L’Addenda sur la Protection des Données (« APD ») fait partie intégrante du Contrat de Licence HERE Mobility, comprenant les Conditions Principales HERE Mobility (et tous les Annexes, Avenants et Pièces joints à celui-ci), des Conditions de Service du Partenaire des Produits HERE Mobility (et tous les Annexes, Avenants et Pièces joints à celui-ci) ou de tout autre accord par écrit (le « Contrat »), conclu entre HERE et le partenaire qui accepte ce Contrat (qu’il s’agisse d’un partenaire existant ayant déjà signé le Contrat ou d’un nouveau partenaire acceptant le Contrat en ce moment) (le « Partenaire »), relatif à l’accès et/ou à l’utilisation des Produits Mobility par le Partenaire (tels que définis dans le Contrat).

Vous déclarez et garantissez que vous avez le plein pouvoir de lier le Partenaire aux conditions du présent APD. Si vous-même ou le Partenaire ne peuvent pas être liés, ou ne sont pas d’accord avec, ou ne peuvent pas respecter le présent APD, ou si vous n’avez pas le pouvoir de lier le Partenaire au présent APD, veuillez ne pas partager, fournir ou tenter de recevoir aucune Donnée Personnelle de HERE. Vous déclarez et garantissez également, en votre nom personnel et au nom du Partenaire (que ce soit votre employeur ou une autre entité juridique qui engage vos services), que vous avez lu, compris et que vous acceptez de respecter intégralement le présent APD, et que vous signez un contrat juridiquement contraignant avec HERE Global B.V. (« HERE » ou « nous »), afin de représenter l’accord des Parties en ce qui concerne le Traitement de Données Personnelles.

Chaque référence à l’APD dans le présent APD désigne cet APD et comprend ses Avenants et Annexes (le cas échéant). Sauf dans les cas explicitement indiqués dans le présent APD, tous les termes en majuscules auront le sens qui leur est attribué dans le Contrat, y compris, de façon non exhaustive : Lois sur la Protection des Données ;  RGPD ; Compte ; Société Affiliée ; Données du Consommateur ; Données du Conducteur ; Application Conducteur ; Produits Mobility ; Verticales d’Offre Mobility Marketplace ; Suite(s) Logiciel(s) de Service Mobility Marketplace ; Marketplace Dispatcher ; Données du Compte du Partenaire ; Données du Personnel du Partenaire ; Données du Consommateur Contrôlées par le Partenaire ; et Personnel du Partenaire.

Si vous avez besoin d’une copie signée du présent APD, veuillez envoyer une copie signée à mobility.privacy@here.com et nous vous fournirons une copie contresignée.

1. Conditions relatives au Traitement des Données

Lors de l’utilisation des Produits Mobility, HERE et le Partenaire (individuellement, une « Partie », ensemble, les « Parties ») Traitent des Données Personnelles. Le présent APD établit les conventions et les obligations des Parties, comprenant, de façon non exhaustive, l’utilisation de moyens, de mesures, de procédures et d’efforts de bonne foi en ce qui concerne le Traitement des Données Personnelles dans le cadre des Produits Mobility, conformément aux exigences des lois sur la Protection des Données.

2. Définitions.

2.1 Contrôleur,  Sous-traitant (et Traiter), Sujet des Données auront le sens qui leur est attribué par la Loi sur la Protection des Données.

2.2 On entend par « CCT de Contrôleur à Contrôleur » les Clauses Contractuelles Types (Transferts de Contrôleur à Contrôleur - Série II) figurant à l’Annexe de la Décision de la Commission européenne en date du 27 décembre 2004, telles que modifiées ou remplacées à tout moment par la Commission européenne.

2.3 On entend par « CCT de Contrôleur à Sous-traitant » les Clauses Contractuelles Types (Sous-traitants) de l’Annexe de la Décision de la Commission européenne en date du 5 février 2010, telles que modifiées ou remplacées à tout moment par la Commission européenne.

2.4 On entend par « Données Personnelles » les informations relatives à un Sujet des Données identifiées ou identifiables, également dénommées « données à caractère personnel » en vertu des Lois sur la Protection des Données, qui sont fournies, utilisées, consultées, mises à disposition pour l’accès ou autrement Traitées au cours de l’utilisation des Produits Mobility ou de l’exécution du Contrat.

