Addendum d’Elsevier relatif au traitement des données
Dernière mise à jour: 15 octobre 2024
Le présent Addendum d’Elsevier relatif au traitement des données (« ATD ») fait partie du contrat (« Contrat ») conclu entre l’entité Elsevier (« Elsevier ») et l’abonné, le client ou tout autre partenaire et toute société affiliée applicable (« Abonné ») en vertu duquel Elsevier fournit certains services et dans lequel le présent ATD est référencé.
1. Définitions
1.1. « Lois sur la Protection des données » désigne de toutes les lois, règles, réglementations, décrets, ordonnances et autres exigences gouvernementales relatives à la confidentialité et la protection des données personnelles applicables au traitement des données à caractère personnel dans le cadre du Contrat.
1.2. Les termes « responsable du traitement », « personne concernée », « données à caractère personnel », « violation de données à caractère personnel », « traitement » et « sous-traitant » auront le sens qui leur est attribué dans les Lois sur la Protection des données et, lorsque les Lois sur la Protection des données pertinentes utilisent des termes équivalents ou correspondants, tels que "information personnelle" au lieu de « données à caractère personnel », ils seront interprétés dans les présentes comme ayant la même manière.
2. Champ d’application
2.1. L'objet du traitement sont les données à caractère personnel fournies dans le cadre des services fournis dans le cadre du Contrat. La durée du traitement est la durée de la prestation des services fournis dans le cadre du Contrat jusqu’à l’élimination des données à caractère personnel conformément au Contrat. La nature et le but du traitement sont liés à la prestation des services fournis en vertu du Contrat. Les types de données à caractère personnel traitées sont ceux soumis par ou sous la direction de l’Abonné dans le cadre des services en vertu du Contrat. Les catégories de personnes concernées sont celles dont les données à caractère personnel sont soumises par ou sous la direction de l’Abonné dans le cadre des services en vertu du Contrat.
2.2. Le Contrat, y compris le présent ATD, constitue les instructions complètes et finales de l’Abonné à Elsevier pour le traitement des données à caractère personnel. Des instructions supplémentaires ou alternatives doivent être convenues séparément par écrit entre les parties.
3. Traitement
3.1. Elsevier mettra en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences des Lois sur la Protection des données, garantisse la protection des droits des personnes concernées, et fournisse un niveau de protection soit au moins comparable à celui exigé par les Lois sur la Protection des données pertinentes.
3.2. Dans la mesure où Elsevier traite des données à caractère personnel pour le compte de l’Abonné, Elsevier est tenu de: 3.2.1. ne traite les données à caractère personnel que sur instruction documentée de l’Abonné, y compris en ce qui concerne les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, à moins qu’il ne soit tenu d’y procéder en vertu du droit applicable auquel Elsevier est soumis; dans ce cas, Elsevier informe l’Abonné de cette obligation juridique avant le traitement, sauf si le droit concerné interdit une telle information pour des motifs importants d'intérêt public; 3.2.2. veille à ce que les personnes autorisées à traiter les données à caractère personnel s'engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité; 3.2.3. prend toutes les mesures de sécurité requises en vertu des Lois sur la Protection des données; 3.2.4. respecte les conditions visées au paragraphe 4 pour recruter un autre sous-traitant; 3.2.5. tient compte de la nature du traitement, aide l’Abonné, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s’acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercice leurs droits prévus aux Lois sur la Protection des données; 3.2.6. aide l’Abonné à garantir le respect des obligations prévus aux Lois sur la Protection des données, compte tenu de la nature du traitement et des informations à la disposition d’Elsevier; 3.2.7. selon choix de l’Abonné, supprime toutes les données à caractère personnel ou les renvoie à l’Abonné au terme de la prestation de services relatifs au traitement, et détruit des copies existantes, à moins que le droit applicable n'exige la conservation des données à caractère personnel; 3.2.8. met à la disposition de l’Abonné toutes les informations nécessaires pour démontrer le respect des obligations prévues aux Lois sur la Protection des données et pour permettre la réalisation d’audits, y compris les inspections, par l’Abonné ou un autre auditeur qu’il a mandaté, et contribuer à ces audits;et informe immédiatement l’Abonné si, selon lui, une instruction de l’Abonné adressée à Elsevier constitue une violation des Lois sur la Protection des données.
4. Sous-traitants ultérieurs
4.1. Dans la mesure où Elsevier traite des données à caractère personnel pour le compte de l’Abonné, Elsevier dispose de l’autorisation générale de l’Abonné de recruter autres sous-traitants pour le traitement des données à caractère personnel conformément au présent ATD figurant sur la liste de ces sous-traitants d’Elsevier à https://www.elsevier.com/legal/subprocessors laquelle Elsevier peut mettre à jour de temps à autre. Elsevier informera l’Abonné de tout changement prévu en mettant à jour la liste sur son site Internet au moins quatorze (14) jours à l’avance. L’Abonné peut s'opposer au changement sans pénalité en avisant Elsevier dans les quatorze (14) jours suivant la mise à jour de la liste et en décrivant les raisons de son opposition. Elsevier s'efforcera dans la mesure du possible d'éviter tout traitement de données à caractère personnel par ce nouveau sous-traitant auquel l’Abonné s'oppose raisonnablement.
