses obligations de sécurité et/ou de confidentialité envers le Client ou un tiers ; ou

(5) toute information à laquelle le Client ou son auditeur tiers chercherait à accéder pour une raison autre que l'exécution de bonne foi des obligations du Client en vertu des Lois des Etats des Etats-Unis en matière de protection des données.

3.4Assistance pour les analyses d'impact. Google (en tenant compte de la nature du traitement et des informations dont elle dispose) assistera le Client dans le respect de ses obligations (ou, si le Client est un sous-traitant, des obligations du Responsable du traitement concerné) en matière d'analyses d'impact relative à la protection des données et de consultations réglementaires préalables, dans les limites prévues par les Lois des Etats des Etats-Unis en matière de protection des données, en :

(a) fournissant la Documentation de sécurité ;

(b) fournissant les informations visées dans le Contrat (en ce compris la présente Annexe 1B) ; et

(c) fournissant ou en mettant à disposition, conformément aux pratiques habituelles de Google, d'autres documents concernant la nature des Services RDP et le traitement des Données à caractère personnel du Client (par exemple, les documents issus du centre d'assistance de Google).

3.5Droits des personnes concernées.

3.5.1Réponses aux demandes des personnes concernées. Dans le cas où Google recevrait une demande d'une personne concernée en lien avec les Données à caractère personnel du Client, le Client autorise Google à, et Google informe le Client par la présente qu'elle entend :

(a) répondre directement à la demande de la personne concernée par le biais d’un outil dédié mis à la disposition (le cas échéant) des personnes concernées par une Entité Google et permettant à Google de répondre directement et de manière standardisée à certaines demandes des personnes concernées en relation avec les Données à caractère personnel du Client (par exemple, les paramètres de publicité en ligne ou l’ajout d’un module de désactivation pour la publicité sur un navigateur) (“Outil mis à la disposition des personnes concernées”) (si la demande est faite par le biais d'un Outil mis à la disposition des personnes concernées) ; ou

(b) conseiller à la personne concernée de soumettre sa demande au Client. Le Client sera alors responsable de répondre à cette demande (si la demande n'est pas faite par le biais d'un Outil mis à la disposition des personnes concernées).

3.5.2Assistance de Google pour les demandes des personnes concernées. Google assistera le Client dans le respect de ses obligations (ou, si le Client est un sous-traitant, des obligations du Responsable du traitement concerné) en vertu des Lois des Etats des Etats-Unis en matière de protection des données pour répondre aux demandes d'exercice des droits des personnes concernées, en tenant compte de la nature du traitement des Données à caractère personnel du Client et en :

(a) lui fournissant les fonctionnalités des Services RDP ;

(b) respectant les engagements énoncés au paragraphe 3.5.1 (Réponses aux demandes des personnes concernées) ; et

(c) si cela s'applique aux Services RDP, mettant des outils à disposition des personnes concernées.

3.5.3 Rectification. Si le Client constate que des Données à caractère personnel le concernant sont inexactes ou obsolètes, le Client sera responsable de la rectification ou de la suppression de ces données si les Lois des Etats des Etats-Unis en matière de protection des données l'exigent, en ce compris (le cas échéant) en utilisant les fonctionnalités des Services RDP.

3.6Sous-traitants.

(a)Le Client autorise Google à faire appel à d'autres entités en tant que sous-traitants dans le cadre de la fourniture des Services RDP. Lorsqu’elle fait appel à un sous-traitant, Google s'engage à :

(i) s'assurer, par le biais d'un contrat écrit, que : (1) le sous-traitant n'accède aux Données à caractère personnel du Client et ne les utilise que dans la mesure nécessaire à l'exécution des obligations qui lui sont confiées, et ce conformément au Contrat (en ce compris la présente Annexe 1B) ; et (2) si le traitement des Données à caractère personnel du Client est soumis aux Lois des Etats des Etats-Unis en matière de protection des données, s'assurer que les obligations de protection des données de la présente Annexe 1B sont opposables au sous-traitant ;

(ii) pour tout nouveau sous-traitant, notifier ce nouveau sous-traitant lorsque les Lois des Etats des Etats-Unis en matière de protection des données l'exigent et, si cela est requis en vertu des les Lois des Etats des Etats-Unis en matière de protection des données l'exigent, donner au Client la possibilité de s'opposer au recours à ce sous-traitant ; et

(iii) rester pleinement responsable de l’exécution de toutes les obligations sous-traitées, ainsi que de tous les actes et omissions du sous-traitant.

