Conditions de protection des données Google Ads applicables aux Co-Responsables du Traitement

Google et la partie co-contractante qui accepte les présentes conditions (« le Client ») ont conclu un accord relatif à la fourniture des Services du Responsable du traitement (ci-après « l’Accord » tel que modifié périodiquement).

Les présentes Conditions de protection des données Google Ads applicables aux Co-Responsables du Traitement (y compris l'annexe « Conditions du Responsable du Traitement ») sont conclues entre Google et le Client et complètent l’Accord. Les présentes Conditions du Responsable du Traitement entreront en vigueur et remplaceront toutes les conditions précédemment applicables à leur objet, à compter de la Date d’entrée en vigueur des Conditions du Responsable du Traitement.

Si vous acceptez les présentes Conditions du Responsable du Traitement pour le compte du Client, vous garantissez que : (a) vous jouissez de la capacité juridique nécessaire pour engager le Client au respect des présentes Conditions du Responsable du Traitement ; (b) vous avez lu et compris les présentes Conditions du Responsable du Traitement; et (c) vous acceptez, pour le compte du Client, les présentes Conditions du Responsable du Traitement. Si vous n’avez pas la capacité juridique d’engager le Client, veuillez ne pas accepter les présentes Conditions du Responsable du Traitement.

1. Introduction

Les présentes Conditions du Responsable du Traitement reflètent l’accord des parties sur le traitement de certaines données dans le cadre de la Législation Européenne en matière de protection des données et de certaines Législations Non-Européennes en matière de protection des données.

2. Définitions et Interprétation

2.1 Dans le cadre des présentes Conditions du Responsable du Traitement :

« Conditions Supplémentaires pour la Législation Non-Européenne en matière de protection des données » désigne les conditions supplémentaires visées à l'Annexe 1, qui reflètent l'accord des parties sur les conditions régissant le traitement de certaines données dans le cadre de certaines Législations Non-Européennes en matière de protection des données.

« Société affiliée » désigne une entité qui, directement ou indirectement, contrôle une des parties, est contrôlée par elle ou est sous contrôle commun avec elle.

« Personnes concernées par les Données du Responsable du Traitement » désigne une personne concernée par les Données personnelles du Responsable du Traitement.

« CCTs Responsable du Traitement » signifie les clauses contractuelles types disponibles à l'adresse privacy.google.com/businesses/controllerterms/mccs, qui sont des clauses standard de protection des données pour le transfert de données personnelles à des responsables du traitement établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données, comme décrit dans l'article 46 du RGPD de l'UE.

« Données personnelles du Responsable du Traitement » désigne toute donnée personnelle traitée par une partie en vertu de l’Accord, et en rapport avec sa fourniture ou son utilisation (le cas échéant) des Services du Responsable du Traitement.

« Services du Responsable du Traitement » désigne les services énumérés à l’adresse suivante : privacy.google.com/businesses/adsservices.

« EEE » désigne l'Espace économique européen.

Le « RGPD de l'UE » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE.

« Données personnelles du Responsable de Traitement Européen » désigne les Données personnelles du Responsable du Traitement de Personnes concernées par les Données du Responsable du Traitement situées dans l'EEE ou en Suisse.

« Responsable du Traitement Final » signifie, pour chaque partie, le responsable du traitement final des Données personnelles du Responsable du Traitement.

La « Législation Européenne en matière de protection des données » désigne, selon le cas : (a) le RGPD ; et/ou (b) la Loi Fédérale sur la Protection des Données du 19 juin 1992 (Suisse).

« RGPD » signifie, selon le cas : (a) le RGPD de l’UE ; et/ou (b) le RGDP du Royaume-Uni.

« Google » désigne l’Entité Google qui est partie à l’Accord.

« Responsables du Traitement Finaux de Google » signifie les Responsables du Traitement Finaux des Données Personnelles du Responsable du Traitement traitées par Google.

