Conditions Google Ads relatives au traitement des données

Google et la partie co-contractante qui accepte les présentes conditions (le “Client”) ont conclu un accord pour la fourniture des Services de sous-traitance (le “Contrat”, tel que modifié périodiquement).

Les présentes Conditions Google Ads relatives au traitement des données (y compris les annexes, les “Conditions relatives au traitement des données”) sont conclues entre Google et le Client, et complètent le Contrat. Les présentes Conditions relatives au traitement des données entreront en vigueur et remplaceront toutes les conditions précédemment applicables à leur objet (y compris tout avenant ou addendum de traitement des données relatif aux Services de sous-traitance) à compter de la Date d'entrée en vigueur des Conditions.

Si vous acceptez les présentes Conditions relatives au traitement des données pour le compte du Client, vous garantissez que : (a) vous jouissez de la capacité juridique nécessaire pour engager le Client au respect des présentes Conditions relatives au traitement des données ; (b) vous avez lu et compris les présentes Conditions relatives au traitement des données ; et (c) vous acceptez, pour le compte du Client, les présentes Conditions relatives au traitement des données. Si vous n'avez pas la capacité juridique d'engager le Client, veuillez ne pas accepter les présentes Conditions relatives au traitement des données.

1. Introduction

Les présentes Conditions relatives au traitement des données reflètent l'accord des parties sur les conditions régissant le traitement des Données à caractère personnel du Client.

2. Définitions et interprétation

2.1 Dans le cadre des présentes Conditions relatives au traitement des données :

Adresse e-mail de notification” désigne l'adresse e-mail choisie par le Client, via l'interface utilisateur des Services de sous-traitance ou tout autre moyen fourni par Google, pour recevoir certaines notifications de Google relatives aux présentes Conditions relatives au traitement des données.

Certification ISO 27001” désigne la Certification ISO/IEC 27001:2013 ou une certification comparable pour les Services de sous-traitance.

Conditions supplémentaires” désigne les conditions supplémentaires mentionnées en Annexe 3, qui reflètent l'accord des parties sur les conditions régissant le traitement des Données à caractère personnel du Client dans le cadre de certaines Législations applicables en matière de protection des données.

Date d'entrée en vigueur des conditions” désigne la date à laquelle le Client ou les parties ont accepté les présentes Conditions relatives au traitement des données.

Documentation de sécurité” désigne le certificat délivré pour la Certification ISO 27001, et toute autre certification ou documentation de sécurité que Google peut mettre à disposition en ce qui concerne les Services de sous-traitance.

Données à caractère personnel du Client” désigne les données à caractère personnel traitées par Google au nom du Client dans le cadre de la fourniture par Google des Services de sous-traitance.

Durée” désigne la période allant de la Date d'entrée en vigueur des Conditions jusqu'à la fin de la fourniture par Google des Services de sous-traitance en vertu du Contrat.

Entité Google” désigne Google LLC, Google Ireland Limited ou toute autre Société affiliée de Google LLC.

Google” désigne l'Entité Google qui est partie au Contrat.

Incident lié aux données” désigne une violation de la sécurité de Google entraînant la destruction, perte, modification, divulgation non autorisée, ou un accès accidentel ou illicite aux Données à caractère personnel du Client sur des systèmes gérés ou contrôlés par Google Les “Incidents liés aux données” n'incluent pas les tentatives ni les activités infructueuses ne compromettant pas la sécurité des Données à caractère personnel du Client, y compris les tentatives infructueuses de connexion, pings, analyses de port, attaques par déni de service, et autres attaques réseau sur pare-feu ou systèmes en réseau.

Instructions” a la signification donnée à l'Article 5.2 (Instructions du Client).

Législation applicable en matière de protection des données” désigne, dans la mesure où elle s'applique au traitement des Données à caractère personnel du Client, toute loi ou réglementation nationale, fédérale, européenne, étatique, provinciale ou autre en matière de respect de la vie privée, de sécurité des données ou de protection des données, y compris la Législation européenne en matière de protection des données, la LGPD et les Lois des Etats des Etats-Unis en matière de protection des données.

“Lois des Etats des Etats-Unis en matière de protection des données” désigne, selon le cas, (i) le California Consumer Privacy Act de 2018 (y compris dans sa version modifiée par le California Privacy Rights Act de 2020) ainsi que tous les règlements d'application y afférents ("CCPA") ; (ii) le Virginia’s Consumer Data Protection Act, Code de Virginie, § 59.1-571 et suiv. ; (iii) le Colorado Privacy Act, Statuts révisés du Colorado, §6-1-1301 et suiv. ; (iv) le Connecticut’s Act Concerning Data Privacy and Online Monitoring, Loi n° 22015 ; et (v) le Utah Consumer Privacy Act, Code de l’Utah, §13-61-101 et suiv.

Législation européenne en matière de protection des données” désigne, selon le cas : (a) le RGPD ; et/ou (b) la LPD suisse.

LGPD” désigne la Loi Générale sur la Protection des Données du Brésil (Lei Geral de Proteção de Dados Pessoais).

LPD suisse” désigne, selon le cas, la loi fédérale suisse sur la protection des données du 19 juin 1992 (conjointement avec l'ordonnance relative à la loi fédérale sur la protection des données du 14 juin 1993), ou la loi fédérale sur la protection des données du 25 septembre 2020, telle que révisée (conjointement avec l'ordonnance relative à la loi fédérale sur la protection des données du 31 août 2022).

Mesures de sécurité” a la signification donnée à l'Article 7.1.1 (Mesures de sécurité de Google).

Nouveau sous-traitant ultérieur” a la signification donnée à l'Article 11.1 (Consentement à l'engagement de sous-traitants ultérieurs).

Outil mis à la disposition des personnes concernées” désigne un outil (le cas échéant) mis à la disposition des personnes concernées par une Entité Google, et permettant à Google de répondre directement et de manière standardisée à certaines demandes des personnes concernées à propos des Données à caractère personnel du Client (par exemple, les paramètres de publicité en ligne ou le plugin du navigateur).

Produit supplémentaire” désigne une application, un produit ou un service fournis par Google ou un tiers qui : (a) ne font pas partie des Services de sous-traitance ; et (b) sont accessibles pour une utilisation dans l'interface utilisateur des Services de sous-traitance, ou sont autrement intégrés aux Services de sous-traitance.

RGPD” désigne, selon le cas : (a) le RGPD de l'UE ; et/ou (b) le RGPD du Royaume-Uni.

RGPD de l'UE” désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE.

RGPD du Royaume-Uni” désigne le RGPD de l'UE tel qu'amendé et incorporé dans la législation du Royaume-Uni, en application du European Union (Withdrawal) Act 2018, et la législation dérivée applicable émise dans le cadre de cette Loi.

Services de sous-traitance” désigne les services applicables listés à l'adresse business.safety.google/adsservices.

Société affiliée” désigne une entité qui, directement ou indirectement, contrôle, est contrôlée par, ou est sous le contrôle commun d’une partie.

Sous-traitants ultérieurs” désigne les tiers autorisés en vertu des présentes Conditions relatives au traitement des données à avoir un accès logique aux Données à caractère personnel du Client et à les traiter afin de fournir une partie des Services de sous-traitance et tout support technique associé.

2.2 Les termes “responsable du traitement”, “personne concernée”, “données à caractère personnel”, “traitement” et “sous-traitant” tels qu'utilisés dans les présentes Conditions relatives au traitement des données ont la signification donnée soit (a) dans la Législation applicable en matière de protection des données ; ou (b), en l’absence d’une telle signification ou législation, dans le RGPD.

2.3 Les termes “incluant” et “y compris” signifient “y compris, mais sans s'y limiter”. Les exemples utilisés dans les présentes Conditions relatives au traitement des données ne sont fournis qu'à titre illustratif et ne constituent pas les seuls exemples d'un concept donné.

2.4 Toute référence à un cadre juridique, une loi ou un autre texte législatif est une référence à sa version en vigueur telle que modifiée de temps à autre.

2.5 Dans le cas où la version traduite des présentes Conditions relatives au traitement des données n'est pas cohérente avec la version en anglais, la version en anglais prévaut.

3. Durée des présentes Conditions relatives au traitement des données

Les présentes Conditions relatives au traitement des données prendront effet à la Date d'entrée en vigueur des Conditions. Que le Contrat ait été résilié ou qu'il ait expiré, les présentes Conditions relatives au traitement des données resteront en vigueur jusqu'à ce que Google supprime toutes les Données à caractère personnel du Client et qu'elles expirent automatiquement, tel que décrit dans les présentes Conditions relatives au traitement des données.

4. Application des présentes Conditions relatives au traitement des données

4.1 Généralités. Les présentes Conditions relatives au traitement des données ne s'appliqueront qu'aux Services de sous-traitance pour lesquels les parties ont acceptés les présentes Conditions relatives au traitement des données, par exemple : (a) les Services de sous-traitance pour lesquels le Client a cliqué pour accepter les présentes Conditions relatives au traitement des données ou (b) si le Contrat incorpore les présentes Conditions relatives au traitement des données par référence, les Services de sous-traitance qui font l'objet du Contrat.

4.2 Intégration des Conditions supplémentaires. Les Conditions supplémentaires s'ajoutent aux présentes Conditions relatives au traitement des données.

5. Traitement des données

5.1 Rôles, Conformité réglementaire et Autorisation.

5.1.1 Responsabilités du Sous-traitant et du Responsable du traitement. Les parties reconnaissent et conviennent que :

(a) l'Annexe 1 décrit l'objet et les détails du traitement des Données à caractère personnel du Client ;

(b) Google est sous-traitant des Données à caractère personnel du Client ;

(c) le Client est responsable du traitement ou sous-traitant, selon le cas, des Données à caractère personnel du Client ; et

(d) chaque partie se conformera aux obligations qui lui sont applicables conformément à la Législation applicable en matière de protection des données concernant le traitement des Données à caractère personnel du Client.

