CCT encadrant les transferts de responsable de traitement à responsable de traitement

>> Afficher tous les contrats d'utilisation

CCT encadrant les transferts de responsable de traitement à responsable de traitement

 

Télécharger le PDF

Dernière mise à jour : 17 juin 2022

Les présentes Clauses contractuelles types ("CCT") encadrant les transferts de responsable de traitement à responsable de traitement font partie des Conditions d'utilisation du Service PayPal applicables (le "Contrat") convenues entre vous, agissant en tant que vendeur ("vous" ou le "Marchand") et PayPal, et sont intégrées par renvoi aux présentes. En cas de conflit entre les termes des présentes CCT et du Contrat, les termes des présentes CCT prévalent. Les termes en majuscule utilisés, mais non définis, dans les présentes CCT s'entendent au sens énoncé dans le Contrat.

Dans la mesure applicable : (i) votre signature du Contrat vaut signature et acceptation de la Décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du Règlement (UE) 2016/679 ("Clauses de transfert de l'UE") par le Marchand en tant qu'exportateur de données et responsable de traitement ; (ii) la signature du Contrat par PayPal vaut signature et acceptation des Clauses de transfert de l'UE par PayPal en tant qu'importateur de données et responsable de traitement ; et (iii) les parties sont soumises aux dispositions du Module 1 des Clauses de transfert de l'UE.

Si la Commission européenne révise puis publie de nouvelles Clauses de transfert de l'UE (ou si de nouvelles Clauses sont requises ou exécutées par la Commission européenne), les parties reconnaissent que lesdites nouvelles Clauses de transfert de l'UE prévalent sur les présentes Clauses de transfert de l'UE et s'engagent à prendre toutes les mesures nécessaires à l'exécution des nouvelles Clauses de transfert de l'UE.

En cas de transfert de données personnelles depuis la Suisse, sous réserve exclusive de la loi fédérale sur la protection des données et des autres lois sur la protection des données en Suisse (les "Lois suisses sur la protection des données") :

  1. Les Clauses contractuelles types pour le transfert de données de l'Union européenne s'appliquent également au transfert d'informations relatives à une entité juridique identifiée ou identifiable lorsque lesdites informations sont protégées de la même manière que les données personnelles en vertu des Lois suisses sur la protection des données jusqu'à ce que lesdites lois soient modifiées pour ne plus s'appliquer à une entité juridique.
  2. Dans les Clauses contractuelles types pour le transfert de données de l'UE, les références générales et propres au Règlement (UE) 2016/679 ou à la législation de l'UE ou d'un État membre ont la même signification que les références équivalentes dans les Lois suisses sur la protection des données, et les références à "État membre", "État membre de l'UE" ou "UE" doivent être interprétées comme étant des références à la Suisse.

Les Clauses de transfert de l'UE (Module 1) seront intégrées au Contrat par renvoi et seront présumées dûment signées entre les parties lors de l'entrée en vigueur du Contrat, sous réserve des conditions suivantes :

  1. Aux fins de la Clause 13 (Contrôle), l'autorité de surveillance compétente est le Commissaire fédéral suisse à la protection des données et à l'information, dans la mesure où le transfert de données concerné est régi par les Lois suisses sur la protection des données.
  2. L'option 1 de la Clause 17 (Droit applicable) s'appliquera et les lois du Luxembourg régiront les Clauses de transfert de l'UE.
  1. Conformément à la Clause 18 (Élection de for et de juridiction), les tribunaux luxembourgeois résoudront tout litige découlant des Clauses contractuelles types pour le transfert de données de l'UE ; la personne concernée se verra accorder le droit de porter les litiges devant les tribunaux suisses, si la Suisse est son pays de résidence habituelle.
  2. Les parties conviennent que les informations requises en vertu de l'Annexe Clauses contractuelles types pour le transfert de données de l'UE sont énoncées dans la Pièce jointe 1.

 

Pièce jointe 1

Annexe aux Clauses de transfert de l'UE

Annexe 1.A. Les règles suivantes s'appliquent, dans la mesure requise, en vertu des Clauses de transfert de l'UE.

Exportateur de données

  • Nom et adresse : l'exportateur de données est le Marchand et l'adresse est celle indiquée dans le Contrat.
  • Nom, fonction et coordonnées du contact : tels que stipulés dans le Contrat.
  • Activités liées aux données transférées en vertu de la Clause contractuelle type : telles que stipulées dans le Contrat.
  • Signature et date : reportez-vous aux informations fournies dans les présentes CCT.
  • Rôle (responsable de traitement/sous-traitant) : responsable de traitement.