2.5 On entend par « Incident de Sécurité » tout accès non autorisé, réel ou raisonnablement soupçonné, toute acquisition ou toute divulgation de Données Personnelles qu’une Partie Traite au nom de l’autre Partie.

3. Rapport entre les Parties.

 Les Parties reconnaissent et conviennent que, entre le Partenaire et HERE, en ce qui concerne le Traitement des Données Personnelles liées à l’accès et à l’utilisation par le Partenaire de tout Produit Mobility :

3.1 Données du Personnel du Partenaire :

Le Partenaire est le Contrôleur et HERE le Sous-traitant en ce qui concerne les Données du Personnel du Partenaire.

3.2 Données du Compte du Partenaire :

Le Partenaire est le Contrôleur et HERE est un Contrôleur indépendant en ce qui concerne les Données du Compte du Partenaire. 

3.3 Données du Conducteur :

3.3.1 HERE et le Partenaire sont des Contrôleurs indépendants en ce qui concerne les Données du Conducteur qui sont Traitées respectivement par l’un des deux, en relation avec l’accès et/ou l’utilisation par les Conducteurs de l’Application Conducteur ; et

3.3.2 HERE est le Sous-traitant et le Partenaire est le Contrôleur en ce qui concerne les Données du Conducteur fournies par le Partenaire à HERE par le Mobility Supply API.

3.4 Consumer Data:

3.4.1 HERE et le Partenaire sont des Contrôleurs indépendants en ce qui concerne les Données du Consommateur qui sont Traitées respectivement par l’un des deux, en relation avec la consommation et/ou l’utilisation par les Consommateurs de tous les Services à la Mobilité offerts ou fournis aux Consommateurs par le Partenaire par le Mobility Kiosk et/ou le Mobility Web Widget ;

3.4.2 HERE est le Sous-traitant et le Partenaire est le Contrôleur en ce qui concerne les Données du Consommateur qui sont fournies par le Partenaire à HERE par le Mobility for Concierge ;

3.4.3 HERE est le Sous-traitant et le Partenaire est le Contrôleur en ce qui concerne les Données du Consommateur Contrôlées par le Partenaire qui sont fournies par le Partenaire à HERE par le Marketplace Dispatcher, en particulier en ce qui concerne l’offre par le Partenaire des Services à la Mobilité ; et

3.4.4 HERE et le Partenaire sont des Contrôleurs indépendants, HERE est le Sous-traitant et le Partenaire est le Contrôleur ou HERE est le Contrôleur et le Partenaire est le Sous-traitant (toutes les configurations selon le cas), en ce qui concerne les Données du Consommateur qui sont fournies par le Partenaire (directement ou par le Consommateur) à HERE par le Mobility Demand API et/ou par le Mobility SDK. La décision d’établir HERE en tant que Contrôleur ou Sous-traitant doit se fonder sur la mise en œuvre du Mobility Demand API et/ou du Mobility SDK avec chaque Partenaire spécifique.

(A) en ce qui concerne l’Article 3.4.1, le Partenaire et HERE sont chacun responsable d’établir une base juridique, comprenant, si nécessaire, l’obtention de tous les consentements et accords et la transmission de tous les avis (selon le cas) requis pour que le Partenaire et HERE (respectivement) Traitent les Données Personnelles des Sujets des Donnés applicables dans chacune des capacités des Partenaires et de HERE (respectivement) en tant que Contrôleur ; et

(B) en ce qui concerne les Articles 3.4.2 à 3.4.4, le Partenaire en sa qualité de Contrôleur est responsable d’établir une base juridique, comprenant, si nécessaire, l’obtention de tous les consentements et accords et la transmission de tous les avis (selon le cas) requis pour que le Partenaire et HERE Traitent les Données Personnelles des Sujets des Donnés applicables, y compris, de façon non exhaustive, en procédant à la divulgation exigée dans ses conditions d'utilisation et sa politique de confidentialité en ligne et en obtenant le consentement explicite de ces Sujets des Donnés à cette fin.

