ACCORD SUR LE TRAITEMENT DES DONNÉES DES CLIENTS D'IDEXX

(Révision le 18 mai 2023)

Le présent Accord sur le traitement des données (" DPA ") et les Annexes de l'Accord sur le traitement des données applicables figurant ici (chaque " Annexe DPA ") s'appliquent au traitement des données à caractère personnel (" Données à caractère personnel du client ") par IDEXX au nom du client (" Client ") soumis au Règlement général sur la protection des données 2016/679 (" RGPD ") ou à toute autre loi sur la protection des données identifiée ici (ensemble, " Lois sur la protection des données ") afin de fournir des services (" Services ") conformément à un accord entre IDEXX et le Client (" Accord "). Lorsqu'IDEXX est mentionnée dans le présent DPA, il s'agit d'IDEXX B.V. ou d'une société affiliée d'IDEXX B.V. qui a conclu l'Accord avec le Client. Le client et IDEXX sont désignés collectivement par le terme "Parties", ou séparément par le terme "Partie". Le présent DPA et l'annexe DPA applicable sont incorporés dans l'Accord applicable au Service concerné. En cas de conflit, l'annexe DPA prévaut sur le DPA, qui prévaut sur le reste de l'accord, sauf stipulation contraire explicite dans le présent DPA.

1 Définitions

1.1 Toutes les définitions figurant dans l'accord s'appliquent également au présent DPA, sauf disposition contraire dans le présent DPA. Les termes en majuscule utilisés et non définis dans le présent document ont la signification qui leur est donnée dans les lois sur la protection des données applicables. En outre, les définitions suivantes s'appliquent au présent DPA :

1.2 Affilié : toute personne ou entité qui contrôle, est contrôlée par ou est sous contrôle commun avec une autre personne ou entité. À ces fins, on entend par "contrôle" (i) la possession, directe ou indirecte, du pouvoir de diriger la gestion ou les politiques de l'entité concernée, que ce soit par la détention de titres avec droit de vote, par contrat ou autrement, ou (ii) la détention, directe ou indirecte, d'au moins cinquante pour cent (50 %) des titres avec droit de vote ou d'autres participations de l'entité concernée ou, si cette entité réside dans un pays où un tel niveau de participation n'est pas autorisé, le pourcentage maximal de participation autorisé dans ce pays ;

1.3 Pays tiers : tout pays qui n'offre pas un niveau adéquat de protection des données conformément aux lois sur la protection des données applicables ;

1.4 Violation des données à caractère personnel : une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal aux données à caractère personnel du client transmises, stockées ou traitées d'une autre manière.

2 Objet du présent accord sur la protection des données

2.1 En ce qui concerne le traitement des données à caractère personnel du client dans le cadre des services et de l'accord applicables, IDEXX est le sous-traitant et le client le responsable du traitement. Le traitement des données à caractère personnel auquel s'applique le présent DPA est décrit dans les annexes DPA correspondantes.

2.2 Le présent DPA complète l’Accord et met de côté tout accord (oral et/ou écrit) d'une date antérieure relatif au traitement des Données Personnelles entre le Client agissant en tant que Responsable du traitement et IDEXX agissant en tant que Sous-traitant en ce qui concerne les Données Personnelles, le cas échéant.

3 Traitement des données à caractère personnel

3.1 IDEXX se conformera à toutes les lois sur la protection des données en ce qui concerne les services applicables à IDEXX en tant que sous-traitant. Le Client garantit qu'il traite ou a traité les Données Personnelles du Client conformément à la loi applicable. Le Client doit, à la première demande d'IDEXX, fournir rapidement toutes les informations pertinentes demandées à IDEXX par écrit, y compris sous forme électronique. IDEXX n'est pas responsable du respect des obligations du Client en vertu de la loi applicable, y compris, sans s'y limiter, les obligations du Client envers ses propres clients, telles que l'obligation du Client d'informer ses clients des destinataires du traitement de leurs données à caractère personnel. IDEXX n'est pas responsable de la détermination des exigences ou des lois ou réglementations applicables à l'activité du Client, ni de la conformité d'un Service aux exigences de ces lois ou réglementations applicables. Entre les parties, le Client est responsable de la légalité du Traitement des Données personnelles du Client. Le client n'utilisera pas les services d'une manière qui violerait la législation applicable en matière de protection des données.

3.2 L’Annexe DPA applicable à un service contient une liste des catégories de personnes concernées, des types de données à caractère personnel du client et de toute catégorie spéciale de données à caractère personnel. La durée du traitement correspond à la durée du service, sauf indication contraire dans l’Annexe DPA. La finalité et l'objet du traitement sont la fourniture du Service tel que décrit dans l'Accord.