L’« Entité Google » désigne Google LLC (anciennement Google Inc.), Google Ireland Limited ou toute autre Société affiliée de Google LLC.

La « Législation Non-Européenne en matière de protection des données » désigne les lois en matière de protection des données ou de la vie privée en vigueur en dehors de l'EEE, de la Suisse et du Royaume-Uni.

La « Date d’entrée en vigueur des Conditions du Responsable du Traitement » désigne, le cas échéant :

(a) le 25 mai 2018, si le Client a cliqué sur accepter, ou si les parties ont autrement accepté les présentes Conditions du Responsable du Traitement avant ou à cette date ; ou

(b) la date à laquelle le Client a cliqué sur accepter, ou à laquelle les parties ont autrement accepté les présentes Conditions du Responsable du Traitement si cette date survient après le 25 mai 2018.

« Données personnelles du Responsable du Traitement du Royaume-Uni » signifie les Données personnelles du Responsable du Traitement des Personnes concernées par les Données du Responsable du Traitement situées au Royaume-Uni.

« RGPD du Royaume-Uni » signifie le RGPD de l'UE tel qu’amendé et incorporé dans la législation du Royaume-Uni en application du European Union (Withdrawal) Act 2018, si ce dernier est en vigueur.

2.2 Les termes « responsable du traitement », « personnes concernées », « données personnelles », « traitement » et « sous-traitant » tel qu’utilisés dans les présentes Conditions du Responsable du Traitement ont les significations données dans le RGPD, et les termes « importateur de données » et « exportateur de données » ont la signification qui leur est donnée dans les CCTs Responsable du Traitement.

2.3 Les termes « inclure » et « y compris » signifient « y compris, mais sans limitations ». Les exemples utilisés dans les présentes Conditions du Responsable du Traitement ne sont donnés qu’à titre illustratif et ne constituent pas les seuls exemples d’un concept donné.

2.4 Toute référence à un cadre juridique, loi ou autre texte législatif est une référence à sa version en vigueur telle que modifiée de temps à autre.

2.5 Si les présentes Conditions du Responsable du Traitement sont traduites dans une autre langue et qu'il existe une divergence entre le texte anglais et le texte traduit, le texte anglais fera foi.

3. Application des présentes Conditions du Responsable du Traitement

3.1 Application de la Législation Européenne en matière de protection des données. Les sections 4 (Rôles et Restrictions sur le Traitement) à 6 (CTTs Responsable du Traitement) (inclus) ne s’appliqueront que dans la mesure où la Législation Européenne en matière de protection des données s’applique au traitement des Données personnelles du Responsable de Traitement.

3.2 Application aux Services du Responsable de Traitement. Les présentes Conditions du Responsable du Traitement ne s’appliqueront qu’aux Services du Responsable du Traitement pour lesquels les parties ont accepté les présentes Conditions du Responsable du Traitement (par exemple : (a) les Services du Responsable du Traitement pour lesquels le Client a cliqué pour accepter les présentes Conditions du Responsable du Traitement ; ou (b) si l’Accord incorpore les présentes Conditions du Responsable du Traitement par référence, les Services de Responsable du Traitement faisant l’objet de l’Accord).

3.3 Intégration des Conditions Supplémentaires pour la Législation Non-Européenne en matière de protection des données. Les Conditions Supplémentaires pour la Législation Non-Européenne en matière de protection des données complètent les présentes Conditions du Responsable du Traitement.

4. Rôles et Restrictions sur le Traitement

4.1 Responsables du Traitement indépendants. Sous réserve de la Section 4.3 (Responsables du Traitement Finaux), chaque partie :

(a) est un responsable du traitement des Données personnelles du Responsable du Traitement indépendant en vertu de la Législation Européenne en matière de protection des données ;

(b) déterminera individuellement les finalités et les moyens du traitement des Données personnelles du Responsable du Traitement ; et

(c) se conformera aux obligations qui lui sont applicables conformément à la Législation Européenne en matière de protection des données concernant le traitement des Données personnelles du Responsable du Traitement.