Importateur de données

  • Nom et adresse : l'importateur de données est le membre du Groupe PayPal qui fournit les services en vertu du Contrat et l'adresse est celle indiquée dans le Contrat.
  • Nom, fonction et coordonnées du contact : tels que stipulés dans le Contrat.
  • Activités liées aux données transférées en vertu de la Clause contractuelle type : telles que stipulées dans le Contrat.
  • Signature et date : reportez-vous aux informations fournies dans les présentes CCT.
  • Rôle (responsable de traitement/sous-traitant) : responsable de traitement.

 

Annexe 1.B. Description du transfert

Personnes dont les données personnelles sont transférées
Les données personnelles transférées concernent les catégories de personnes suivantes :

  • Clients, employés et autres contacts professionnels de l'exportateur de données

Catégories de données personnelles transférées

  • Nom, montant à débiter, date/heure, coordonnées bancaires, informations de carte de paiement, code CVC, code postal, code pays, adresse postale, adresse email, numéro de fax, numéro de téléphone, site, données d'expiration, détails de livraison, statut fiscal, identifiant utilisateur unique, adresse IP, lieu et toute autre donnée reçue par PayPal en vertu du Contrat

Données sensibles (le cas échéant) et restrictions ou garanties appliquées
Les données personnelles transférées concernent les catégories de données sensibles suivantes :

  • Sans objet, sauf si le Marchand configure le service de manière à collecter lesdites données.

Restrictions et garanties appliquées :

  • Sans objet, sauf si le Marchand configure le service de manière à collecter lesdites données.

Nature du Traitement

Tel qu'énoncé dans le Contrat.

Finalités des transferts

Les transferts sont effectués :

  • Pour exécuter les services fournis par l'importateur de données à l'exportateur de données conformément au Contrat
  • Pour identifier les activités frauduleuses et les risques susceptibles d'affecter l'importateur de données, l'exportateur de données ou d'autres utilisateurs de l'importateur de données
  • Pour se conformer aux lois et aux demandes des forces de l'ordre applicables à l'importateur de données
  • Conformément à la Politique de confidentialité de l'importateur de données

Période pendant laquelle les données personnelles seront conservées ou, si cela n'est pas possible, critères utilisés pour déterminer ladite période

L'importateur de données conserve les données personnelles uniquement le temps nécessaire au regard des finalités pour lesquelles elles ont été collectées (reportez-vous aux finalités susmentionnées). Pour déterminer la période appropriée de conservation des données personnelles, l'importateur de données prend en compte le volume, la nature et le caractère sensible des données personnelles, le risque potentiel de préjudice résultant d'une utilisation ou d'une divulgation non autorisée des données personnelles, les finalités pour lesquelles les données personnelles sont traitées et si lesdites finalités peuvent être atteintes par d'autres moyens, ainsi que les exigences légales, réglementaires, fiscales, comptables ou autres applicables.

Pour les transferts à des sous-traitants, préciser également l'objet, la nature et la durée du traitement

L'importateur de données peut partager des données personnelles avec des fournisseurs de services tiers qui exécutent des services et remplissent des fonctions spécifiques selon les instructions de l'importateur de données et en son nom. Lesdits fournisseurs de services tiers peuvent, par exemple, fournir une partie des services énoncés dans le Contrat, tels que la vérification du client, le traitement des transactions ou l'assistance clientèle, ou fournir un service à l'importateur de données associé aux services énoncés dans le Contrat, tel que le stockage. Lorsqu'il détermine la durée du traitement exécuté par les fournisseurs de services tiers, l'importateur de données applique les critères susmentionnés dans la présente Annexe 1.B.

Annexe 1.C. Autorité de surveillance

Conformément à la Clause 13(a) des Clauses de transfert de l'UE, l'autorité de surveillance chargée de veiller au respect, par l'exportateur de données, du règlement (UE) 2016/679 relatif au transfert de données, comme indiqué dans les présentes CCT, agit en tant qu'autorité de surveillance compétente.

 

B. Mesures techniques et organisationnelles, y compris mesures visant à garantir la sécurité des données

  1. Pseudonymisation, chiffrement et protection des données lors du transfert

Les règlements de PayPal garantissent le respect de ce principe et exigent le recours à des contrôles techniques pour éviter tout risque de divulgation des données personnelles. PayPal utilise le chiffrement en transit et au repos pour toutes les données personnelles. Nous utilisons également des techniques de pseudonymisation standard, telles que la tokenisation, pour protéger les données personnelles, si nécessaire. PayPal dispose de règlements complets qui énoncent les obligations et les procédures essentielles pour protéger les données lorsqu'elles sont transférées au sein de l'entreprise et à l'extérieur avec des tiers.