3.3 IDEXX ne traitera les Données Personnelles du Client que pour le compte du Client et conformément aux instructions documentées du Client, sauf disposition contraire de la Loi sur la Protection des Données applicable. La portée des instructions du Client pour le traitement des Données Personnelles du Client est définie dans l’Accord et, le cas échéant, dans l'utilisation et la configuration des fonctionnalités du Service par le Client et ses utilisateurs autorisés. IDEXX informera immédiatement le Client si, à son avis, l'une des instructions du Client enfreint les lois applicables en matière de protection des données, et IDEXX pourra suspendre l'exécution de cette instruction jusqu'à ce que le Client ait modifié ou confirmé sa légalité sous une forme documentée.

3.4 IDEXX s'assurera que ses employés et autres personnes participant au traitement des données personnelles du client se sont engagés à respecter la confidentialité dans la mesure où ces personnes ne sont pas liées par une obligation légale appropriée de confidentialité. IDEXX veillera à ce que ces employés ou autres personnes engagées par elle se conforment à toutes les obligations prévues dans le présent DPA et dans l'Accord. IDEXX veillera à ce que l'accès d'IDEXX aux données personnelles des clients soit limité aux employés et autres personnes qui fournissent des services conformément à l’Accord.

4 Mesures de sécurité

4.1 IDEXX mettra en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adéquat en ce qui concerne les données à caractère personnel. Les mesures de sécurité techniques et organisationnelles à mettre en œuvre par IDEXX, en tenant compte de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement, ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, sont décrites dans les mesures techniques et organisationnelles incluses dans les annexes DPA. IDEXX peut mettre à jour ou modifier ses mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications n'entraînent pas une réduction de la sécurité globale des Services.

5 Signalement des violations de données à caractère personnel

5.1 L'obligation d'IDEXX de notifier au Client une violation de données à caractère personnel et de prendre des mesures en rapport avec une violation de données à caractère personnel n'entraîne pas la reconnaissance d'un défaut ou d'une responsabilité de la part d'IDEXX en rapport avec cette violation de données à caractère personnel.

5.2 Dès qu'IDEXX a connaissance d'une violation de données à caractère personnel dont le Client n'a pas encore été informé, IDEXX en informera le Client sans délai excessif, d'une manière déterminée par IDEXX. IDEXX informera le contact du Client fourni par ce dernier dans le cadre des Services. Il incombe au client de veiller à ce que les coordonnées des personnes de contact du client communiquées à IDEXX soient à jour. Si IDEXX ne parvient pas à joindre la/les personne(s) de contact du Client en temps voulu, le Client en assume les risques.

5.3 Lorsque le Client lui-même a connaissance d'une violation de données à caractère personnel en rapport avec la fourniture des Services par IDEXX, il en informera IDEXX sans délai excessif, en indiquant les mesures qu'il a prises ou qu'il prendra.

5.4 Dès qu'IDEXX aura détecté une violation de données à caractère personnel, IDEXX fournira au Client toutes les informations raisonnables concernant l'impact possible de la violation de données à caractère personnel sur le Client et les personnes concernées. Le retour d'information comprend une description de la nature et de l'étendue de la violation de données à caractère personnel, des mesures prévues et déjà prises pour remédier à la violation de données à caractère personnel.

5.5 A la demande du Client, IDEXX fournira également l'assistance raisonnablement nécessaire à l'élaboration de la documentation pertinente relative à la violation de données à caractère personnel. Le Client restera toutefois responsable de l'obligation de garder une vue d'ensemble interne des violations de données à caractère personnel qui se sont produites.

5.6 Le Client est responsable de l'information de l'autorité gouvernementale compétente et/ou des personnes concernées par la violation de données à caractère personnel, dans la mesure où cela est requis par les lois applicables en matière de protection des données. Si le Client demande à IDEXX d'informer la/les personne(s) concernée(s) et/ou l'autorité gouvernementale compétente de la violation de données à caractère personnel, IDEXX ne le fera qu'après avoir reçu une instruction écrite et complète du Client et l'approbation de cette instruction écrite par IDEXX. Ceci n'entraîne aucune responsabilité ou obligation pour IDEXX en ce qui concerne la (notification de la) violation de données à caractère personnel.