4.2. Lorsque Elsevier recrute un autre sous-traitant pour mener des activités de traitement spécifiques pour le compte de l’Abonné, les mêmes obligations en matière de protection des données que celles fixées dans la présente ATD, en substance, sont imposées à cet autre sous-traitant par contrat ou au moyen d'un autre acte juridique au titre du droit applicable, en particulier pour ce qui est de présenter des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement applicable. Lorsque cet autre sous-traitant ne remplit pas ses obligations en matière de protection des données, Elsevier reste (sous réserve des termes du Contrat) initial demeure pleinement responsable devant l’Abonné de l'exécution par l’autre sous-traitant de des obligations.
5. Droits des personnes concernées
5.1. Dans la mesure où Elsevier traite des données à caractère personnel pour le compte de l’Abonné, Elsevier doit, dans la mesure où la loi le permet, informer sans délai l’Abonné de toute demande de la personne concernée qu’Elsevier reçoit, et l’Abonné autorise Elsevier à rediriger ces demandes vers l’Abonné pour qu’il y réponde directement.
5.2. Dans la mesure où la loi le permet, l’Abonné sera responsable de tous les coûts raisonnables découlant de l’aide fournie par Elsevier à l’Abonné pour répondre à ces demandes.
6. Transfert
Elsevier veillera à ce que, dans la mesure où des données à caractère personnel provenant du pays de l’Abonné sont transférées par Elsevier vers un autre pays, ce transfert soit soumis à des garanties appropriées conformément aux Lois sur la Protection des données.
7. Sécurité
7.1. Compte tenu de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins: 7.1.1. la pseudonymisation et le chiffrement des données à caractère personnel; 7.1.2. des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; 7.1.3. des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique; et 7.1.4. une procédure visant à tester, à analyser et à d'évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
7.2. Lors de l'évaluation du niveau de sécurité approprié, il est tenu compte en particulier des risques que présente le traitement, résultant notamment de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou de l'accès non autorisé à de telles données, de manière accidentelle ou illicite.
7.3. Dans la mesure où Elsevier traite des données à caractère personnel pour le compte de l’Abonné, Elsevier prendra des mesures afin de garantir que toute personne physique agissant sous l'autorité d’Elsevier qui a accès à ces données à caractère personnel, ne les traite pas, excepté sur instruction de l’Abonné, à moins d’y être obligée par le droit applicable.
8. Violation de données à caractère personnel
Dans la mesure où Elsevier traite des données à caractère personnel pour le compte de l’Abonné, Elsevier doit notifier l’Abonné dans les meilleurs délais après en avoir pris connaissance d’une violation de données à caractère personnel et doit raisonnablement répondre aux demandes d’informations supplémentaires de l’Abonné pour l’aider à remplir ses obligations en vertu des Lois sur la Protection des données.
9. Registre des activités de traitement
Elsevier doit conserver tous les registres requis par les Lois sur la Protection des données et, dans la mesure où cela s'applique au traitement des données à caractère personnel pour le compte de l’Abonné, les mettre à la disposition de l’Abonné en tant que de besoin.
10. Audit
Les audits visés au paragraphe 3.2.8 seront (i) assujetties à la signature d'engagements appropriés en matière de confidentialité ; (ii) menées au plus une fois par année, à moins qu'il n’y ait eu une preuve raisonnable de non-conformité au Contrat, sur préavis écrit de trente (30) jours et qu'un plan ait été fourni pour cet examen ; et (iii) menées à une date convenue d'un commun accord et selon une méthode convenue d'un commun accord.
11. Conflit
En cas de conflit ou d'incompatibilité entre les dispositions du présent ATD et celles du reste du Contrat, les dispositions du présent ATD prévaudront dans la mesure prévue par la loi. Sinon, les autres parties du Contrat prévaudront en cas de conflit ou d'incompatibilité.
12. Conditions particulières à certaines juridictions
Dans la mesure où Elsevier traite des données à caractère personnel provenant de ou soumises aux Lois sur la Protection des données de l'une des juridictions énumérées dans l’annexe, les conditions spécifiées dans celle-ci en ce qui concerne la ou les juridictions applicables s'appliquent en plus des conditions précédemment énoncées.