4.2 Restrictions sur le Traitement. La Section 4.1 (Responsables du Traitement indépendants) n’aura aucun effet sur les restrictions applicables aux parties quant à leurs droits d’utilisation ou de traitement des Données personnelles du Responsable du Traitement en vertu de l’Accord.

4.3 Responsables du Traitement Finaux. Sans réduire les obligations de chaque partie au titre des présentes Conditions du Responsable du Traitement, chaque partie reconnaît que: (a) les Sociétés affiliées ou clients de l'autre partie peuvent être des Responsables du Traitement Finaux; et (b) l'autre partie peut agir en tant que sous-traitant au nom de ses Responsables du Traitement Finaux. Les Responsables du Traitement Finaux de Google sont: (i) pour les Données personnelles du Responsable de Traitement Européen traitées par Google, Google Ireland Limited ; et (ii) pour les Données personnelles du Responsable du Traitement du Royaume-Uni traitées par Google, Google LLC. Chaque partie veillera à ce que ses Responsables du Traitement Finaux respectent les Conditions du Responsable du Traitement, y compris (le cas échéant) les CCTs Responsable du Traitement.

5. Transferts de données

Chaque partie peut transférer les Données personnelles du Responsable du Traitement vers des pays tiers si elle respecte les dispositions relatives au transfert de données personnelles vers des pays tiers prévues par la Législation Européenne applicable en matière de Protection des données.

6. CTTS Responsable du Traitement

6.1 Transferts de Données Personnelles du Responsable du Traitement Européen au Client. Dans la mesure où :

(a) Google transfère des Données personnelles du Responsable du Traitement Européen au Client; et

(b) Le Client est établi dans un pays tiers qui n'est pas soumis à une décision d'adéquation en vertu de la Législation Européenne en matière de protection des données,

Le Client en tant qu'importateur de données sera considéré comme ayant conclu des CCTs Responsable du Traitement avec Google Ireland Limited (le Responsable du Traitement Final de Google applicable) agissant en tant qu'exportateur de données et les transferts seront soumis aux CCTs Responsable du Traitement.

6.2 Transferts de Données personnelles du Responsable du Traitement du Royaume-Uni au Client. Dans la mesure où:

(a) Google transfère les Données personnelles du Responsable du Traitement du Royaume-Uni au Client; et

(b) Le Client est établi dans un pays tiers qui n'est pas soumis à une décision d'adéquation en vertu du RGPD du Royaume-Uni,

Le Client en tant qu'importateur de données sera considéré comme ayant conclu des CTTs Responsable du Traitement avec Google LLC (le Responsable du Traitement Final de Google pertinent) agissant en tant qu'exportateur de données et les transferts seront soumis aux CCTs Responsable du Traitement.

6.3 Transferts de Données Personnelles du Responsable du Traitement Européen vers Google. Les parties reconnaissent que dans la mesure où le Client transfère les Données personnelles du Responsable du Traitement Européen à Google, les CTTS Responsable du Traitement ne sont pas nécessaires car Google Ireland Limited (le Responsable du Traitement Final de Google applicable) est établi en Irlande et de tels transferts sont donc autorisés en vertu de la Législation Européenne en matière de protection des données. Cela n'affecte pas les obligations de Google en vertu de la Section 5 (Transferts de données).

6.4 Transferts de Données Personnelles du Responsable du Traitement du Royaume-Uni à Google. Dans la mesure où le Client transfère les Données Personnelles du Responsable du Traitement du Royaume-Uni à Google, le Client en tant qu'exportateur de données sera considéré comme ayant conclu les CTTs Responsable du Traitement avec Google LLC (le Responsable du Traitement Final de Google concerné) agissant en tant qu'importateur de données et les transferts seront soumis aux CTTS Responsable du Traitement, car Google LLC est établie aux États-Unis et ces transferts sont donc effectués vers un pays tiers qui n'est pas soumis à une décision d'adéquation en vertu du RGPD du Royaume-Uni.