(b) Le Client peut s'opposer à tout nouveau sous-traitant en résiliant de plein droit le Contrat sur notification écrite à Google, à condition que le Client fournisse ladite notification dans les 90 jours suivant la date à laquelle il a été informé du recours à un nouveau sous-traitant, tel que décrit à l'article 3.6(a)(ii) des présentes.

3.7 Contacter Google. Le Client peut contacter Google dans le cadre de l'exercice de ses droits en vertu de la présente Annexe 1B en utilisant les méthodes décrites à l’adresse privacy.google.com/businesses/processorsupport ou par tout autre moyen que Google pourrait mettre en place de manière occasionnelle.

4. Dispositions des Lois des Etats des Etats-Unis en matière de protection des données.

4.1Données anonymisées. En ce qui concerne les Données à caractère personnel du Client traitées avec ou sans Traitement restreint des données, et dans la mesure où une ou plusieurs Lois des Etats des Etats-Unis en matière de protection des données s'appliquent au traitement des Données à caractère personnel du Client, chaque partie se conformera aux exigences de traitement des données anonymisées prévues aux Lois des Etats des Etats-Unis en matière de protection des données, et ce pour l’ensemble des données anonymisées qu'elle reçoit de l'autre partie dans le cadre du Contrat. Aux fins du présent paragraphe 4.1 (Données anonymisées), les Données à caractère personnel du Client désignent toutes les données à caractère personnel traitées par une partie dans le cadre du Contrat relativement à la fourniture ou à l'utilisation des Services du Responsable de traitement.

5.Obligations de Google en vertu du CCPA.

5.1 En ce qui concerne les Données à caractère personnel du Client traitées dans le cadre du Traitement restreint des données et dans la mesure où le CCPA s'applique à un tel traitement des Données à caractère personnel du Client, Google agira en tant que prestataire de services du Client, et en tant que tel, sous réserve de disposition contraire pour les prestataire de services prévues par le CCPA, tel que raisonnablement établi par Google :

(a) Google ne vendra pas et ne partagera pas les Données à caractère personnel du Client obtenues du Client dans le cadre du Contrat ;

(b) Google ne conservera, n'utilisera ni ne divulguera les Données à caractère personnel du Client (en ce compris en dehors de la relation commerciale directe entre Google et le Client), autrement que dans un but commercial au sens du CCPA pour le compte du Client et dans le but spécifique de fournir les Services RDP, tel que décrit dans la documentation disponible à l'adresse business.safety.google/rdp, ponctuellement mise à jour ;

(c) Google ne combinera pas les Données à caractère personnel du Client qu'il reçoit du Client ou en son nom avec (i) des informations personnelles que Google reçoit d'une ou plusieurs autres Personnes ou en leur nom, ou (ii) des informations personnelles collectées dans le cadre de ses propres interactions avec un consommateur, comme décrit dans la documentation disponible à l'adresse business.safety.google/rdp, sauf si le CCPA en dispose autrement ;

(d) Google traitera les Données à caractère personnel du Client avec la finalité spécifique de fournir les Services RDP, comme décrit au Contrat et dans la documentation correspondante (par exemple, les articles du centre d'aide), ou dans la mesure où cela est autorisé par le CCPA, et les parties conviennent que le Client met les Données à caractère personnel du Client à la disposition de Google à cette fin ;

(e) Google autorisera la réalisation d’audits pour vérifier le respect par Google de ses obligations au titre de la présente Annexe 1B, conformément au paragraphe 3.3.3(c) (Droits d'audit du Client) des présentes ;

(f) Google informera le Client si Google estime qu'elle n’est plus en mesure de respecter ses obligations en vertu du CCPA. Le présent paragraphe 5.1(f) ne limite pas les droits et obligations de l'une ou l'autre des parties prévus dans le reste du Contrat ;

(g) Si le Client a des raisons de suspecter que Google traite les Données à caractère personnel du Client de manière non autorisée, le Client a le droit d'en informer Google par le biais des méthodes décrites à l’adresse privacy.google.com/businesses/processorsupport, et les parties travailleront ensemble de bonne foi pour remédier aux activités de traitement prétendument illicites, si nécessaire ; et

(h) Google se conformera aux obligations applicables en vertu du CCPA et fournira le même niveau de protection de la vie privée que celui exigé par le CCPA.