5.1.2 Clients sous-traitants. Si le Client est un sous-traitant :

(a) Le Client garantit en continu que le responsable du traitement concerné a autorisé : (i) les Instructions, (ii) la nomination par le Client de Google en tant qu'autre sous-traitant et (iii) l'engagement par Google de sous-traitants ultérieurs, tel que décrit à l'Article 11 (Sous-traitants ultérieurs) ;

(b) Le Client transfèrera au responsable du traitement concerné dans les meilleurs délais et sans retard injustifié toute notification de Google en vertu des Articles 7.2.1 (Notification d'Incident) ou 11.4 (Possibilité d'opposition aux changements de Sous-traitants ultérieurs) ; et

(c) Le Client peut mettre à la disposition du responsable du traitement concerné toute information rendue disponible par Google en vertu des Articles 7.4 (Certification de sécurité), 10.2 (Informations concernant les centres de données) et 11.2 (Informations concernant les Sous-traitants ultérieurs).

5.2 Instructions du Client. En acceptant les présentes Conditions relatives au traitement des données, le Client demande à Google de traiter les Données à caractère personnel du Client uniquement conformément à la loi applicable : (a) pour fournir les Services de sous-traitance et tout support technique associé ; (b) tel que précisé plus en détail par l'utilisation par le Client des Services de sous-traitance (y compris dans les paramètres et autres fonctionnalités des Services de sous-traitance) et tout support technique associé ; (c) tel que documenté sous la forme du Contrat (y compris les présentes Conditions relatives au traitement des données) ; et (d) tel que documenté plus en détail dans d'autres instructions écrites données par le Client, et reconnues par Google comme constituant des instructions aux fins des présentes Conditions relatives au traitement des données (collectivement, les “Instructions”).

5.3 Respect des Instructions par Google. Google se conformera aux Instructions, sauf si les législations applicables l'interdisent, ou si les législations applicables exigent un autre traitement.

5.4 Produits supplémentaires. Si le Client utilise des Produits supplémentaires, les Services de sous-traitance peuvent permettre à ces Produits supplémentaires d'accéder aux Données à caractère personnel du Client, comme le requiert l'interopérabilité de ces Produits supplémentaires avec les Services de sous-traitance. Pour plus de clarté, les présentes Conditions relatives au traitement des données ne s'appliquent pas au traitement des données à caractère personnel en relation avec la fourniture des Produits supplémentaires utilisés par le Client, y compris les données à caractère personnel transmises vers ou à partir de ces Produits supplémentaires.

6. Suppression des données

6.1 Suppression pendant la Durée.

6.1.1 Services de sous-traitance avec fonctionnalité de suppression. Pendant la Durée, si :

(a) la fonctionnalité des Services de sous-traitance inclut l'option pour le Client de supprimer les Données à caractère personnel du Client ;

(b) le Client utilise les Services de sous-traitance pour supprimer certaines Données à caractère personnel du Client ; et

(c) les Données à caractère personnel du Client supprimées ne peuvent pas être récupérées par le Client (par exemple, à partir de la "corbeille"),

alors Google supprimera lesdites Données à caractère personnel du Client de ses systèmes dès que possible et dans un délai maximal de 180 jours, sauf si les lois applicables en exigent le stockage.

6.1.2 Services de sous-traitance sans fonctionnalité de suppression. Pendant la Durée, si la fonctionnalité des Services de sous-traitance n'inclut pas l'option permettant au Client de supprimer les Données à caractère personnel du Client, Google se conformera donc :

(a) à toute demande raisonnable du Client visant à faciliter cette suppression, dans la mesure du possible, compte tenu de la nature et de la fonctionnalité des Services de sous-traitance, et sauf si les lois applicables exigent le stockage ; et

(b) aux pratiques de conservation des données décrites sur policies.google.com/technologies/ads.

Google peut facturer des frais (sur la base des coûts raisonnables de Google) pour toute suppression de données en vertu de l'Article 6.1.2(a). Avant une telle suppression, Google fournira au Client des informations supplémentaires sur les frais applicables et la façon dont ils sont calculés.

6.2 Suppression à l'expiration de la Durée. Le Client demande à Google de supprimer toutes les données à caractère personnel du Client restantes (y compris les copies existantes) des systèmes de Google à la fin de la Durée, conformément à la législation en vigueur. Google se conformera à cette instruction dès que possible et dans un délai maximal de 180 jours, sauf si les lois applicables en exigent le stockage.

7. Sécurité des données

7.1 Mesures de sécurité et assistance de Google.

7.1.1 Mesures de sécurité de Google. Google mettra en œuvre et maintiendra des mesures techniques et organisationnelles adéquates pour protéger les Données à caractère personnel du Client contre une destruction, une perte, une altération, une divulgation ou un accès non autorisés, accidentels ou illicites, tel que décrit en Annexe 2 (les “Mesures de sécurité”). Comme décrit en Annexe 2, les Mesures de sécurité comprennent des mesures pour : (a) chiffrer les données à caractère personnel ; (b) contribuer à garantir la confidentialité, l'intégrité, la disponibilité, et la résilience des systèmes et services de Google ; (c) aider à rétablir rapidement l'accès aux données à caractère personnel à la suite d'un incident ; et (d) effectuer des tests réguliers d'efficacité. Google peut mettre à jour ou modifier les Mesures de sécurité ponctuellement à condition que ces mises à jour et ces modifications n'entraînent pas la dégradation de la sécurité globale des Services de sous-traitance.

7.1.2 Accès et conformité. Google : (a) autorisera ses employés, ses prestataires et ses Sous-traitants ultérieurs à accéder aux Données à caractère personnel du Client uniquement si cela s'avère strictement nécessaire pour respecter les Instructions ; (b) prendra les mesures appropriées pour s'assurer que ses employés, ses prestataires et ses Sous-traitants ultérieurs respectent les Mesures de sécurité dans la mesure applicable à l'étendue de leur prestation ; et (c) veillera à ce que toutes les personnes autorisées à traiter les Données à caractère personnel du Client se soient engagées à la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

7.1.3 Assistance sécurité de Google. Google (en tenant compte de la nature du traitement des Données à caractère personnel du Client et des informations à la disposition de Google) aidera le Client à assurer le respect des obligations du Client (ou, si le Client est un sous-traitant, les obligations du responsable du traitement concerné) en lien avec la sécurité des données à caractère personnel et les violations des données à caractère personnel, en vertu de la Législation applicable en matière de protection des données :

(a) en mettant en œuvre et en maintenant des Mesures de sécurité conformément à l'Article 7.1.1 (Mesures de sécurité de Google) ;

(b) en respectant les conditions de l'Article 7.2 (Incidents de données) ; et

(c) en fournissant au Client la Documentation de sécurité conformément à l'Article 7.5 (Vérification de la conformité) et les informations contenues dans les présentes Conditions relatives au traitement des données.

7.2 Incidents de données.

7.2.1 Notification d'Incident. Si Google prend connaissance d'un Incident de données, Google : (a) informera le Client concerné par l'Incident de données rapidement et sans retard injustifié ; et (b) prendra rapidement des mesures raisonnables pour minimiser les dommages et sécuriser les Données à caractère personnel du Client.

7.2.2 Détails de l'Incident de données. Les notifications créées conformément à l'Article 7.2.1 (Notification d'Incident) décriront : la nature de l'Incident de données, y compris les ressources du Client concernées ; les mesures prises par Google ou que Google a l'intention de prendre pour régler l'Incident de données et en atténuer les risques potentiels ; les mesures, le cas échéant, que Google recommande au Client de prendre pour régler l'Incident de données ; et les coordonnées d'un contact qui pourrait fournir plus d'informations. S'il n'est pas possible de fournir toutes ces informations en même temps, la notification initiale de Google contiendra les informations disponibles à ce moment-là. Les autres seront fournies sans retard injustifié à mesure qu'elles sont disponibles.

7.2.3 Communication des notifications. Google communiquera ses notifications de tout Incident de données à l'Adresse e-mail de notification fournie par le Client ou, à la discrétion de Google (y compris si le Client n'a pas fourni d'Adresse e-mail de notification), par un autre moyen de communication direct (par exemple, par appel téléphonique ou via une rencontre en personne). Le Client est seul responsable de fournir l'Adresse e-mail de notification et de s'assurer que l'Adresse e-mail de notification est à jour et valide.

7.2.4 Notifications de tiers. Le Client est seul responsable du respect des lois de notification d'incident applicables au Client et de l'exécution des obligations de notification de tiers relatives à tout Incident de données.

7.2.5 Absence de reconnaissance de faute par Google. La notification par Google d'un Incident de données, ou sa réponse à un tel Incident, conformément au présent Article 7.2 (Incidents de données) ne sera pas interprétée comme une reconnaissance par Google d'un manquement ou d'une responsabilité en ce qui concerne l'Incident de données.

7.3 Responsabilités du Client en matière de sécurité et évaluation de celle-ci.

7.3.1 Responsabilités du Client en matière de sécurité. Le Client convient que, sans préjudice des obligations de Google en vertu des Articles 7.1 (Mesures de sécurité et Assistance sécurité de Google) et 7.2 (Incidents de données) :

(a) le Client est responsable de son utilisation des Services de sous-traitance, y compris :

(i) en faisant un usage approprié des Services de sous-traitance afin d'assurer un niveau de sécurité adapté au risque en ce qui concerne les Données à caractère personnel du Client ; et

(ii) en sécurisant les informations d'identification, les systèmes et les dispositifs d'authentification du compte que le Client utilise pour accéder aux Services de sous-traitance ; et

(b) Google n'a aucune obligation de protéger les Données à caractère personnel du Client que le Client choisit de stocker ou de transférer hors des systèmes de Google et de ses Sous-traitants ultérieurs.

7.3.2 Évaluation de la sécurité du Client. Le Client reconnaît et accepte que les Mesures de sécurité mises en œuvre et maintenues par Google, telles qu'énoncées à l'Article 7.1.1 (Mesures de sécurité de Google) offrent un niveau de sécurité adapté au risque en ce qui concerne les Données à caractère personnel du Client (compte tenu de l'état de la technique, des coûts d'implémentation, et de la nature de la portée, du contexte et des finalités du traitement des Données à caractère personnel du Client ainsi que des risques pour les personnes).