3.4.5 HERE est le Contrôleur ou le Sous-traitant et le Partenaire est le Sous-traitant ou le Sous-traitant ultérieur en ce qui concerne les Données du Consommateur qui sont Traitées par le Partenaire par les Verticales d’Offre Mobility Marketplace et/ou le Marketplace Dispatcher. La décision d’établir HERE en tant que Contrôleur ou Sous-traitant doit se fonder sur la Suite Logiciel de Service Mobility Marketplace applicable d’où les Données du Consommateur proviennent. Nonobstant ce qui précède, le Partenaire peut être le Contrôleur de ces Données du Consommateur s’il a établi une base juridique directement avec le(s) Consommateur(s), conformément aux Lois sur la Protection des Données en vigueur. 

Les Parties reconnaissent en outre et conviennent que les Parties ne sont pas des contrôleurs conjoints en ce qui concerne aucune des Données Personnelles Traitées en vertu des présentes, tel que ce terme est désigné dans le RGPD.

4. Traitement des Données Personnelles.

Le présent APD s’applique lorsque des Données Personnelles sont Traitées par HERE et/ou par un Partenaire. Dans la mesure où les Lois et Réglementations de l’UE en matière de protection de la vie privée s’appliquent aux Données Personnelles, les conditions suivantes s’appliquent: 

4.1 Traitement par un Contrôleur. 

4.1.1 En ce qui concerne les Données Personnelles qu’une Partie (y compris toute personne agissant pour son compte) fournit, transmet, télécharge ou met à disposition pour l’accès de l’autre Partie, par ou en relation avec l’utilisation des Produits Mobility, ladite Partie déclare et garantit à l’autre Partie que: (i) elle devra Traiter et devra garantir que toute personne agissant pour son compte Traite les Données Personnelles uniquement conformément aux Lois sur la Protection des Données en vigueur et au présent APD ; (ii) elle devra garantir, lors de la fourniture de Données Personnelles à l’autre Partie, l’exactitude, la qualité et la légalité des Données Personnelles qu’elle fournit et/ou télécharge sur les Produits Mobility ; (iii) les moyens et les procédures par lesquels elle (y compris par toute personne agissant pour son compte) a obtenu ces Données Personnelles et que la fourniture de ces Données Personnelles à l’autre Partie par les Produits Mobility pour son Traitement par l’autre Partie en vertu de ce Contrat sont en conformité avec toutes les Lois sur la Protection des Données en vigueur. Chaque Partie agissant en tant que Contrôleur confirme, et à la demande de l’autre Partie, devra démontrer que les Données Personnelles des Sujets de Données fournies et/ou téléchargées par elle sur les Produits Mobility ont été collectées uniquement auprès des Sujets de Données ayant reçu les informations et notifications appropriées, comme l’exigent les Lois sur la Protection des Données en vigueur, y compris pour l’utilisation, la distribution et le transfert transfrontalier des Données Personnelles de ces Sujets de Données, comme requis aux fins de l’exécution du Contrat, et/ou conformément au présent APD, et que ladite Partie a établi une base juridique directement avec les Sujets des Données, comme l’exigent les Lois sur la Protection des Données en vigueur. Si un tiers a transmis les avis aux Sujets des Données et a reçu leur consentement, ou a établi une autre base juridique avec les Sujets des Données, chaque Partie agissant en tant que Contrôleur sera la seule responsable de vérifier et devra être en mesure de démontrer que les avis et les consentements étaient suffisants aux fins de l’utilisation énoncées dans le Contrat et appropriés par rapport aux Lois sur la Protection des Données en vigueur, ou qu’une autre base juridique a été établie, conformément aux Lois sur la Protection des Données en vigueur.

4.1.2 En ce qui concerne les Données Personnelles que la Partie agissant en tant que Contrôleur (y compris toute personne agissant pour son compte) reçoit, dont l’accès lui est accordé ou qui sont autrement mises à sa disposition dans le cadre des Produits Mobility, ladite Partie s’engage à : (i) traiter les Données Personnelles comme des Informations Confidentielles, conformément aux dispositions du présent APD et du Contrat; (ii) accéder ou utiliser les Données Personnelles des Sujets des Données uniquement conformément aux conditions de et aux fins énoncées dans le Contrat.