5.2 En ce qui concerne les Données à caractère personnel du Client n’étant pas traitées sous le régime du Traitement restreint des données, et dans la mesure où la CCPA s'applique au traitement des Données à caractère personnel du Client :

(a) Google traitera lesdites Données à caractère personnel du Client avec la finalité spécifique de fournir les Services du Responsable de traitement, le cas échéant, comme décrit plus en détail au Contrat et dans la documentation correspondante (par exemple, les articles du centre d'aide), ou dans la mesure où cela est autorisé par le CCPA, et les parties conviennent que le Client met ces Données à caractère personnel du Client à la disposition de Google à cette fin ;

(b) Google autorisera la réalisation d’audits pour vérifier le respect par Google de ses obligations au titre de la présente Annexe 1B, conformément au paragraphe 3.3.3(c) (Droits d'audit du client) des présentes ;

(c) Google informera le Client si elle estime qu’elle n’est plus en mesure de respecter ses obligations au titre du CCPA ;

(d) Si le Client a des raisons de suspecter que Google traite les Données à caractère personnel du Client de manière non autorisée, le Client a le droit d'en informer Google par le biais des méthodes décrites à l’adresse privacy.google.com/businesses/processorsupport, et les parties travailleront ensemble de bonne foi pour remédier aux activités de traitement prétendument illicites, si nécessaire ; et

(e) Google se conformera aux obligations applicables en vertu du CCPA et fournira le même niveau de protection de la vie privée que celui exigé par le CCPA.

6. Modifications de la présente Annexe 1B.

En complément de l'Article 7 des Conditions du Responsable du traitement (Modifications des présentes Conditions du Responsable du traitement), le cas échéant, Google pourra modifier la présente Annexe 1B sans préavis si la modification (a) est basée sur la législation applicable, la réglementation en vigueur, à une ordonnance du tribunal ou une directive émise par un organisme régulateur ou une administration gouvernementale, ou (b) n'a pas un impact négatif important sur le Client en vertu des Lois des Etats des Etats-Unis en matière de protection des données, tel que raisonnablement déterminé par Google.

7. Objet et Détails du Traitement des données au regard des Lois des Etats des Etats-Unis en matière de protection des données.

Objet

La fourniture par Google des Services RDP et de toute assistance technique y afférente au Client.

Durée du traitement

La Durée du Contrat plus la période allant de la fin du contrat jusqu'à la suppression de toutes les Données à caractère personnel du Client par Google, conformément à l'Annexe 1B.

Nature et finalité du traitement

Google traitera (en ce compris, le cas échéant, pour les Services RDP et les Instructions, la collecte, l'enregistrement, l'organisation, la structuration, le stockage, la modification, l'extraction, l'utilisation, la divulgation, la combinaison, l'effacement et la destruction) les Données à caractère personnel du Client dans le but de fournir les Services RDP et toute assistance technique y afférente au Client conformément à l'Annexe 1B, ou dans la mesure où les sous-traitants l'autorisent dans le respect des Lois des Etats des Etats-Unis en matière de protection des données.

Types de Données à caractère personnel

Les Données à caractère personnel du Client peuvent inclure tous types de Données à caractère personnel décrits dans les Lois des Etats des Etats-Unis en matière de protection des données.

Catégories de personnes concernées

Les Données à caractère personnel du Client concerneront les catégories de personnes concernées suivantes :

  • les personnes concernées au sujet desquelles Google collecte des données à caractère personnel dans le cadre de la fourniture des Services RDP ; et/ou
  • les personnes concernées dont les données à caractère personnel sont transmises à Google dans le cadre des Services RDP par le Client, sur son ordre ou pour son compte.

Selon la nature des Services RDP en cause, ces personnes concernées peuvent inclure des personnes : (a) à qui la publicité en ligne a été ou sera adressée ; (b) qui ont visité des sites Internet ou des applications spécifiques pour lesquels Google fournit les Services RDP ; et/ou (c) qui sont des clients ou des utilisateurs des produits ou des services du Client.

Conditions de protection des données Google Ads applicables aux Responsable du Traitement-Responsable du Traitement, version 7.0

1er septembre 2023

Versions précédentes