7.4 Certification de sécurité. Afin d'évaluer et de garantir l'efficacité continue des Mesures de sécurité, Google conservera la Certification ISO 27001.

7.5 Vérification de la conformité Pour démontrer la conformité de Google à ses obligations conformément aux présentes Conditions de traitement des données, et pour assister le Client dans la vérification du respect par Google (i) des Instructions du Client ; (ii) de ses obligations au titre des présentes Conditions de traitement des données ; et (iii) de ses obligations au titre de la Législation applicable en matière de protection des données, Google :

(a) mettra la Documentation de sécurité à la disposition du Client pour revue ;

(b) fournira les informations contenues dans les Conditions de traitement des données ; et

(c) fournira ou mettra à disposition, conformément aux pratiques habituelles de Google, d'autres documents concernant la nature des Services de sous-traitance et le traitement des Données à caractère personnel des Clients (par exemple, les documents du centre d'aide). Le Client peut également vérifier que Google respecte ses obligations en vertu des présentes Conditions relatives au traitement des données en examinant le certificat délivré pour la Certification ISO 27001 (qui reflète le résultat d'un audit mené par un auditeur tiers).

8. Analyses d'impact et consultations

Google (en tenant compte de la nature du traitement et des informations à la disposition de Google) aidera le Client à assurer le respect des obligations du Client (ou, si le Client est un sous-traitant, les obligations du responsable du traitement concerné) en en matière d’analyses d'impact relatives à la protection des données et les consultations réglementaires préalables prévues par la Législation applicable en matière de protection des données, en :

(a) fournissant la Documentation de sécurité conformément à l'Article 7.5 (Vérification de la conformité) ;

(b) fournissant les informations contenues dans le Contrat (y compris les présentes Conditions relatives au traitement des données) ; et

(c) fournissant ou en mettant autrement à disposition, conformément aux pratiques standards de Google, d'autres documents concernant la nature des Services de sous-traitance et le traitement des Données à caractère personnel du Client (par exemple, les documents du centre d'aide).

9. Droits des personnes concernées

9.1 Réponses aux demandes des personnes concernées. Si Google reçoit une demande d'une personne concernée au sujet des Données à caractère personnel du Client, le Client autorise Google à, et Google avertit par les présentes le Client qu'il va :

(a) répondre directement à la demande de la personne concernée conformément à la fonctionnalité standard de l'Outil mis à la disposition des personnes concernées (si la demande est envoyée à l'aide d'un Outil mis à la disposition des personnes concernées) ; ou

(b)conseiller à la personne concernée d'envoyer sa demande au Client. Le Client sera alors tenu d'y répondre (si la demande n'est pas envoyée à l'aide d'un Outil mis à la disposition des personnes concernées).

9.2 Assistance apportée par Google pour les demandes des personnes concernées. Conformément à la Législation applicable en matière de protection des données, Google aidera le Client à remplir ses obligations (ou, si le Client est un sous-traitant, les obligations du responsable du traitement concerné) de répondre aux demandes d'exercice des droits des personnes concernées, dans tous les cas en tenant compte de la nature du traitement des Données à caractère personnel du Client et, le cas échéant, de l'Article 11 du RGPD :

(a) en fournissant la fonctionnalité des Services de sous-traitance ;

(b) en respectant les engagements énoncés à l'Article 9.1 (Réponses aux demandes des personnes concernées) ; et

(c) si applicable aux Services de sous-traitance, en mettant à disposition des Outils mis à la disposition des personnes concernées.

9.3 Rectification. Si le Client constate que des Données à caractère personnel du Client sont inexactes ou obsolètes, et si la Législation applicable en matière de protection des données l'exige, le Client sera tenu de les rectifier ou de les supprimer, y compris (si disponible) à l'aide de la fonctionnalité des Services de sous-traitance.

10. Transferts de données

10.1 Stockage des données et sites de traitement. Sous réserve de toute stipulation applicable aux transferts de données prévues par les Conditions supplémentaires, Google peut traiter les Données à caractère personnel du Client dans tous les pays dans lesquels Google ou ses Sous-traitants ultérieurs disposent de sites.

10.2 Informations concernant les centres de données. Les informations concernant les emplacements des centres de données Google sont disponibles à l'adresse www.google.com/about/datacenters/locations/.

11. Sous-traitants ultérieurs

11.1 Consentement au recours à des Sous-traitants ultérieurs. Le Client autorise spécifiquement le recours en tant que Sous-traitant ultérieur des entités listées à compter de la Date d'entrée en vigueur des Conditions disponibles à l'URL spécifiée à l'Article 11.2 (Informations concernant les Sous-traitants ultérieurs). Par ailleurs, sans préjudice de l'Article 11.4 (Possibilité d'opposition aux changements de Sous-traitant ultérieur) le Client autorise de façon générale le recours à des tiers en tant que Sous-traitant ultérieur (“Nouveau sous-traitant ultérieur”).

11.2 Informations concernant les Sous-traitants ultérieurs. Les informations concernant les Sous-traitants ultérieurs sont disponibles à l'adresse business.safety.google/adssubprocessors.

11.3 Exigences concernant le recours à des Sous-traitants ultérieurs. En ayant recours à un Sous-traitant ultérieur, Google :

(a) s'assure via un accord écrit que le Sous-traitant ultérieur accède aux Données à caractère personnel du Client et les utilise dans la mesure requise pour exécuter les obligations qui lui sont sous-traitées, et le fait conformément au Contrat (y compris les présentes Conditions relatives au traitement des données) ; et

(b) demeure responsable de toutes les obligations sous-traitées, et de l'ensemble des actes ou des omissions de ses Sous-traitants ultérieurs.

11.4 Possibilité d'opposition aux changements de Sous-traitants ultérieurs.

(a) Lorsqu'un Nouveau Sous-traitant ultérieur est recruté pendant la Durée, Google informera le Client, au moins 30 jours avant que le Nouveau Sous-traitant ultérieur traite des Données à caractère personnel du Client, du recrutement (y compris le nom et la localisation du Nouveau sous-traitant ultérieur concerné et les activités qu'il effectuera) en envoyant un e-mail à l'Adresse e-mail de notification.

(b) Le Client peut s'opposer à tout Nouveau Sous-traitant ultérieur en résiliant le Contrat immédiatement par notification écrite à Google, à condition que le Client fournisse une telle notification dans les 90 jours après avoir été informé du recrutement du Nouveau Sous-traitant ultérieur t tel que décrit à l'Article 11.4(a).

12.Contacter Google ; Registre des traitements

12.1 Contacter Google. Le Client peut contacter Google concernant l'exercice de ses droits conformément aux présentes Conditions relatives au traitement des données via les méthodes décrites sur privacy.google.com/businesses/processorsupport ou via d'autres moyens fournis par Google ponctuellement. Google fournira une assistance rapide et raisonnable en réponse aux demandes du Client que Google reçoit via de tels moyens et qui sont liées au traitement des Données à caractère personnel du Client dans le cadre du Contrat.

12.2 Registre des traitements de Google. Google conservera les documents appropriés de ses activités de traitement, tel que requis par la Législation applicable en matière de protection des données.

12.3 Demandes du responsable du traitement. Si Google reçoit une demande ou une instruction via les méthodes décrites à l'Article 12.1 (ou via d'autres méthodes) de la part d'une tierce partie prétendant être un responsable du traitement des Données à caractère personnel du Client, Google conseillera à la tierce partie de contacter le Client.

13.Responsabilité

Si le Contrat est gouverné par les lois :

(a) d'un État des États-Unis d'Amérique, alors, nonobstant tout ce qui figure dans le Contrat, la responsabilité totale de l'une des parties vis-à-vis de l'autre partie dans le cadre des présentes Conditions relatives au traitement des données ou en relation avec celles-ci sera limitée à la valeur monétaire ou au paiement maximal auquel la responsabilité de cette partie est plafonnée en vertu du Contrat (aucune exclusion de demande d'indemnisation issue des clauses limitatives de responsabilité du Contrat ne sera donc applicable aux demandes d'indemnisations faites en application du Contrat et relatives à la Législation applicable en matière de protection des données) ; ou

(b) d'une juridiction qui n'est pas un État des États-Unis d'Amérique, alors la responsabilité des parties dans le cadre des présentes Conditions relatives au traitement des données ou en relation avec celles-ci sera soumise aux exclusions et aux limitations de responsabilité figurant dans le Contrat.

14. Conséquences des présentes Conditions relatives au traitement des données

14.1 Ordre de priorité. En cas de conflit ou d'incohérence entre les Conditions supplémentaires, le reste des présentes Conditions relatives au traitement des données et/ou le reste du Contrat, l'ordre de priorité suivant sera d'application :

(a) Conditions supplémentaires (si applicables)

(b) Reste des présentes Conditions relatives au traitement des données ; et

(c) Reste du Contrat.

Sous réserve des amendements contenus dans les présentes Conditions relatives au traitement des données, le Contrat reste pleinement en vigueur.

14.2 Aucune conséquence sur les Conditions du responsable du traitement. Les présentes Conditions relatives au traitement des données n'auront aucune conséquence sur d'autres conditions distinctes liant Google et le Client dans une relation de type responsable du traitement-responsable du traitement pour un autre service que les Services de sous-traitance.

15. Modifications des présentes Conditions relatives au traitement des données

15.1 Modifications des URL. Google peut ponctuellement modifier toute URL référencée dans les présentes Conditions relatives au traitement des données et le contenu de ces URL, mais ne peut modifier que la liste de Services de sous-traitance potentiels à l'adresse business.safety.google/adsservices :

(a) pour refléter tout changement du nom d'un service ;

(b) pour ajouter un service ; ou

(c) pour supprimer un service (ou une fonctionnalité d'un service) pour lequel : (i) tous les contrats de fourniture de ce service ont été résiliés ; (ii) Google a obtenu l'autorisation du Client, ou (iii) le service, ou une certaine fonctionnalité du service, a été re-catégorisé en tant que service de responsable de traitement.