  1. Gestion des modifications et continuité des activités

Le processus robuste de gestion des modifications de PayPal garantit la disponibilité continue et la résilience des données et des systèmes tout au long de leur cycle de vie en s'assurant que les modifications sont planifiées, approuvées, exécutées et vérifiées de manière appropriée. Le processus de gestion de la continuité des activités de la Société fournit un cadre permettant de renforcer la résilience de l'organisation, avec une réponse efficace qui préserve les intérêts de ses principales parties prenantes.

  1. Reprise après sinistre.

Le programme efficace de récupération après sinistre de PayPal comprend des procédures de récupération des informations ou des systèmes technologiques en cas d'interruption significative, en mettant l'accent sur les systèmes informatiques qui prennent en charge les processus opérationnels et les activités utilisateur les plus critiques. L'infrastructure technologique de PayPal est hébergée dans plusieurs centres de données sécurisés, avec des fonctionnalités principales et secondaires, chacun étant équipé d'une infrastructure réseau et de sécurité, de serveurs d'applications et de bases de données dédiés, et d'un espace de stockage.

  1. Tests et évaluations périodiques de l'efficacité des mesures techniques et organisationnelles

PayPal planifie et exécute le programme de test de la Société, et rend compte régulièrement des résultats du programme, afin d'évaluer l'efficacité de ses mesures technologiques et organisationnelles. Le programme est géré par notre équipe de gestion des risques et de la conformité, qui collabore avec les parties prenantes concernées pour obtenir et évaluer les informations requises pour les tests, les rapports et les mesures correctives nécessaires.

  1. Identification et autorisation des utilisateurs

Les processus de gestion des accès de PayPal exigent que les utilisateurs se connectent au réseau d'entreprise à l'aide d'un identifiant et d'un mot de passe de compte de réseau d'entreprise uniques pour s'identifier et s'authentifier avant d'accéder à toute autre application éligible. Des règles automatiques relatives à la composition, à la longueur, à la modification, à la réutilisation et au verrouillage des mots de passe sont appliquées. L'accès basé sur les rôles et les autorisations, qui sont certifiés chaque trimestre, sont implémentés dans tous les systèmes concernés afin d'appliquer le principe de moindre privilège.

  1. Sécurité physique des sites de traitement des données personnelles

Les politiques et procédures mondiales de PayPal en matière de sécurité énoncent les exigences nécessaires pour faciliter la mise en place de procédures de sécurité fiables, y compris la sécurité physique, conformément aux lois et réglementations en vigueur et aux exigences des partenaires. Un accent particulier est mis sur les systèmes de sécurité et les mesures de protection lors de la construction d'espaces spéciaux ou sensibles, tels que les salles de courrier, les zones de stockage de matériel, les zones d'expédition et de réception, les salles informatiques/de serveurs, les chambres fortes de communications ou les zones de stockage de documents ou d'informations classifié(e)s, conformément à la norme de la Société relative au traitement de la sécurité des informations.

  1. Journalisation des événements et configuration

PayPal définit des types et des attributs de journalisation et de suivi des événements. La Société collecte et regroupe plusieurs types de journaux dans le système centralisé de surveillance de la sécurité. Un contrôle de gestion de la configuration standard a été mis en place pour garantir que les journaux sont collectés dans les systèmes, puis transférés à notre système centralisé de surveillance de la sécurité. Les règlements et les procédures liées de PayPal stipulent que la configuration système et les conditions de base du renforcement de la sécurité doivent être implémentées dans l'ensemble des systèmes.

  1. Gouvernance et gestion des TI - Certification et assurance des processus et des produits.

PayPal applique une logique de sécurité renforcée dans l'ensemble de la Société. Notre directeur de la sécurité de l'information supervise la sécurité des informations à l'échelle internationale. Dans le cadre de notre programme de gestion des risques et de la conformité d'entreprise, notre programme de surveillance technologique et de sécurité des informations est conçu pour aider la Société à gérer les risques liés à la technologie et à la sécurité des informations, à identifier, protéger et détecter les menaces en matière de sécurité et à y répondre de manière efficace. PayPal certifie et garantit ses processus et ses produits par le biais de différents programmes d'entreprise, notamment (i) des audits et des évaluations des obligations techniques de PayPal conformément aux normes du secteur, y compris, mais sans s'y limiter, ISO 27001, les normes PCI (Payment Card Industry) applicables (DSS, PIN, P2PE, etc.) et les normes SOC-1 et SOC-2 de l'American Institute of Certified Public Accountants (AICPA) ; (ii) le processus RCIP (Risk Control Identification Process), qui garantit un engagement précoce et une approche standard de la mesure, de la gestion et du suivi des risques associés au développement et au lancement de nouvelles solutions produit ; (iii) des évaluations d'impact sur le respect de la vie privée, intégrées dès les premières étapes des processus de développement des produits et des logiciels ; et (iv) un programme complet de gestion des tierces parties, qui fournit une assurance par le biais d'une gestion continue des risques tout au long du cycle de vie d'une relation avec un tiers.