6 Assistance

6.1 Compte tenu de la nature du traitement des données et des informations dont disposent les parties, elles se prêtent mutuellement toute assistance nécessaire pour se conformer aux obligations qui leur incombent en vertu de la législation applicable en matière de protection des données, en particulier les obligations relatives à la sécurité des données à caractère personnel, aux obligations de notification des violations de données à caractère personnel, au devoir d'information et à la réalisation d'analyses d'impact sur la protection des données, y compris la consultation préalable de l'autorité gouvernementale compétente.

6.2 Le Client fera une demande écrite pour toute assistance visée dans le présent DPA. IDEXX peut facturer au Client l'exécution d'une telle assistance ou d'une instruction supplémentaire ; ces frais ne seront pas supérieurs à des frais raisonnables et seront indiqués dans un devis et acceptés par écrit par les parties.

7 Droits d'audit du client

7.1 Le client peut, à ses propres frais et après consultation préalable d'IDEXX, procéder à un audit du système de traitement des données utilisé par IDEXX pour traiter les données à caractère personnel du client afin d'examiner si les mesures de sécurité techniques et organisationnelles raisonnables qui ont été prises en ce qui concerne les données à caractère personnel traitées dans le cadre du présent DPA sont conformes aux mesures décrites à la section 4 du présent DPA.

7.2 IDEXX mettra à la disposition du client toutes les informations raisonnablement nécessaires pour démontrer le respect des obligations du client de conclure un accord de traitement des données conformément aux exigences pertinentes à cet égard en vertu de la loi sur la protection des données applicable, et autorisera et contribuera aux audits, y compris aux inspections, effectués par le client. En concertation avec IDEXX, le Client peut engager un tiers (expert) pour exercer ses droits d'audit, à condition que ce tiers soit lié par une obligation de confidentialité adéquate.

7.3 L'exécution d'un audit par le Client ou pour le compte du Client n'entraînera aucun retard dans les activités commerciales d'IDEXX ou de l'un de ses Sous-Traitants ultérieurs.

8 Sous-Traitants ultérieurs

8.1 Le Client autorise IDEXX à engager d'autres Sous-traitants pour traiter les Données à caractère personnel du Client, y compris, mais sans s'y limiter, les Sociétés affiliées d'IDEXX ("Sous-traitants ultérieurs"). Une liste des Sous-traitants ultérieurs tiers actuels figure ici, et peut être mise à jour par IDEXX de temps à autre. IDEXX informera le Client, d'une manière déterminée par IDEXX, de tout changement prévu concernant l'ajout ou le remplacement de ces Sous-Traitants ultérieurs. Le Client peut s'opposer à tout nouveau Sous-Traitant ultérieur en résiliant l’Accord par notification écrite à IDEXX, à condition que le Client fournisse cette notification à IDEXX dans un délai de 60 jours à compter de la date à laquelle IDEXX l'a informé de l'engagement du Sous-Traitant ultérieur. Ce droit de résiliation est le seul et unique recours du Client si celui-ci s'oppose à tout nouveau Sous-Traitant ultérieur.

8.2 IDEXX conclura et appliquera un accord écrit de traitement des données avec ses Sous-Traitants ultérieurs, avec des obligations en matière de protection de la vie privée et de sécurité des données substantiellement similaires, mais pas moins protectrices, que celles énoncées dans le présent DPA. IDEXX restera responsable du respect de ses obligations en vertu de l'Accord, du présent DPA et des lois applicables en matière de protection des données.

9 Transfert transfrontalier des données à caractère personnel

9.1 Les Données Personnelles du Client peuvent être transférées dans un Pays Tiers par IDEXX ou par des Sous-Traitants ultérieurs engagés par IDEXX.

9.2 Dans le cas d'un transfert de Données Personnelles du Client vers un Pays Tiers, les parties doivent coopérer afin d'assurer la conformité avec les Lois sur la Protection des Données applicables, comme indiqué dans les sections suivantes.

9.3 En concluant l'Accord, le Client s'engage à respecter les Clauses contractuelles types pour les transferts internationaux (Décision d'exécution (UE) 2021/914 de la Commission ou toute version mise à jour ou remplacée de celle-ci) (" CCS "), complétées comme indiqué à la section 9.3.1 ci-dessous, à moins qu'un instrument de transfert de données différent n'ait été déclaré applicable au transfert pertinent des Données personnelles du Client dans la Loi sur la protection des données applicable identifiée ici, lequel instrument de transfert de données identifié s'appliquera alors et régira le transfert des Données personnelles du Client vers le Pays tiers. Dans la mesure prévue par les lois sur la protection des données autres que le RGPD, les CCS s'appliqueront également au transfert de Données à caractère personnel des Clients ne se trouvant pas dans l'Espace économique européen (" EEE ") ou en Suisse vers une entité IDEXX située dans un Pays non adéquat.