15.2 Modifications des Conditions relatives au traitement des données. Google peut modifier les présentes Conditions relatives au traitement des données si la modification :

(a) est expressément autorisée par les présentes Conditions relatives au traitement des données, y compris celles décrites à l'Article 15.1 (Modifications des URL) ;

(b) reflète une modification dans le nom ou la forme d'une entité juridique ;

(c) est requise pour se conformer à la législation applicable, à la réglementation en vigueur, à une ordonnance d’un tribunal ou à une directive émise par un organisme régulateur ou une administration gouvernementale, ou si elle reflète l'adoption par Google d'une Solution de transfert alternative (telle que définie à l’Annexe 3A) ; ou

(d) (i) ne donne lieu à aucune dégradation de la sécurité globale des Services de sous-traitance ; (ii) n'étend pas la portée de, ou ne retire aucune restriction sur, (x) dans le cadre des Conditions supplémentaires, les droits de Google d'utiliser ou de traiter les données soumises à ces Conditions supplémentaires, ou (y) dans le cadre du reste des présentes Conditions relatives au traitement des données, le traitement des Données à caractère personnel du Client par Google, comme décrit à l'Article 5.3 (Respect des Instructions par Google) ; et (iii) n'a pas d'autre impact négatif important sur les droits du Client dans le cadre des présentes Conditions relatives au traitement des données, tel que raisonnablement déterminé par Google.

15.3 Notification de modifications. Si Google a l'intention de modifier les présentes Conditions relatives au traitement des données conformément à l'Article 15.2(c) ou (d), Google informera le Client au moins 30 jours (ou toute période plus courte pouvant être requise pour se conformer à la législation applicable, à la réglementation en vigueur, à une ordonnance d’un tribunal ou à une directive émise par un organisme régulateur ou une administration gouvernementale) avant que le changement ne prenne effet : (a) en envoyant un e-mail à l'Adresse e-mail de notification ; ou (b) en alertant le Client via l'interface utilisateur pour les Services de sous-traitance. Si le Client s'oppose à une telle modification, le Client peut résilier le Contrat immédiatement pour convenance en envoyant un avis écrit à Google dans les 90 jours suivant la notification du changement par Google.

Annexe 1 : Objet et détails du traitement des données

Objet

La fourniture par Google des Services de sous-traitance et de toute assistance technique associée au Client.

Durée du traitement

La Durée plus la période à compter de la fin de la Durée jusqu'à la suppression de toutes les Données à caractère personnel du Client par Google conformément aux présentes Conditions relatives au traitement des données.

Nature et finalités du traitement

Google traitera (y compris, selon les Services de sous-traitance et les Instructions, la collecte, l'enregistrement, l'organisation, la structuration, le stockage, la modification, l'extraction, l'utilisation, la divulgation, la combinaison, l'effacement et la destruction) les Données à caractère personnel du Client pour fournir les Services de sous-traitance et toute assistance technique au Client conformément aux présentes Conditions relatives au traitement des données.

Types de Données à caractère personnel

Les Données à caractère personnel du Client peuvent inclure les types de données à caractère personnel décrites sur business.safety.google/adsservices.

Catégories des personnes concernées

Les Données à caractère personnel du Client concerneront les catégories suivantes de personnes concernées :

  • les personnes concernées au sujet desquelles Google recueille des Données à caractère personnel dans le cadre de la fourniture des Services de sous-traitance ; et/ou

  • les personnes concernées au sujet desquelles des Données à caractère personnel sont transférées à Google concernant les Services de sous-traitance par, sous la direction de, ou au nom du Client.

Selon la nature des Services de sous-traitance, ces personnes concernées peuvent inclure des personnes : (a) à qui la publicité en ligne a été ou sera adressée ; (b) qui ont visité des sites Internet ou des applications spécifiques pour lesquels Google fournit les Services de sous-traitance ; et/ou (c) qui sont des clients ou des utilisateurs des produits ou services du Client.

Annexe 2 : Mesures de sécurité

À compter de la Date d'entrée en vigueur des conditions, Google est tenu d'appliquer et de garantir les Mesures de sécurité définies dans la présente Annexe 2. Google peut mettre à jour ou modifier ces Mesures de sécurité ponctuellement à condition que ces mises à jour et ces modifications n'entraînent pas la dégradation de la sécurité globale des Services de sous-traitance.

1. Sécurité des centres de données et des réseaux

(a) Centres de données.

Infrastructure. Google gère des centres de données répartis dans différentes localisations. Google stocke toutes les données de production dans des centres de données physiques sécurisés.

Redondance. Les systèmes d'infrastructure ont été conçus de manière à éliminer les points de défaillance uniques et à minimiser l'impact des risques environnementaux anticipés. Cette redondance repose entre autres sur des circuits doubles, des commutateurs, des réseaux et d'autres appareils. Les Services de sous-traitance visent à permettre à Google d'effectuer certains types d'opérations de maintenance préventive et corrective sans interruption. L'ensemble des installations et des équipements environnementaux sont associés à des procédures de maintenance préventive documentées, qui détaillent le processus et la fréquence d'intervention en fonction des spécifications du fabricant ou des spécifications internes. La maintenance préventive et corrective de l'équipement des centres de données est planifiée en suivant un processus standard respectant des procédures documentées.

Alimentation. Les systèmes électriques des centres de données sont conçus pour être redondants et de sorte que leur maintenance puisse être assurée sans interrompre leur fonctionnement continu (24h/24, 7j/7). Dans la plupart des cas, les composants d'infrastructure essentiels des centres de données présentent une source d'alimentation principale et une source d'alimentation secondaire (de capacité égale). L'alimentation de secours est assurée par différents mécanismes tels que des batteries d'alimentation sans interruption. Les systèmes de ce type permettent de fournir en continu une protection fiable de l'alimentation en cas de baisse de tension, de panne, de surtension, de sous-tension et de fréquence hors tolérance au niveau du circuit. En cas d'interruption de l'alimentation, le réseau de secours est censé alimenter le centre de données de façon transitoire, à pleine capacité, pendant 10 minutes maximum, jusqu'à ce que les générateurs de secours prennent le relais. Les générateurs de secours sont capables de démarrer automatiquement en quelques secondes pour fournir une alimentation électrique d'urgence suffisante pour alimenter le centre de données à pleine capacité généralement pendant plusieurs jours.

Systèmes d'exploitation des serveurs. Les serveurs Google utilisent des systèmes d'exploitation renforcés et personnalisés en fonction des besoins uniques en termes de serveurs de l'entreprise. Les données sont stockées à l'aide d'algorithmes propriétaires afin de renforcer la redondance et la sécurité des données. Google examine le code de manière à renforcer la sécurité de celui utilisé pour assurer les Services de sous-traitance et à améliorer les produits de sécurité dans les environnements de production.

Continuité des opérations. Google réplique les données sur plusieurs systèmes pour mieux les protéger contre les destructions ou les pertes accidentelles. Google a conçu des plans de continuité d'activité et des programmes de reprise après sinistre, et les planifie et les teste régulièrement.

Technologies de chiffrement. Les règles de sécurité de Google requièrent le chiffrement au repos de toutes les données utilisateur, y compris les données à caractère personnel. Les données sont souvent chiffrées à plusieurs niveaux dans la pile de stockage de production de Google dans les centres de données, y compris au niveau du matériel, sans action requise de la part des clients. Utiliser plusieurs couches de chiffrement renforce la protection des données et permet à Google de sélectionner l'approche optimale en fonction des exigences de l'application. Toutes les données à caractère personnel sont chiffrées au niveau du stockage, généralement à l'aide du chiffrement AES256. Google utilise des bibliothèques cryptographiques courantes qui intègrent le module validé FIPS 140-2 de Google pour implémenter le chiffrement de façon cohérente entre les Services de sous-traitance.

(b) Réseaux et transmission.

Transmission de données. Les centres de données sont généralement connectés à l'aide de lignes privées à vitesse élevée pour assurer des transferts de données sûrs et rapides entre les centres de données. Par ailleurs, Google chiffre les données transmises entre les centres de données. Cette opération vise à empêcher la lecture, la copie, la modification et la suppression non autorisée des données au cours du transport électronique. Google transfère les données selon les protocoles Internet standards.

Surface d'attaque externe. Google utilise plusieurs couches d'appareils réseau et de détection des intrusions afin de protéger sa surface d'attaque externe. Google tient compte des vecteurs d'attaque potentiels et intègre des technologies dédiées à ses systèmes externes.

Détection des intrusions. La détection des intrusions sert à fournir des informations sur les activités en cours liées à des attaques et sur la manière de réagir face aux incidents. La détection des intrusions de Google repose sur les procédures suivantes :

1. Surveillance étroite de la taille et de la composition de la surface d'attaque de Google par le biais de mesures préventives;

2. Mise en place de contrôles de détection intelligents aux points d'entrée des données;

3. Utilisation de technologies permettant de remédier automatiquement à certaines situations dangereuses

Gestion des incidents. Google surveille divers canaux de communication en lien avec les incidents de sécurité. De plus, le personnel de sécurité de Google réagit rapidement aux incidents connus.

Technologies de chiffrement. Google exploite le chiffrement HTTPS (également appelé “connexion TLS”). Les serveurs Google sont compatibles avec l'échange de clés cryptographiques éphémères Diffie-Hellman basé sur les courbes elliptiques. La signature est effectuée à l'aide des protocoles RSA et ECDSA. Ces méthodes de confidentialité persistante parfaite (PFS) permettent de protéger le trafic et de minimiser l'impact d'une clé compromise ou d'une percée cryptographique.

2. Contrôle sur site et contrôle d'accès

(a) Contrôles sur site.

Fonctionnement de la sécurité sur site des centres de données. La sécurité des centres de données de Google est assurée sur site. Elle vise à garantir le fonctionnement de toutes les fonctions de sécurité des centres de données physiques 24h/24, 7j/7. Les membres du personnel responsable des opérations de sécurité sur site contrôlent des caméras en circuit fermé (“caméras de surveillance”) et tous les systèmes d'alarme. Les membres du personnel en charge des opérations de sécurité sur site effectuent régulièrement des rondes à l'intérieur et à l'extérieur du centre de données.