  1. Minimisation des données

Nos règlements exigent, par le biais de contrôles techniques, que les éléments de données collectés et générés soient adéquats, pertinents et limités à ce qui est nécessaire au regard des finalités pour lesquelles ils sont traités. Les procédures PayPal d'évaluation de l'impact sur le respect de la vie privée garantissent le respect desdits règlements.

  1. Qualité et conservation des données

La politique d'accès et de qualité de PayPal garantit que toutes les données personnelles sont correctes, complètes et à jour, ce qui permet aux utilisateurs individuels d'accéder au système pour corriger et modifier leurs détails (coordonnées, etc.) et, en cas de demande de rectification, de leur fournir un service pour exercer leur droit. Notre programme de gouvernance des données examine la qualité des données, les problèmes et les mesures correctives, le cas échéant. Nous exigeons que toutes les données soient classifiées en fonction de leur valeur commerciale avec des périodes de conservation qui leur sont propres, conformément aux exigences légales, réglementaires et de tenue de registres de PayPal. À l'expiration de la période de conservation, les données et les informations sont supprimées ou détruites.

  1. Responsabilisation

PayPal a développé un ensemble de règles et de principes en matière de sécurité de l'information, de technologie, de gouvernance des données, de gestion des tierces parties et de respect de la vie privée, qui sont alignés sur les normes du secteur et conçus pour inciter les parties prenantes à collaborer en vue d'accroître la sensibilisation à ces règlements et d'assurer le respect desdits règlements dans toute l'entreprise pour garantir la participation et la responsabilisation de tous, à tous les niveaux de l'organisation. Chaque programme définit les responsabilités relatives aux décisions, aux processus et aux contrôles interfonctionnels liés aux données. En tant que responsable du traitement des données, PayPal se conforme aux articles pertinents du RGPD qui énoncent l'obligation de rendre compte, ainsi qu'à d'autres lois applicables en matière de protection des données, par le biais de la mise en œuvre d'un programme de respect de la vie privée et d'une structure de contrôle technique et organisationnel sous-jacente à plusieurs niveaux pour garantir la conformité aux lois, réglementations, politiques et procédures relatifs au respect de la vie privée dans toute l'entreprise. Il s'agit notamment de pouvoir démontrer la conformité aux lois sur la protection des données grâce à : 1) une culture de conformité solide ; 2) une structure de gouvernance des risques et de la conformité d'entreprise qui inclut des comités de direction, des rôles de surveillance et des rapports sur le respect de la vie privée ; 3) la responsabilisation des fonctions opérationnelles pour garantir la conformité au programme de respect de la vie privée, y compris la création, la documentation et la gestion de procédures et contrôles opérationnels ; 4) un service international dédié au respect de la vie privée au sein de l'organisation chargée de la conformité pour superviser la conformité de l'entreprise au programme de respect de la vie privée et définir les règlements, normes, procédures et outils mis en œuvre par les fonctions commerciales ; 5) des communications internes émises par la fonction internationale de respect de la vie privée pour promouvoir la sensibilisation et la compréhension en matière de respect de la vie privée ; 6) l'application du cadre de gestion des risques et de la conformité d'entreprise pour garantir l'utilisation de procédures cohérentes, notamment les évaluations d'impact sur le respect de la vie privée, la surveillance et les tests en matière de respect de la vie privée, la gestion des problèmes liés au respect de la vie privée, la formation sur le respect de la vie privée et le programme annuel de respect de la vie privée ; et 7) les rapports et analyses à l'intention des comités de direction qui supervisent le programme de respect de la vie privée.

  1. Droits des personnes concernées

PayPal a mis en place un programme pour garantir le respect des droits des personnes concernées, notamment les droits d'accès, de rectification et de suppression des données. Nous satisfaisons à toutes les demandes de suppression des données, sauf si PayPal à l'obligation légale ou réglementaire ou tout autre motif commercial légitime de les conserver. Les règlements de PayPal garantissent que les données sont supprimées tout au long du cycle de vie de l'utilisateur.

  1. Sous-traitants

PayPal dispose d'un programme complet de gestion des tierces parties, qui offre une assurance par le biais d'une gestion continue des risques tout au long du cycle de vie d'une relation avec un tiers. Nous avons mis en place des contrôles contractuels pour exiger de nos sous-traitants et des sous-traitants ultérieurs qu'ils mettent en place des normes complètes en matière de sécurité des données et de respect de la vie privée tout au long de la chaîne de traitement. Tous les sous-traitants ultérieurs doivent demander notre approbation préalable avant d'être engagés.