6.5 Clauses Commerciales Supplémentaires pour les CCTs Responsable du Traitement. Les sections 6.6 (Contacter Google) à 6.9 (Responsables du Traitement Tiers) sont des clauses commerciales supplémentaires relatives aux CCTs Responsable du Traitement, comme le permet la Clause VII (Modification de ces clauses) des CTTS Responsable du Traitement. Aucune disposition des sections 6.6 (Contacter Google) à 6.9 (Responsables du Traitement Tiers) ne modifie les droits ou obligations des parties aux CCTs Responsable du Traitement.

6.6 Contacter Google. Le Client peut contacter Google Ireland Limited et/ou Google LLC en rapport avec les CCTs Responsable du Traitement à l'adresse https://support.google.com/policies/troubleshooter/9009584 ou par tout autre moyen fourni par Google de temps à autre, y compris aux fins de :

(a) la Clause II(e) des CCTs Responsable du Traitement, dans la mesure où Google LLC agit en tant qu'importateur de données et où le Client agit en tant qu'exportateur de données dans le cadre des CCTs Responsable du Traitement; et

(b) demander un Audit conformément à la Section 6.8(a) ci-dessous.

6.7 Répondre aux Demandes des Personnes Concernées. Aux fins de la clause I(d), des CCTs Responsable du Traitement, l'importateur de données concerné sera chargé de répondre aux demandes des personnes concernées et de l'autorité concernant le traitement des Données Personnelles du Responsable du Traitement par l'importateur de données.

6.8 Examens, Audits et Certifications de Conformité.

(a) Si les CCTs Responsable du Traitement s'appliquent en vertu de la présente section 6 (CTTs Responsable du Traitement), l'importateur de données concerné autorisera l'exportateur de données concerné ou un agent d'inspection ou un auditeur tiers désigné par l'exportateur de données à effectuer une revue, un audit et/ou une certification comme décrit dans la Clause II g) des CCTs Responsable du Traitement ("Audit") conformément à la présente section 6.8 (Examens, Audits et Certifications de Conformité).

(b) Après réception par l'importateur de données d'une demande d'Audit, l'importateur de données et l'exportateur de données discutent et conviennent à l'avance d'une date de début, de la portée et de la durée raisonnables de l'Audit et des contrôles de sécurité et de confidentialité applicables à celui-ci.

(c) L'importateur de données peut facturer des frais (basés sur les coûts raisonnables de l'importateur de données) pour tout Audit. L'importateur de données fournira à l'exportateur de données des détails supplémentaires sur les frais applicables et la base de leur calcul, avant l'Audit. L'exportateur de données sera responsable de tous les frais facturés par tout agent d'inspection ou auditeur tiers désigné par l'exportateur de données pour réaliser l'Audit.

(d) L'importateur de données peut s'opposer à ce que tout agent d'inspection ou auditeur tiers désigné par l'exportateur de données effectue un Audit si l'agent d'inspection ou l'auditeur n'est pas, de l'avis raisonnable de l'importateur de données, suffisamment qualifié ou indépendant, est un concurrent de l'importateur de données ou est manifestement inadapté pour tout autre raison. Une telle objection de l'importateur de données obligera l'exportateur de données à désigner un autre agent d'inspection ou un auditeur ou à effectuer lui-même l'Audit.