Procédures d'accès aux centres de données. Google applique des procédures d'accès formelles pour autoriser un accès physique aux centres de données. Les centres de données sont installés dans des complexes dont l'accès se fait à l'aide d'une clé électronique et qui disposent d'alarmes reliées au centre de sécurité sur site. Toutes les personnes qui accèdent au centre de données sont tenues de s'identifier et de présenter une preuve d'identité au personnel de sécurité. Seuls les employés, les prestataires et les visiteurs autorisés peuvent entrer dans les centres de données. Seuls les employés et les prestataires autorisés peuvent demander une clé électronique en vue d'accéder à ces complexes. Les demandes de clés électroniques d'accès doivent être formulées à l'avance et par écrit. Elles doivent être approuvées par le personnel autorisé du centre de données. Toute autre personne accédant temporairement au centre de données doit : (i) obtenir l'autorisation préalable du personnel autorisé du centre de données pour l'accès au centre de données concerné et aux espaces intérieurs qu'elle souhaite visiter ; (ii) s'inscrire auprès de l'équipe de sécurité sur site ; et (iii) présenter une autorisation prouvant qu'elle est autorisée à accéder au centre de données.

Appareils de sécurité sur site des centres de données. Les centres de données de Google sont munis d'un système de contrôle des accès biométrique fonctionnant à l'aide de cartes électroniques et relié à un système d'alarme. Le système de contrôle des accès surveille et enregistre la carte électronique de chaque individu, ainsi que les franchissements des portes du périmètre et des zones d'expédition et de réception, ainsi que d'autres zones critiques. Les activités non autorisées et les tentatives d'accès ayant échoué sont enregistrées par le système de contrôle des accès et font l'objet d'un examen approprié. L'accès autorisé aux activités et aux centres de données dépend des zones et des responsabilités liées aux tâches de l'individu. Les portes coupe-feu du centre de données sont équipées d'alarmes. Des caméras de surveillance sont présentes tant à l'intérieur qu'à l'extérieur des centres de données. La position des caméras a été pensée de manière à couvrir des zones stratégiques telles que le périmètre, les portes du bâtiment du centre de données, et les zones de livraison et de réception, entre autres. Le personnel chargé de la gestion de la sécurité sur site est responsable des équipements de contrôle, d'enregistrement et de surveillance par caméras. Dans les centres de données, les équipements de surveillance sont reliés à l'aide de câbles. Les caméras enregistrent les images du site grâce à des enregistreurs vidéo numériques 24h/24, 7j/7. Les enregistrements de surveillance sont conservés pendant au moins sept jours, en fonction de l'activité.

(b) Contrôle des accès.

Personnel de sécurité des infrastructures. Google a mis en place et applique des règles de sécurité pour son personnel, qui doit obligatoirement suivre une formation à la sécurité dans le cadre de sa formation globale. Le personnel de sécurité des infrastructures de Google est responsable du contrôle continu des infrastructures de sécurité de Google, de l'examen des Services de sous-traitance et de la réponse aux incidents de sécurité.

Contrôle des accès et gestion des droits. Les administrateurs et utilisateurs du Client doivent s'authentifier par l'intermédiaire d'un système d'authentification central ou d'authentification unique afin d'utiliser les Services de sous-traitance.

Processus et règles d'accès aux données internes – Règlement d'accès. Les processus et règles internes de Google concernant l'accès aux données visent à empêcher les personnes et/ou les systèmes non autorisés d'accéder aux systèmes de traitement des données à caractère personnel. Avec ses systèmes, Google vise à concevoir ses systèmes afin de : (i) permettre, uniquement aux personnes habilitées, d'accéder aux données pour lesquelles elles disposent d'une autorisation ; et (ii) s'assurer que les données à caractère personnel ne peuvent pas être consultées, copiées, modifiées ou supprimées sans autorisation pendant le traitement et l'utilisation ainsi qu'après l'enregistrement. Les systèmes permettent de détecter les accès inappropriés. Google a recours à un système de gestion des accès centralisé pour contrôler les accès des membres du personnel aux serveurs de production. Google permet par ailleurs à un nombre limité des membres du personnel d'y accéder. LDAP, Kerberos et un système propriétaire utilisant des certificats numériques sont conçus pour fournir à Google des mécanismes d'accès sûrs et flexibles. Ces mécanismes n'octroient que les droits d'accès approuvés aux hôtes des sites, aux journaux, aux données et aux informations de configuration. Google requiert l'utilisation d'ID utilisateur uniques, de mots de passe sécurisés, de l'authentification à deux facteurs et de listes d'accès surveillées attentivement pour réduire le risque d'utilisation non autorisée des comptes. L'octroi ou la modification des accès sont basés sur les éléments suivants : les responsabilités liées aux tâches du personnel autorisé, les exigences liées aux tâches autorisées et le besoin de connaître. De plus, l'octroi et la modification des droits d'accès doivent être réalisés conformément aux règles et aux formations internes de Google en matière d'accès aux données. Les approbations sont gérées par les outils de workflow qui conservent les enregistrements d'audit de toutes les modifications. Tout accès aux systèmes est enregistré dans un journal d'audit. Lorsque des mots de passe sont employés pour l'authentification (pour la connexion aux postes de travail, par exemple), les règles concernant les mots de passe qui sont au moins conformes aux pratiques standards de l'industrie sont appliquées. Ces pratiques standards incluent entre autres les restrictions liées à la réutilisation des mots de passe et à leur niveau de sécurité minimal.

3. Données

(a) Authentification, isolement et stockage des données.

Google stocke les données dans un environnement mutualisé, sur des serveurs qui lui appartiennent. Les données, la base de données des Services de sous-traitance et l'architecture des systèmes de fichiers sont dupliqués et répartis entre plusieurs centres de données situés à des endroits différents. Google isole les données de chaque client de façon logique. Un système d'authentification central est utilisé pour tous les Services de sous-traitance afin d'augmenter la sécurité uniforme des données.

(b) Consignes liées à la mise hors service et à la destruction des disques.

Certains disques contenant des données peuvent rencontrer des problèmes de performances, des erreurs ou des pannes matérielles engendrant leur mise hors service (“Disque hors service”). Chaque Disque hors service est soumis à des processus de destruction des données (les “Consignes de destruction des données”) avant de quitter les locaux de Google en vue de leur réutilisation ou de leur destruction. Les Disques hors service sont effacés selon un processus en plusieurs étapes et validés par au moins deux experts indépendants. Les résultats du processus d'effacement sont consignés avec le numéro de série du Disque hors service à des fins de suivi. Enfin, le Disque hors service effacé est replacé dans l'inventaire afin de pouvoir être réutilisé et redéployé. Si, en raison d'une défaillance matérielle, le Disque hors service ne peut pas être effacé, il est stocké de façon sécurisée jusqu'à ce que sa destruction soit possible. Chaque complexe fait régulièrement l'objet d'audits pour contrôler le respect des Consignes de destruction des données.

(c) Données pseudonymes.

Les données de publicité en ligne sont généralement associées à des identifiants qui, en eux-mêmes, sont considérés comme “pseudonymes” (c'est-à-dire qu'ils ne peuvent être attribués à aucun individu spécifique sans utiliser d'informations supplémentaires). Google dispose d'un ensemble complet de règles, et de contrôles techniques et organisationnelles pour assurer la séparation entre les données pseudonymes et les informations personnelles (c'est-à-dire, des informations qui pourraient permettre, en elles-mêmes, de contacter ou d'identifier directement un individu, ou de le localiser précisément) telles que les données du compte Google d'un utilisateur. Les règles Google n'autorisent les flux d'informations entre des données pseudonymes et personnelles que dans des circonstances strictement limitées.

(d) Revues de lancement.

Google effectue des revues de lancement pour de nouveaux produits et de nouvelles fonctionnalités avant leur lancement. Entre autres, des ingénieurs spécialement formés à la confidentialité effectuent des revues de confidentialité. Lors de telles revues, les ingénieurs spécialisés en confidentialité s'assurent que toutes les règles et consignes Google applicables sont respectées, y compris, mais sans s'y limiter, les règles en lien avec la pseudonymisation ainsi que la conservation et la suppression des données.

4. Personnel et sécurité des données

Le personnel de Google est tenu de se comporter de manière conforme aux directives de l'entreprise concernant la confidentialité, l'éthique commerciale, l'utilisation adéquate et les normes professionnelles. Google vérifie les antécédents dans la mesure autorisée par la loi et conformément au droit du travail local et aux réglementations statutaires applicables.

Le personnel doit respecter un accord de confidentialité ainsi que les règles de Google concernant la confidentialité et le respect de la vie privée, dont il doit par ailleurs accuser réception. Il reçoit aussi une formation à la sécurité. Les membres du personnel qui gèrent les données à caractère personnel des clients doivent respecter des exigences supplémentaires associées à leur rôle. Le personnel de Google ne traite en aucun cas les données à caractère personnel des clients sans autorisation.

5. Sous-traitants indirects et sécurité des données

Avant d'engager des Sous-traitants ultérieurs, Google réalise un audit de leurs pratiques en matière de sécurité et de confidentialité, afin de s'assurer qu'ils garantissent un niveau de sécurité et de confidentialité approprié, compte tenu de leur accès aux données et du champ d'application des services pour lesquels ils ont été recrutés. Une fois que Google a évalué les risques que présente le Sous-traitant ultérieur, le Sous-traitant indirect doit s'engager à respecter des conditions contractuelles appropriées en termes de sécurité, de confidentialité et de respect de la vie privée, sous réserve des exigences établies à l'Article 11.3 (Exigences concernant l'engagement de Sous-traitants ultérieurs).

Annexe 3 : Conditions supplémentaires liées à la Législation applicable en matière de protection des données

SECTION A - CONDITIONS SUPPLEMENTAIRES LIÉES A LA LEGISLATION EUROPEENNE EN MATIERE DE PROTECTION DES DONNEES

1. Introduction

La présente Annexe 3A ne s’applique que dans la mesure où la Législation européenne en matière de protection des données s’applique au traitement de Données à caractère personnel du Client

2. Définitions supplémentaires

2.1 Dans cette Annexe 3A :

Autorité de contrôle” désigne, selon le cas : (a) une “autorité de contrôle” telle que définie dans le RGPD de l'UE ; et/ou (b) le “Commissioner” (Préposé) tel que défini dans le RGPD du Royaume-Uni et/ou la LPD suisse.