4.2 Traitement en tant que Sous-traitant. En ce qui concerne les Données Personnelles qu’une Partie (y compris toute personne agissant pour son compte) fournit, transmet, télécharge ou met à la disposition de l’autre Partie pour le Traitement pour son compte dans le cadre des Produits Mobility, ladite Partie demande à l’autre Partie de Traiter ces Données Personnelles conformément aux conditions du présent APD et du Contrat. En ce qui concerne les Données Personnelles que cette Partie fournit, transmet ou permet l’accès à l’autre Partie, ladite Partie devra garantir que ces Données Personnelles ont été collectées et fournies à l’autre Partie conformément aux Lois sur la Protection des Données en vigueur, après avoir fourni les notifications exigées et avoir établi une base juridique valable, conformément aux Lois sur la Protection des Données en vigueur, pour que l’autre Partie Traite ces Données Personnelles conformément au présent APD. L’objet, la nature et le but du Traitement, le type des Données Personnelles et les catégories des Sujets des Données sont définis dans l’Annexe relatif aux Produits Mobility auxquels le Partenaire accède et utilise.

4.3 Base Juridique pour le Traitement. Le cas échéant et selon le cas, la base juridique pour le Traitement des Données Personnelles est destinée à l’exécution d’un contrat avec le sujet des données, à des intérêts légitimes, au respect d’une obligation légale et/ou conformément au consentement du sujet des données.

4.4 Détails du Traitement. Chaque Partie s’engage en outre qu’elle devra, et assurera qu’un tiers agissant pour son compte devra : (i) traiter les Données Personnelles en toute légalité, équité et transparence ; (ii) collecter des Données Personnelles pour des finalités déterminées, explicites et légitimes, et ne pas les traiter ultérieurement d’une façon qui soit incompatible avec ces finalités ; (iii) limiter le Traitement des Données Personnelles à ce qui est nécessaire à l’égard des finalités pour lesquelles elles sont traitées ; (iv) garantir que, au meilleur de sa connaissance, les Donnés Personnelles qu’elle collecte sont exactes et, si nécessaire, tenues à jour, et que les données inexactes soient rectifiées ou supprimées sans délai ; (v) ne conserver toutes les Données Personnelles qu’elle Traite sous une forme identifiable que pour le temps nécessaire aux fins pour lesquelles elles sont traitées ; et (vi) protéger et sécuriser toutes les Données Personnelles qu’elle Traite, y compris contre tout traitement non autorisé ou illégal, toute perte, destruction ou dommage accidentels, au moyen de mesures techniques ou organisationnelles appropriées.

5. Droits des Sujets des Données et Coopération.

5.1 Chaque Partie a établi et maintient une procédure permettant l’exercice des droits personnels des Sujets des Données, comme l’exigent les Lois sur la Protection des Données en vigueur.

5.2 Chaque Partie coopérera avec l’autre Partie et déploiera des efforts commerciaux raisonnables pour  donner une assistance à l’autre Partie en ce qui concerne : (i) toute notification exigée aux Sujets des Données et aux autorités de contrôle, selon le cas, en tenant compte de la nature du Traitement et des informations disponibles pour une Partie ; (ii) des études d’impact et des consultations préalables menées par une Partie (aux frais de la Partie requérante), conformément aux Lois sur la Protection des Données en vigueur ; (iii) la démonstration par une Partie de son respect aux Lois sur la Protection des Données en vigueur ; (iv) le maniement par une Partie des demandes d’exercice des droits des Sujets des Données, conformément aux dispositions de l’Article 5.3 ; et (v) le maniement par une Partie des réclamations des Sujets de Données ou des tiers et des demandes de renseignements du gouvernement concernant des Données Personnelles Traitées dans le cadre de l’utilisation des Produits Mobility par le Partenaire en vertu du Contrat.

5.3 Sauf si les Lois sur la Protection des Données en vigueur l’interdisent, chaque Partie devra notifier rapidement à l’autre Partie : (i) toute violation par la Partie ou par toute personne agissant au nom de cette Partie, de toute disposition du présent APD ou des consignes d’une Partie en vertu des présentes ; (ii) toute procédure de contrôle officielle compétente concernant des Données Personnelles Traitées dans le cadre de l’utilisation des Produits Mobility par le Partenaire conformément au Contrat ; (iii) toute circonstance juridique ou factuelle empêchant une Partie d’exécuter ses obligations aux termes du présent APD ; et (iv) tout changement important ayant une incidence sur les mesures de sécurité techniques et organisationnelles mises en œuvre par une Partie, entraînant la non conformité de telles mesures aux obligations en matière de sécurité des informations de la Partie énoncées dans le présent APD.