(e) L'importateur de données ne sera pas tenu de divulguer à l'exportateur de données ou à son agent d'inspection ou auditeur tiers, ni de permettre à l'exportateur de données ou à son agent d'inspection ou auditeur tiers d'accéder à:

(i) toute donnée de tout client de l'importateur de données ou de l'une de ses Sociétés affiliées;

(ii) toute information comptable ou financière interne de l'importateur de données ou de l'une de ses Sociétés affiliées;

(iii) tout secret commercial de l'importateur de données ou de l'une de ses Sociétés affiliées;

(iv) toute information qui, de l'avis raisonnable de l'importateur de données, pourrait: (A) compromettre la sécurité des systèmes ou des locaux de l'importateur de données ou de l'une de ses Sociétés affiliées; ou (B) amener l'importateur de données ou l'une de ses Sociétés affiliées à enfreindre ses obligations au titre de la Législation Européenne en matière de protection des données ou ses obligations en matière de sécurité et/ou de confidentialité envers l'exportateur de données ou tout tiers; ou

(v) toute information à laquelle l'exportateur de données ou son agent d'inspection ou auditeur tiers cherche à accéder pour une raison autre que le respect de bonne foi des obligations de l'exportateur de données en vertu de la Législation Européenne en matière de protection des données.

6.9 Responsables du Traitement Tiers. Dans la mesure où Google LLC agit en tant qu'importateur de données et que le Client agit en tant qu'exportateur de données dans le cadre des CCTs Responsable du Traitement en vertu de la Section 6.4 (Transferts des Données personnelles du Responsable du Traitement du Royaume-Uni à Google), Google informe le Client aux fins de la Clause II (i) que les Données personnelles du Responsable du Traitement du Royaume-Uni peuvent être transférées à des Responsables du Traitement tiers lorsque le Client le demande, y compris par le biais de l'utilisation des Services du Responsable du Traitement ou de leur intégration à ceux-ci.

7. Responsabilité

7.1Plafond de Responsabilité. Si l’Accord est régi par les lois :

(a) d’un État des États-Unis d’Amérique, alors, nonobstant tout ce qui figure dans l’Accord, la responsabilité totale de l’une des parties vis-à-vis de l’autre partie dans le cadre ou en relation avec les présentes Conditions du Responsable du Traitement sera limitée à la valeur monétaire ou au paiement maximum auquel la responsabilité de cette partie est plafonnée en vertu de l’Accord (par souci de clarté, toute exclusion de demande d’indemnisation issue de toute clause limitative de responsabilité de l’Accord ne sera pas applicable aux demandes d’indemnisations faites en application de l’Accord et relatives à la Législation Européenne en matière de protection des données ou à la Législation Non-Européenne en matière de protection des données) ; ou

(b) d’une juridiction qui n’est pas un État des États-Unis d’Amérique, alors la responsabilité des parties dans le cadre ou en relation avec les présentes Conditions du Responsable du Traitement sera soumise aux exclusions et aux limitations de responsabilité figurant dans l’Accord.

7.2Responsabilité si les CCTS Responsable du Traitement s'appliquent. Si les CCTs Responsable du Traitement s'appliquent en vertu de l'article 6 (CTTS Responsable du Traitement), alors la responsabilité totale combinée de:

(a) Google, Google LLC et Google Ireland Limited envers le Client; et

(b) Le Client envers Google, Google LLC et Google Ireland Limited,

dans le cadre de l'Accord ou en relation avec celui-ci, et des CCTs Responsable du Traitement combinés seront soumis à la Section 7.1 (Plafond de Responsabilité). La clause III(a) des CCTs Responsable du Traitement n'affecte pas la phrase précédente.

8. Tiers Bénéficiaires

Lorsque Google LLC et/ou Google Ireland Limited ne sont pas parties à l'Accord mais sont parties aux CCTs Responsable du Traitement qui s'appliquent en vertu de la section 6 (CCTs Responsable du Traitement), Google LLC et/ou Google Ireland Limited (selon le cas) sera un tiers bénéficiaire des Sections 4.3 (Responsables du Traitement Finaux), 6 (CCTs Responsable du Traitement) et 7.2 (Responsabilité si les CCTs Responsable du Traitement s'appliquent). Dans la mesure où la présente section 8 (Tiers Bénéficiaire) est en conflit ou en contradiction avec toute autre clause de l'Accord, la présente section 8 (Tiers Bénéficiaire) s'appliquera.