Clauses contractuelles types” désigne les Clauses contractuelles types du Client et/ou les Clauses contractuelles types (Responsable du traitement/Responsable du traitement, Google Exporter), selon le cas.

Clauses contractuelles types du Client” désigne les Clauses contractuelles types (Responsable du traitement/Sous-traitant), les Clauses contractuelles types (Sous-traitant/Responsable du traitement), et/ou les Clauses contractuelles types (Sous-traitant/Sous-traitant), selon le cas.

Clauses contractuelles types (Responsable du traitement/Sous-traitant)” désigne les conditions disponibles à l'adresse business.safety.google/adsprocessorterms/sccs/c2p.

Clauses contractuelles types (Sous-traitant/Responsable du traitement)” désigne les conditions disponibles à l'adresse business.safety.google/adsprocessorterms/sccs/p2c.

Clauses contractuelles types (Sous-traitant/Sous-traitant)” désigne les conditions disponibles à l'adresse business.safety.google/adsprocessorterms/sccs/p2p.

Clauses contractuelles types (Sous-traitant/Sous-traitant, Google Exporter)” désigne les conditions disponibles à l'adresse business.safety.google/adsprocessorterms/sccs/p2p-intra-group.

EEE” désigne l'Espace économique européen.

Législation européenne” désigne, selon le cas : (a) le droit de l'UE ou des États membres de l'UE (si le RGPD de l'UE s'applique au traitement des Données à caractère personnel du Responsable du traitement) ; (b) la législation du Royaume-Uni ou d'une partie du Royaume-Uni (si le RGPD du Royaume-Uni s'applique au traitement des Données à caractère personnel du Responsable du traitement) ; et (c) la législation suisse (si la LPD suisse s’applique au traitement des Données à caractère personnel du Responsable du traitement).

Pays adéquat” désigne :

(a)pour les données traitées soumises au RGPD de l'UE : l'EEE, ou un pays ou un territoire reconnu comme assurant une protection adéquate des données en vertu du RGPD de l'UE ;

(b) pour les données traitées soumises au RGPD du Royaume-Uni : le Royaume-Uni, ou un pays ou un territoire reconnu comme assurant une protection adéquate des données en vertu du RGPD du Royaume-Uni et du Data Protection Act 2018 ; et/ou

(c) pour les données traitées soumises à la Loi fédérale suisse sur la protection des données (LPD) : la Suisse, ou un pays ou un territoire (i) figurant sur la liste des États dont la législation assure une protection adéquate des données telle que publiée par le Préposé fédéral suisse à la protection des données et à la transparence (PFPDT), ou (ii) reconnu comme assurant une protection adéquate des données par le Conseil fédéral suisse conformément à la LPD suisse, dans chaque cas, autrement que sur la base d'un mode facultatif d'encadrement de protection des données.

Solution de transfert alternative” désigne une solution, autre que les Clauses contractuelles types, qui permet le transfert légal de données à caractère personnel vers un pays tiers, conformément à la Législation européenne en matière de protection des données, par exemple, un cadre de protection des données reconnu comme garantissant que les entités participantes assurent une protection adéquate.

2.2Les termes “importateur de données” et “exportateur de données” ont la signification donnée dans les Clauses contractuelles types applicables.

3.Clients sous-traitants. Si le Client est un sous-traitant, le Client transmettra au responsable du traitement concerné, dans les meilleurs délais et sans retard injustifié, toute communication faisant référence à des Clauses contractuelles types.

4.Législation européenne. Lorsque la Législation européenne en matière de protection des données s'applique au traitement par Google des Données à caractère personnel du Client, les références aux "législations applicables" des Article 5.3 (Respect des Instructions par Google), 6.1.1 (Services de sous-traitance avec fonctionnalité de suppression), 6.1.2(a) (Services de sous-traitance sans fonctionnalité de suppression) et 6.2 (Suppression à l'expiration de la durée), désignent la "Législation européenne".

5.Notifications des Instructions. Google notifiera immédiatement le Client si elle considère : (a) que la Législation européenne ne permet pas à Google de respecter une Instruction ; (b) qu’une Instruction ne respecte pas la Législation européenne en matière de protection des données ; ou (c) que Google n'est pas en mesure de respecter une Instruction, à moins qu'une telle notification soit interdite par la Législation européenne. Si le Client est un sous-traitant, il transmettra immédiatement au responsable du traitement concerné toute communication adressée par Google en vertu du présent paragraphe. Le présent paragraphe 5 (Notifications des Instructions) ne limite en aucun cas les droits et obligations des parties prévus autrement par le Contrat.

6.Audits de Conformité.

6.1 Droits d'audit du Client.

(a) Google autorisera le Client ou un auditeur tiers désigné par le Client à effectuer des audits (y compris des inspections) afin de vérifier que Google respecte ses obligations en vertu des présentes Conditions relatives au traitement des données conformément au paragraphe 6.2 (Conditions commerciales supplémentaires pour les audits) de la présente Annexe 3A. Pendant un audit, Google rendra disponibles toutes les informations nécessaires pour démontrer cette conformité et contribuer aux audits, tel que décrit à l'Article 7.4 (Certification de sécurité) et dans le présent paragraphe 6 (Audits de conformité).

(b) Si les Clauses contractuelles types s'appliquent en vertu du paragraphe 7.1 (Transferts européens limités) de la présente Annexe 3A, Google autorisera le Client (ou un auditeur tiers désignés par le Client) à réaliser des audits, tel que décrit dans les Clauses contractuelles types. Pendant l'audit, Google rendra disponibles toutes les informations requises en vertu des Clauses contractuelles types, conformément au paragraphe 6.2 (Conditions commerciales supplémentaires pour les audits) de la présente Annexe 3A.

6.2 Conditions commerciales supplémentaires pour les audits.

(a) Le Client enverra à Google toute demande d'audit conformément aux paragraphes 6.1(a) ou 6.1(b) de la présente Annexe 3A, via les moyens décrits à l'Article 12.1 (Contacter Google).

(b) Après réception par Google d'une demande en vertu du paragraphe 6.2(a) de la présente Annexe 3A, Google et le Client évoqueront et s'accorderont à l'avance sur la date de début raisonnable, le champ et la durée de tout audit, ainsi que sur les paramètres de sécurité et de confidentialité applicables, conformément aux paragraphes 6.1(a) ou 6.1(b) de la présente Annexe 3A.

(c) Google peut facturer des frais (sur la base des coûts raisonnables de Google) pour tout audit en vertu des paragraphes 6.1(a) ou 6.1(b) de la présente Annexe 3A. En amont des audits, Google fournira au Client des informations supplémentaires sur les frais applicables et la façon dont ils sont calculés. Le Client sera responsable de tous les frais facturés par tout auditeur tiers désigné par le Client pour exécuter un tel audit.

(d) Google peut s'opposer à tout auditeur tiers désigné par le Client pour effectuer un audit en vertu des paragraphes 6.1(a) ou 6.1(b) de la présente Annexe 3A si l'auditeur, de l'avis raisonnable de Google, n'a pas les qualifications appropriées ou n'est pas indépendant, est un concurrent de Google ou est autrement inapproprié de manière flagrante. Toute objection de ce type de la part de Google obligera le Client à nommer un autre auditeur ou à mener l'audit lui-même.

(e) Aucune des présentes Conditions relatives au traitement des données n'impose à Google de divulguer au Client ou à son auditeur tiers, ou d'autoriser le Client ou son auditeur tiers à accéder à : (i) toute donnée de tout autre client d'une Entité Google ; (ii) toute information comptable ou financière interne de toute Entité Google ; (iii) tout secret commercial d'une Entité Google ; (iv) toute information qui, de l’avis raisonnable de Google, pourrait : (A) compromettre la sécurité des systèmes ou des locaux d’une Entité Google ; ou (B) être la cause de la violation par toute Entité Google de ses obligations en vertu de la Législation européenne en matière de protection des données, ou de ses obligations en matière de sécurité et/ou de confidentialité envers le Client ou un tiers ; ou (v) toute information à laquelle le Client ou son auditeur tiers chercherait à accéder pour une raison ou une autre que l’exécution de bonne foi des obligations du Client en vertu de la Législation européenne en matière de protection des données.

7.Transferts de données

7.1 Transferts européens limités. Les parties reconnaissent que la Législation européenne en matière de protection des données ne requiert pas de Clauses contractuelles types ni de Solution de transfert alternative pour traiter les Données à caractère personnel du Client ou pour les transférer dans un Pays adéquat. Si les Données à caractère personnel du Client sont transférées vers tout autre pays, et que la Législation européenne en matière de protection des données s'applique à ces transferts (“Transferts européens limités”):

(a) si Google a adopté une Solution de transfert alternative pour des Transferts européens limités, alors Google informera le Client de la solution concernée et s'assurera que ces Transferts européens limités sont faits conformément à cette solution ; et/ou

(b)si Google n'a pas adopté, ou a informé le Client que Google n'adopte plus, de Solution de transfert alternative pour aucun Transfert européen limité, alors :

i.si l'adresse de Google se trouve dans un Pays adéquat :

(A) les Clauses contractuelles types (Responsable du traitement-Responsable du traitement, Google Exporter) s'appliqueront à ces Transferts européens limités entre Google et des Sous-traitants ultérieurs ; et

(B)cumulativement, si l'adresse du Client ne se trouve pas dans un Pays adéquat, les Clauses contractuelles types (Sous-traitant-Responsable du traitement) s'appliqueront pour les Transferts européens limités entre Google et le Client (que le Client soit un responsable du traitement et/ou un sous-traitant) ; ou

ii. si l'adresse de Google ne se trouve pas dans un Pays adéquat, les Clauses contractuelles types (Responsable du traitement-Sous-traitant) et/ou les Clauses contractuelles types (Sous-Traitant-Sous-Traitant) s'appliqueront (en fonction si le Client est un responsable du traitement et/ou un sous-traitant) pour ces Transferts européens limités entre le Client et Google.