ANNEXE
Espace Economique Européen, Royaume-Uni et Suisse
1. Dans la mesure où l'Abonné transfère des données à caractère personnel depuis l'Espace Economique Européen (« EEE »), le Royaume-Uni ou la Suisse à Elsevier situé en dehors de l'EEE, du Royaume-Uni ou de la Suisse, à moins que les parties puissent se fonder sur un autre mécanisme ou base de transfert en vertu des lois sur la protection des données personnelles, les parties seront réputées avoir conclu à l'égard de ce transfert, les clauses contractuelles types approuvées par la décision d'exécution (UE) 2021/914 de la Commission européenne du 4 juin 2021 disponible à l'adresse https://data.europa.eu/eli/dec_impl/2021/914/oj opens in new tab/window (« Clauses »), et en vertu desquelles: 1.1. l'Abonné est l'« exportateur de données » et Elsevier est l'« importateur de données »; 1.2. les notes de bas de page, la Clause 11(a) Option et la Clause 17 Option 1 sont omises, et les annexes applicables sont complétées avec le contenu respectif du Contrat, y compris l’ATD; 1.3. dans la mesure où chaque partie agit en tant que responsable du traitement, le Module Un s’applique et les Modules Deux, Trois et Quatre sont omis; 1.4. dans la mesure où l'Abonné agit en tant que responsable du traitement et Elsevier agit en tant que sous-traitant, le Module Deux s'applique et les Modules Un, Trois et Quatre sont omis, la Clause 9(a) Option 1 est omise et le délai de l’Option 2 est de 14 jours; 1.5. dans la mesure où chaque partie agit en tant que responsable du traitement, le Module Trois s'applique et les Modules Un, Deux et Quatre sont omis, la Clause 9(a) Option 1 est omise et le délai de l’Option 2 est de 14 jours; 1.6. l’“autorité de contrôle compétente” est l’autorité de contrôle des Pays-Bas; 1.7. les Clauses sont régies par le droit des Pays-Bas; 1.8. tout litige découlant des Clauses sera résolu par les tribunaux des Pays-Bas; et 1.9. en cas de conflit entre les termes du Contrat et les Clauses, les Clauses prévaudront.
2. En ce qui concerne les transferts de données à caractère personnel depuis le Royaume-Uni, les Clauses telles que mises en œuvre à la section 1 ci-dessus s'appliqueront sous réserve des modifications suivantes: 2.1. les Clauses sont modifiées comme spécifié dans la Partie 2 de l’Avenant Britannique Sur le Transfert International de Données aux Clauses Contractuelles types de la Commission Européenne émises en vertu de la Section 119A(1) de la loi britannique sur la protection des données de 2018 disponible à l’adresse https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf opens in new tab/window, telle qu’elle peut être modifiée ou remplacée à tout moment (l’« Avenant britannique »); 2.2. les tableaux 1 à 3 de la Partie 1 de l'Addendum du Royaume-Uni sont complétés avec le contenu respectif du Contrat, y compris l’APD; et 2.3. le tableau 4 de la Partie 1 de l’Addendum du Royaume-Uni est rempli en sélectionnant « aucune des parties » (« neither party »).
3. En ce qui concerne les transferts de données à caractère personnel depuis la Suisse, les Clauses telles que mises en œuvre à la section 1 ci-dessus s'appliqueront sous réserve des modifications suivantes : 3.1 les références au « Règlement (UE) 2016/679 » seront interprétées comme des références à la Loi fédérale suisse sur la Protection des Données (« LPD »); 3.2. les références à des Articles du « Règlement (UE) 2016/679 » sont remplacées par la section ou l'article équivalent de la LPD le cas échéant; 3.3. les références à « l'UE », « l'Union », « un État membre » et « le droit d'un État membre » sont remplacées par des références à « la Suisse » ou « le droit suisse », selon les cas; 3.4. le terme « État membre » ne doit pas être interprété de manière à priver les personnes concernées en Suisse de la possibilité d'accéder à leurs droits; 3.5. la clause 13(a) et la partie C de l'Annexe I ne sont pas utilisées et l'« autorité de contrôle compétente » est le Préposé fédéral à la protection des données suisse; 3.6. les Clauses sont régies par le droit suisse; et 3.7. tout litige découlant des Clauses sera résolu par les tribunaux suisses;
Amérique Latine
Afrique du Sud
Dans la mesure où Elsevier traite, en tant qu’opérateur, pour le compte de l'Abonné, en tant que partie responsable, des informations à caractère personnel dans le cadre de la loi sud-africaine sur la protection des informations personnelles, n° 4 de 2013 (« South African Protection of Personal Information Act », ou « POPIA »), Elsevier établira et maintiendra également les mesures de sécurité visées à l'article 19 de la POPIA et informera immédiatement l'Abonné lorsqu'il existe des motifs raisonnables de croire que les informations personnelles d'une personne concernée ont été consultées ou acquises par une personne non autorisée.