9. Priorité

9.1 Effets des présentes Conditions du Responsable du Traitement. En cas de conflits ou d’incohérences entre les termes des CCTs Responsable du Traitement, les Conditions Supplémentaires pour la Législation Non-Européenne en matière de protection des données et le reste des présentes Conditions du Responsable du Traitement et/ou le reste de l’Accord, sous réserve des Sections 4.2 (Restrictions sur le Traitement) et 9.2 (Conditions du sous-traitant), l’ordre de priorité suivant s’applique : (a) les CCTs Responsable du Traitement; (b) Conditions Supplémentaires pour la Législation Non-Européenne en matière de protection des données; (c) le reste des présentes Conditions du Responsable du Traitement; et (d) le reste de l'Accord. Sous réserve des modifications apportées aux présentes Conditions du Responsable du Traitement, l’Accord restera pleinement en vigueur.

9.2 Conditions du sous-traitant. Les présentes Conditions du Responsable du Traitement n’affecteront pas les conditions distinctes entre Google et le Client reflétant une relation responsable de traitement - sous-traitant pour un service autre que les Services du Responsable du Traitement.

10. Modifications apportées aux présentes Conditions du Responsable du Traitement

10.1 Modifications des Services du Responsable du Traitement visés. Google peut uniquement modifier la liste des potentiels Services du Responsable du Traitement sur privacy.google.com/businesses/adsservices:

(a)pour refléter un changement dans le nom d’un service ;

(b)pour ajouter un nouveau service ; ou

(c)pour retirer un service lorsque soit : (i) tous les contrats relatifs à la fourniture de ce service sont résiliés ; ou (ii) Google a le consentement du Client.

10.2 Modifications apportées aux Conditions du Responsable du Traitement. Google peut modifier les présentes Conditions du Responsable du Traitement si la modification :

(a) est telle que décrite à la Section 10.1 (Modifications des Services du Responsable du Traitement visés) ;

(b) est nécessaire pour se conformer au droit applicable, à la réglementation, à une ordonnance judiciaire ou directive applicable émise par un organisme de réglementation ou une administration gouvernementale ; ou

(c) ne (i) cherche pas à modifier la catégorisation des parties en tant que responsables du traitement des Données personnelles du Responsable du Traitement indépendants en vertu de la Législation Européenne en matière de protection des données ; (ii) n’étend pas la portée de, ou ne retire aucune restriction sur, les droits de l’une ou l’autre partie d’utiliser ou de traiter (x) dans le cas des Conditions Supplémentaires pour la Législation Non-Européenne en matière de protection des données, les données visées par les Conditions Supplémentaires pour la Législation Non-Européenne en matière de protection des données ou (y) s'agissant du reste des présentes Conditions du Responsable du Traitement, les Données personnelles du Responsable du Traitement; ou (iii) n’a pas d’impact négatif important sur le Client, tel que raisonnablement déterminé par Google.

10.3 Notification de Modifications. Si Google a l’intention de modifier les présentes Conditions du Responsable du Traitement conformément à la Section 10.2 (b) et que cette modification aura un impact négatif important sur le Client, tel que raisonnablement déterminé par Google, Google déploiera des efforts commercialement raisonnables pour informer le Client au moins 30 jours (ou toute période plus courte pouvant être requise pour se conformer au droit applicable, à la réglementation, à une ordonnance judiciaire ou directive applicable émise par un organisme de réglementation ou une administration gouvernementale) avant que la modification n’entre en vigueur. Si le Client s’oppose à une telle modification, le Client peut résilier l’Accord en envoyant un avis écrit à Google dans les 90 jours suivant la notification du changement par Google.

Annexe 1 : Conditions Supplémentaires pour la Législation Non-Européenne en matière de protection des données

Les Conditions Supplémentaires pour la Législation Non-Européenne en matière de protection des données suivantes complètent les présentes Conditions du Responsable du Traitement:

Conditions de protection des données Google Ads applicables aux Co-Responsables du Traitement - Version 2.1

16 août 2020

Versions précédentes