7.2Informations et mesures supplémentaires. Google fournira au Client des informations concernant les Transferts européens limités, y compris des informations sur des mesures supplémentaires visant à protéger les Données à caractère personnel du Client, tel que décrit à l'Article 7.5 (Vérification de la conformité), dans l'Annexe 2 (Mesures de sécurité) et dans d'autres documents au sujet de la nature des Services de sous-traitance et du traitement des Données à caractère personnel du Client (par exemple, les articles du centre d'aide).

7.3Résiliation. Si le Client constate que, sur la base de son utilisation actuelle ou de l'utilisation qu'il prévoit de faire des Services de sous-traitance, de la Solution de transfert alternative et/ou des Clauses contractuelles types, le cas échéant, n'offrent pas de protection appropriée pour les Données à caractère personnel du Client, alors le Client peut immédiatement mettre un terme au Contrat par souci de commodité en informant Google par écrit.

7.4Adoption d'une solution de transfert alternative et certification. Des informations concernant l'adoption ou la certification de Google et/ou de ses Sociétés affiliées pour toute Solution de transfert alternative sont disponibles à l'adresse https://business.safety.google/adsdatatransfers.

8. Sous-traitants ultérieurs. En cas de recours à un Sous-traitant ultérieur, Google s'assurera, par le biais d'un contrat écrit que si le traitement des données à caractère personnel du client est soumis à la Législation européenne en matière de protection des données, les obligations de protection des données dans les présentes Conditions relatives au traitement des données (telles qu'énoncées à l'Article 28(3) du RGPD, le cas échéant) s'appliquent au Sous-traitant ultérieur.

9. Registre des traitements de Google.

Le Client reconnaît que Google est tenue par le RGPD de :

(a) recueillir et conserver certaines informations, y compris le nom et les coordonnées de chaque sous-traitant et/ou responsable du traitement pour le compte duquel Google agit, et (le cas échéant) du représentant local et du délégué à la protection des données dudit sous-traitant ou responsable du traitement ; et

(b) mettre ces informations à la disposition de toute Autorité de contrôle. En conséquence, le Client, sur demande et le cas échéant, fournira de telles informations à Google via l'interface utilisateur des Services de sous-traitance ou par tout autre moyen fourni par Google, et utilisera cette interface utilisateur ou d'autres moyens pour garantir que toutes les informations fournies sont exactes et à jour.

10. Clauses contractuelles types

10.1Ordre de priorité. En cas de conflit ou d'incohérence entre les Clauses contractuelles types du Client, la présente Annexe 3A, le reste des présentes Conditions relatives au traitement des données, les Clauses contractuelles types du Client prévaudront.

10.2Aucune modification des Clauses contractuelles types. Rien dans le Contrat (y compris les présentes Conditions relatives au traitement des données) ne vise à modifier ou contredire les Clauses contractuelles types ni à nuire aux droits fondamentaux ou aux libertés des personnes concernées en vertu de la Législation européenne en matière de protection des données.

11. Modifications des Clauses contractuelles types. Google pourra uniquement modifier les Clauses Contractuelles types conformément aux Articles 15.2(b) à 15.2(d) (Modifications des Conditions relatives au traitement des données) ou pour incorporer une nouvelle version des Clauses contractuelles types pouvant être adoptée conformément à la Législation européenne en matière de protection des données, dans les deux cas d'une manière n'affectant pas la validité des Clauses contractuelles types conformément à la Législation européenne en matière de protection des données.

SECTION B - CONDITIONS SUPPLEMENTAIRES LIÉES AUX LOIS DES ETATS DES ETATS-UNIS EN MATIERE DE PROTECTION DES DONNEES

1. Introduction

Google pourra proposer et le Client pourra activer certains paramètres, configurations ou autres fonctionnalités du produit pour les Services du Sous-traitant en lien avec un traitement restreint des données, tel que décrit dans la documentation disponible à l’adresse business.safety.google/rdp et régulièrement mise à jour ("Traitement restreint des données"). La présente Annexe 3B reflète l'accord des parties sur le traitement des Données à caractère personnel du Client et des Données anonymisées (telles que définies ci-dessous) dans le cadre du Contrat et conformément aux Lois des Etats des Etats-Unis en matière de protection des données. La présente Annexe 3B n’est applicable que dans la mesure où chacune des Lois des Etats des Etats-Unis en matière de protection des données s'appliquent.

2. Définitions supplémentaires et interprétation

2.1 Dans la présente Annexe 3B :

(a)Données anonymisées” désigne les données qui sont "anonymisées" (au sens de la CCPA) et les "données anonymisées" (au sens des autres Lois des Etats des Etats-Unis en matière de protection des données), lorsqu'elles sont divulguées par une partie à l'autre.

(b)Instructions RDP” désigne, collectivement, les Instructions (telles que définies dans les présentes Conditions relatives au traitement des données) et les instructions données par le Client à Google de traiter les Données à caractère personnel du Client uniquement en conformité avec les Lois des Etats des Etats-Unis en matière de protection des données applicables aux prestataires de services et aux sous-traitants.

(c)Services RDP” désigne les services du Sous-traitant dans le cadre du régime de Traitement restreint des données.

(d) les termes “entreprise”, “consommateur”, “informations personnelles”, “vente(s)”, “vendre”, “prestataire de services”, et “partager”, tels qu'utilisés dans la présente Annexe 3B, ont la signification qui leur est donnée par les Lois des Etats des Etats-Unis en matière de protection des données.

(e) Le Client est seul responsable du respect de chacune des Lois des Etats des Etats-Unis en matière de protection des données dans le cadre de son utilisation des services Google, y compris le Traitement restreint des données.

3. Dispositions des Lois des Etats des Etats-Unis en matière de protection des données (sous le régime du Traitement restreint des données)

Pour les Données à caractère personnel du Client traitées dans le cadre du Traitement restreint des données, et dans la mesure où une ou plusieurs des Lois des Etats des Etats-Unis en matière de protection des données s'appliquent au traitement des Données à caractère personnel du Client :

3.1Traitement des Données

3.1.1Rôles et conformité réglementaire ; Autorisation.

(a)Responsabilités du Sous-traitant et du Responsable de traitement. Les parties reconnaissent et acceptent que :

i.l’Annexe 1 des présentes Conditions relatives au traitement des données décrit l'objet et les détails du traitement des Données à caractère personnel du Client, sous réserve des modifications suivantes :

(1)toutes les références aux "services de sous-traitance" sont remplacées par les "services RDP" ; et

(2)la section "Types de données à caractère personnel" est remplacée par le texte suivant : "Les Données à caractère personnel du Client peuvent inclure tous types de Données à caractère personnel décrits dans les Lois des Etats des Etats-Unis en matière de protection des données".

ii.Google est un prestataire de services et un sous-traitant des Données à caractère personnel du Client en vertu des Lois des Etats des Etats-Unis en matière de protection des données; et

iii.le Client est un responsable du traitement ou un sous-traitant, selon le cas, des Données à caractère personnel du Client au regard des Lois des Etats des Etats-Unis en matière de protection des données.

(b)Clients sous-traitants. Si le Client est un sous-traitant :

i.le Client garantit en permanence que le responsable du traitement concerné a autorisé : (A) les Instructions, (B) la désignation par le Client de Google comme autre sous-traitant, et (C) l'engagement par Google de sous-traitants tels que décrits au paragraphe 3.4 (Sous-traitants) de la présente Annexe 3B.

ii.le Client transmettra immédiatement au responsable du traitement concerné tout avis fourni par Google en vertu de l’Article 7.2.1 (Notification d'incident) des présentes Conditions relatives au traitement des données et du paragraphe 3.4 (Sous-traitants) de la présente Annexe 3B.

iii.le Client peut mettre à la disposition du responsable du traitement concerné toute information mise à disposition par Google en vertu des paragraphes 3.2(b) (Droits d'audit du Client) et 3.4 (Sous-traitants) de la présente Annexe 3B.

3.1.2Instructions du Client pour les Services RDP. En concluant la présente Annexe 3B et dans le cadre de la fourniture des Services RDP, le Client donne instruction à Google de traiter les Données à caractère personnel du Client uniquement en accord avec les Instructions RDP.

3.1.3Respect des Instructions RDP par Google. Dans le cadre de la fourniture des Services RDP, Google se conformera aux Instructions RDP, sauf si les Lois des Etats des Etats-Unis en matière de protection des données l'interdisent.

3.1.4 Produits supplémentaires. Si le Client utilise un produit, un service ou une application, fourni par Google ou un tiers qui : (a) ne fait pas partie des Services RDP ; et (b) est accessible pour être utilisé dans l'interface utilisateur des Services RDP ou est autrement intégré aux Services RDP (un “Produit supplémentaire”), les Services RDP peuvent permettre à ce Produit supplémentaire d'accéder aux Données à caractère personnel du Client pour garantir l'interopérabilité du Produit supplémentaire avec les Services RDP. Pour plus de clarté, la présente Annexe 3B ne s'applique pas au traitement des données à caractère personnel en relation avec la fourniture de tout Produit supplémentaire utilisé par le Client, y compris les données à caractère personnel transmises vers ou à partir de ce Produit supplémentaire.

3.2Sécurité des données.

3.2.1Responsabilités du Client en matière de sécurité et évaluation.

(a)Responsabilités du Client en matière de sécurité. Outre les obligations du Client en matière de sécurité prévues à l'Article 7.3.1 des présentes Conditions relatives au traitement des données, le Client convient que, sans préjudice des obligations de Google en vertu des Articles 7.1 (Mesures de sécurité et assistance de Google) et 7.2 (Incidents liés aux données) des présentes Conditions relatives au traitement des données, le Client est responsable de son utilisation des Services RDP, y compris : (1) en faisant un usage approprié des Services RDP afin d’assurer un niveau de sécurité adapté au risque en ce qui concerne les Données à caractère personnel du Client ; et (2) en sécurisant les identifiants d'authentification des comptes, les systèmes et les appareils que le Client utilise pour accéder aux Services RDP.