9.3.1 Les CCS s'appliqueront complétées comme suit :
a ) Le module 2 - responsable du traitement à sous-traitant - s'appliquera.
b ) Dans la clause 7, la clause d'amarrage optionnelle s'appliquera.
c ) Dans la clause 9, l'option 2 s'appliquera et la période de notification préalable sera de 14 jours.
d ) Dans la clause 11, la langue optionnelle ne s'appliquera pas.
e ) Dans la clause 17, l'option 1 s'applique et le droit néerlandais s'applique.
f ) Dans la clause 18(b), les litiges sont réglés devant les tribunaux néerlandais.
g ) L'annexe I (A. Liste des parties, B. Description du transfert, C. Autorité de contrôle compétente) des CCS est réputée complétée par les informations figurant à la section B de l’annexe DPA applicable aux services.
h ) L'annexe II (Mesures de sécurité techniques et organisationnelles) des CCS est réputée complétée par les informations figurant dans la section B de l’annexe DPA applicable aux services.
i ) L'annexe III (Liste des sous-traitants ultérieurs) est réputée complétée par la liste des sous-traitants ultérieurs identifiée à la section 8.1 ci-dessus.

9.4 IDEXX conclura le Module trois des CCS (Sous-traitant à Sous-traitant) avec chaque Sous-traitant ultérieur situé dans un Pays tiers, tel qu'énuméré dans l'Annexe DPA respective, lorsque cela est requis par les Lois sur la protection des données en vigueur. IDEXX peut transférer et stocker des Données à caractère personnel vers et dans ses sites aux Etats-Unis ou dans d'autres pays où ses Affiliés sont situés. Ces transferts font l'objet d'un accord interentreprises entre les sociétés affiliées d'IDEXX, qui comprend le module trois applicable (sous-traitant à sous-traitant) des CCS.

9.5 Aucune disposition de l'Accord ou du présent DPA ne doit être interprétée comme prévalant sur une clause contradictoire des CCS. Le Client reconnaît qu'il a eu la possibilité d'examiner les CCS et d'en obtenir une copie auprès d'IDEXX.

10 Demandes des personnes concernées

Sur demande écrite raisonnable du client, IDEXX fournira une assistance raisonnable pour permettre au client de se conformer à ses obligations en tant que responsable du traitement des données si une personne concernée exerce l'un de ses droits en vertu de la législation applicable en matière de protection des données.

11 Généralités

11.1 Coûts : Les coûts qu'IDEXX peut encourir dans l'exécution de ses obligations au titre du présent DPA (par exemple, fournir une assistance au client pour répondre aux demandes des personnes concernées) peuvent conduire IDEXX à facturer au client des travaux supplémentaires. Si tel est le cas, IDEXX en informera le client.

11.2 Indemnisation : Le Client indemnisera intégralement IDEXX contre toute réclamation d'un tiers, y compris de l'une des personnes concernées, imposée à IDEXX en raison d'une violation de la loi applicable, qui peut être attribuée au Client ou à l'un de ses employés ou prestataires.

11.3 Durée et résiliation : Le présent DPA entre en vigueur à la date à laquelle IDEXX traite pour la première fois les Données à caractère personnel pour le compte du Client dans le cadre de l'exécution de l’Accord. Le présent DPA restera en vigueur pendant toute la durée de l’Accord. Dans l'hypothèse où l’Accord prendrait fin, le présent DPA prendrait également fin de plein droit, sans autre forme de procès. A moins qu'IDEXX ne soit tenue par la loi applicable de conserver les Données Personnelles, IDEXX s'assurera, à la fin du présent DPA, que (i) les Données Personnelles seront renvoyées ou fournies au Client, ou (ii) les Données Personnelles seront détruites, à la demande écrite du Client, ce qui peut inclure sous forme électronique. Toute obligation découlant du présent DPA qui, par nature, a un effet post-contractuel, y compris, mais sans s'y limiter, la présente section du DPA, continue de produire ses effets après la résiliation du présent DPA.

11.4 Dérogations et renégociation : Les dérogations et les ajouts au présent DPA ne seront valables que s'ils ont été expressément convenus par écrit, y compris sous forme électronique.

Le Client informera rapidement IDEXX de tout changement qui est ou pourrait être pertinent pour l’Accord et le traitement des Données à caractère personnel.

Si le présent DPA est traduit en plusieurs langues, le texte anglais fera foi aux fins d'interprétation ou en cas de conflit ou d'incohérence entre les différentes traductions.