5.4 Dans la mesure où la loi le permet, chaque Partie agissant en tant que Sous-traitant ou Contrôleur en vertu des présentes devra notifier rapidement à l’autre Partie si elle reçoit une demande d’un Sujet des Données dont les Données Personnelles sont comprises dans les données collectées dans le cadre de l’utilisation des Produits Mobility par le Partenaire conformément au Contrat, pour exercer son droit d’accéder, de rectifier, de modifier ou de supprimer ces Données Personnelles du Sujet des Données, ou pour exercer tout autre droit personnel que le Sujet des Données aurait en vertu des Lois sur la Protection des Données en vigueur. Cette Partie fournira à l’autre Partie une coopération et une assistance commercialement raisonnables en ce qui concerne le maniement de la demande du Sujet des Données, pour l’étendue autorisée par la loi. Tout Sujet des Données souhaitant exercer ses droits en ce qui concerne HERE dans sa qualité de Contrôleur, en relation avec les Produits Mobility, peut soumettre une demande en contactant HERE à l’adresse suivante : mobility.privacy@here.com. Tout Sujet des Données souhaitant exercer ses droits en ce qui concerne le Partenaire dans sa qualité de Contrôleur, en relation avec les Produits Mobility, peut soumettre une demande en contactant le Partenaire à l’adresse électronique fourni par le Partenaire à HERE conformément au Contrat. Chaque Partie s’engage à faire tous les efforts raisonnables pour répondre à ces demandes.

5.5 Dans la mesure où le Partenaire, dans son accès et/ou son utilisation des Produits Mobility en tant que Contrôleur de Données, n’aurait pas la capacité de corriger, de modifier, de bloquer ou de supprimer les Données Personnelles comme l’exigent les Lois sur la Protection des Données en vigueur, HERE devra respecter toutes les demandes commercialement raisonnables du Partenaire de faciliter de telles actions dans la mesure où HERE serait juridiquement autorisée et techniquement capable de le faire, à des frais raisonnables du Partenaire. Aucune Partie agissant en tant que Sous-traitant en vertu des présentes ne devra répondre à une telle demande sans le consentement écrit préalable de l’autre Partie, sauf pour confirmer que la demande s’applique à ce Sous-traitant, sauf si cela est exigé par les Lois sur la Protection des Données en vigueur.

6. Personnel et Sous-traitants ultérieurs des Parties.

6.1 Chaque partie devra assurer que son personnel, ses sous-traitants ultérieurs et ses prestataires de services, ainsi que ceux de ses Sociétés Affiliées, qui sont impliqués dans le Traitement de Données Personnelles : (i) soient informés du caractère confidentiel des Données Personnelles ; (ii) reçoivent une formation appropriée de  sécurité et de protection de la vie privée (ou des sessions de recyclage) sur leurs responsabilités, et qu’ils soient soumis à des obligations de confidentialité, et que ces obligations survivent à la résiliation de l’engagement de cette personne ou de ses sous-traitants ultérieurs avec ladite Partie ; et (iii) que l’accès aux Données Personnelles soit limité aux personnes qui en ont besoin pour le but d’exécuter le Contrat. Tous les Sociétés Affiliées, sous-traitants ultérieurs et prestataires de services concernés, auxquels une des Parties transfère des Données Personnelles au cours de l’exécution du Contrat, ont conclu des accords par écrit avec cette Partie ou un autre instrument juridique qui les lient par les mêmes obligations substantielles en vertu du présent APD.

6.2 Chaque Partie devra : (i) être responsable de la suffisance des garanties de sécurité, de confidentialité et de protection de la vie privée de son personnel, de ses sous-traitants ultérieurs et de ses prestataires de services, ainsi que de ceux de ses Sociétés Affiliées, en ce qui concerne les Données Personnelles ; et (ii) être responsable de tout non-respect de la part de son personnel, de ses sous-traitants ultérieurs et de ses prestataires de services, ainsi que de ceux de ses Sociétés Affiliées, des dispositions du présent APD. Chaque Partie assume la responsabilité intégrale des actes et des omissions de son personnel, de ses sous-traitants ultérieurs et de ses prestataires de services, ainsi que de ceux de ses Sociétés Affiliées, en rapport avec le Traitement des Données Personnelles.