(b)Droits d'audit du client.

i.Le Client peut effectuer un audit pour vérifier le respect par Google de ses obligations en vertu de la présente Annexe 3B en demandant et en consultant (1) un certificat délivré suite à une vérification de la sécurité par le biais d'un audit mené par un auditeur tiers (par exemple, une certification SOC 2 Type II ou ISO/IEC 27001 ou une certification comparable ou toute autre certification de sécurité faisant suite à un audit réalisé par un auditeur tiers, tel que décidé par le Client et Google) dans un délai de 12 mois à compter de la date de la demande du Client et (2) toute autre information que Google considère raisonnablement nécessaire pour permettre au Client de vérifier cette conformité.

ii.Alternativement, Google peut, à sa seule discrétion et en réponse à une demande du Client, faire diligenter par un tiers un audit afin de démontrer que Google respecte ses obligations au titre de la présente Annexe 3B. Au cours d'un tel audit, Google mettra à la disposition de l'auditeur tiers toutes les informations nécessaires pour démontrer cette conformité. Lorsque le Client sollicite un audit, Google pourra facturer des frais (correspondant aux coûts raisonnables de Google) pour la réalisation de cet audit. Google fournira au Client de plus amples détails sur les frais applicables, ainsi que sur la base de leur calcul, avant la réalisation de l’audit. Le Client sera responsable de tous les frais facturés par tout auditeur tiers désigné par le Client pour effectuer un tel audit.

iii.Rien dans la présente Annexe 3B n'oblige Google à divulguer au Client ou à son auditeur tiers les informations suivantes, ni à autoriser le Client ou son auditeur tiers à accéder aux informations suivantes :

(1)données de tout autre client d'une Entité Google ;

(2)toute information comptable ou financière interne d'une Entité Google ;

(3)tout secret commercial d'une Entité Google ;

(4)toute information qui, de l'avis raisonnable de Google, pourrait : (A) compromettre la sécurité des systèmes ou des locaux d'une Entité Google ; ou (B) amener une Entité Google à manquer à ses obligations en vertu des Lois des Etats des Etats-Unis en matière de protection des données ou ses obligations de sécurité et/ou de confidentialité envers le Client ou un tiers ; ou

(5)toute information à laquelle le Client ou son auditeur tiers chercherait à accéder pour une raison autre que l'exécution de bonne foi des obligations du Client en vertu des Lois des Etats des Etats-Unis en matière de protection des données.

3.3Droits des personnes concernées. Pour les besoins de la présente Annexe 3B, Google appliquera les procédures prévues à l’Article 9 (Demandes des personnes concernées) dans la mesure où ces demandes, demandes d'assistance ou de rectification s'appliquent aux Services RDP.

3.4Sous-traitants.

(a) Le Client autorise Google à faire appel à d'autres entités en tant que sous-traitants dans le cadre de la fourniture des Services RDP. Lorsqu’elle fait appel à un sous-traitant, Google s'engage à :

A. s'assurer, par le biais d'un contrat écrit, que : (A) le sous-traitant n'accède aux Données à caractère personnel du Client et ne les utilise que dans la mesure nécessaire à l'exécution des obligations qui lui sont confiées, et ce conformément au Contrat (en ce compris la présente Annexe 3B) ; et (B) si le traitement des Données à caractère personnel du Client est soumis aux Lois des Etats des Etats-Unis en matière de protection des données, s'assurer que les obligations de protection des données de la présente Annexe 3B sont opposables au sous-traitant ;

B. pour tout nouveau sous-traitant, notifier ce nouveau sous-traitant lorsque les Lois des Etats des Etats-Unis en matière de protection des données l'exige et, si cela est requis en vertu des les Lois des Etats des Etats-Unis en matière de protection des données, donner au Client la possibilité de s'opposer au recours à ce sous-traitant ; et

C. rester pleinement responsable de l’exécution de toutes les obligations sous-traitées, ainsi que de tous les actes et omissions du sous-traitant.

(b) Le Client peut s'opposer à tout nouveau sous-traitant en résiliant de plein droit le Contrat sur notification écrite à Google, à condition que le Client fournisse ladite notification dans les 90 jours suivant la date à laquelle il a été informé du recours à un nouveau sous-traitant, tel que décrit à l'article 3.4(a)(ii) des présentes.

4.Dispositions des Lois des Etats des Etats-Unis en matière de protection des données.

4.1Données anonymisées. En ce qui concerne les Données à caractère personnel du Client traitées avec ou sans Traitement restreint de données, et dans la mesure où une ou plusieurs Lois des Etats des Etats-Unis en matière de protection des données s'appliquent au traitement des Données à caractère personnel du Client, chaque partie se conformera aux exigences de traitement des données anonymisées prévues aux Lois des Etats des Etats-Unis en matière de protection des données, et ce pour l’ensemble des données anonymisées qu'elle reçoit de l'autre partie dans le cadre du Contrat. Aux fins du présent paragraphe 4, les Données à caractère personnel du Client désignent toutes les données à caractère personnel traitées par une partie dans le cadre du Contrat relativement à la fourniture ou à l'utilisation des Services du Sous-traitant.

5. Obligations de Google au titre du CCPA.

5.1En ce qui concerne les Données à caractère personnel du Client traitées dans le cadre du Traitement restreint des données et dans la mesure où le CCPA s'applique à un tel traitement des Données à caractère personnel du Client, Google agira en tant que prestataire de services du Client, et en tant que tel, sous réserve de disposition contraire pour les prestataire de services prévues par le CCPA, tel que raisonnablement établi par Google :

(i)Google ne vendra pas et ne partagera pas les Données à caractère personnel du Client obtenues du Client dans le cadre du Contrat ;

(ii)Google ne conservera, n'utilisera ni ne divulguera les Données à caractère personnel du Client (en ce compris en dehors de la relation commerciale directe entre Google et le Client), autrement que dans un but commercial au sens du CCPA pour le compte du Client et dans le but spécifique de fournir les Services RDP, tel que décrit dans la documentation disponible à l'adresse business.safety.google/rdp, ponctuellement mise à jour ;

(iii)Google ne combinera pas les Données à caractère personnel du Client qu'il reçoit du Client ou en son nom avec (a) des informations personnelles que Google reçoit d'une ou plusieurs autres personnes ou en leur nom, ou (b) des informations personnelles collectées dans le cadre de ses propres interactions avec un consommateur, comme décrit dans la documentation disponible à l'adresse business.safety.google/rdp , sauf si le CCPA en dispose autrement ;

(iv)Google traitera les Données à caractère personnel du Client avec la finalité spécifique de fournir les Services RDP, comme décrit au Contrat et dans la documentation correspondante (par exemple, les articles du centre d'aide), ou dans la mesure où cela est autorisé par le CCPA, et les parties conviennent que le Client met les Données à caractère personnel du Client à la disposition de Google pour à cette fin ;

(v)Google autorisera la réalisation d’audits pour vérifier le respect par Google de ses obligations au titre de la présente Annexe 3B, conformément au paragraphe 3.2.1(b) (Droits d'audit du Client) de la présente Annexe 3B ;

(vi)Google informera le Client si Google estime qu'elle n’est plus en mesure de respecter ses obligations en vertu du CCPA. Le présent paragraphe 5.1(vi) ne limite pas les droits et obligations de l'une ou l'autre des parties prévus dans le reste du Contrat ;

(vii) Si le Client a des raisons de suspecter que Google traite les Données à caractère personnel du Client de manière non autorisée, le Client a le droit d'en informer Google par le biais des méthodes décrites à l’adresse privacy.google.com/businesses/processorsupport, et les parties travailleront ensemble de bonne foi pour remédier aux activités de traitement prétendument illicites, si nécessaire ; et

(viii)Google se conformera aux obligations applicables en vertu du CCPA et fournira le même niveau de protection de la vie privée que celui exigé par le CCPA.

5.2 En ce qui concerne les Données à caractère personnel du Client n’étant pas traitées sous le régime du Traitement restreint des données, et dans la mesure où la CCPA s'applique au traitement des Données à caractère personnel du Client :

(i)Google traitera lesdites Données à caractère personnel du Client avec la finalité spécifique de fournir les Services du Sous-traitant, comme décrit plus en détail au Contrat et dans la documentation correspondante (par exemple, les articles du centre d'aide), ou dans la mesure où cela est autorisé par le CCPA, et les parties conviennent que le Client met lesdites Données à caractère personnel du Client à la disposition de Google à cette fin ;

(ii)Google autorisera la réalisation d’audits pour vérifier le respect par Google de ses obligations au titre de la présente Annexe 3B, conformément au paragraphe 3.2.1 (b) (Droits d'audit du client) des présentes ;

(iii)Google informera le Client si elle estime qu’elle n’est plus en mesure de respecter ses obligations au titre du CCPA ;

(iv)Si le Client a des raisons de suspecter que Google traite les Données à caractère personnel du Client de manière non autorisée, le Client a le droit d'en informer Google par le biais des méthodes décrites à l’adresse privacy.google.com/businesses/processorsupport, et les parties travailleront ensemble de bonne foi pour remédier aux activités de traitement prétendument illicites, si nécessaire ; et

(v)Google se conformera aux obligations applicables en vertu du CCPA et fournira le même niveau de protection de la vie privée que celui exigé par le CCPA.

6.Modifications de la présente Annexe 3B. En complément de l'Article 15 des Conditions relatives au traitement des données (Modifications des présentes Conditions relatives au traitement des données), Google pourra modifier la présente Annexe 3B sans préavis si la modification (a) est basée sur la législation applicable, la réglementation en vigueur, une ordonnance du tribunal ou une directive émise par un organisme régulateur ou une administration gouvernementale, ou (b) n'a pas un impact négatif important sur le Client en vertu des Lois des Etats des Etats-Unis en matière de protection des données, tel que raisonnablement déterminé par Google.

Conditions relatives au traitement des données Google Ads, version 7.0

1er septembre 2023

Versions précédentes