7. Contrôleurs, Sous-traitants et Sous-traitants ultérieurs.  

7.1 Dans le but de fournir aux Sujets des Données certains services dans le cadre des Produits Mobility, HERE, agissant en tant que Sous-traitant en vertu des présentes, est autorisée à engager certains prestataires de services tiers agissant en qualité de Contrôleurs (y compris en ce qui concerne les données pour lesquelles HERE agit en tant que Sous-traitant) dans la mesure où cela est nécessaire pour exécuter les fonctions des Produits Mobility dans le cadre de l’engagement du Partenaire avec HERE (chacun un « Contrôleur Externe »). Dans chacun de ces cas, HERE devra conclure un contrat par écrit avec chaque Contrôleur Externe leur imposant des obligations qui soient aux moins équivalentes à celles imposées à HERE en vertu de ce Contrat et d’une façon que le Traitement des Données Personnelles respecte les exigences des Lois sur la Protection de Données en vigueur. Le Partenaire accepte de notifier ses Sujets de Données concernés sur ces Contrôleurs Externes dans ses conditions d’utilisation et sa politique de confidentialité en ligne, et devra être responsable pour l’établissement d’une base juridique comprenant, selon le cas, l’obtention de les consentements et les accords, ainsi que faire toutes les notifications (si nécessaire) exigées par les Lois sur la Protection de Données en vigueur en relation avec le partage de Données Personnelles des Sujets de Données concernés avec lesdits Contrôleurs Externes. HERE utilise Twilio Inc. en tant que Contrôleur Externe, dans le but de fournir à HERE des services de connectivité de télécommunication, ce qui permet à HERE, entre d’autres fonctionnalités, d’envoyer et de recevoir des messages texte par un logiciel, dans le cadre des Produits Mobility.

7.2 Une Partie agissant en tant que Sous-traitant en vertu des présentes sera autorisée à sous-traiter le Traitement des Données Personnelles à des sous-traitants et à des sous-traitants ultérieurs, selon le cas et s’il l’est raisonnablement exigé pour son exécution du présent Contrat. Dans ce cas, ce Sous-traitant devra conclure un contrat par écrit avec ses sous-traitants ultérieurs, leur imposant des obligations qui soient aux moins équivalentes à celles imposées à ce Sous-traitant par ce Contrat ; ce contrat devra contenir une description des mesures techniques et organisationnelles que les sous-traitants ultérieurs doivent mettre en œuvre de façon que le Traitement respecte les exigences des Lois sur la Protection de Données en vigueur. Si le Contrôleur l’exige, ce Sous-traitant informera au Contrôleur le nom, l’adresse et le rôle de chaque sous-traitant ultérieur impliqué. Nonobstant ce qui précède, l’utilisation de sous-traitants ultérieurs par HERE (dans les cas où HERE est le « Contrôleur » des Données Personnelles), y compris l’utilisation d’un prestataire de services de traitement de paiements, est à la seule discrétion de HERE.

7.3 Une Partie agissant en tant que Sous-traitant devra notifier le Contrôleur à l’avance (par courrier électronique ou en le postant sur le Compte) de tout changement dans la liste des sous-traitants ultérieurs en place à la Date d’Entrée en Vigueur (exceptés des remplacements urgents ou la suppression de sous-traitants ultérieurs sans aucun remplacement). Si le Contrôleur a des raisons légitimes en ce qui concerne le Traitement des Données Personnelles par un sous-traitant ultérieur, le Contrôleur pourra contester l’utilisation de ce sous-traitant ultérieur par le Sous-traitant, moyennant l’envoi d’un avis par écrit au Sous-traitant dans les dix (10) jours suivant la réception de l’avis du Sous-traitant et, dans ce cas, les Parties devront discuter une solution en toute bonne foi. Le Sous-traitant pourra décider de : (i) s’abstenir d’utiliser le sous-traitant ultérieur ; (ii) prendre les mesures correctives requises par le Contrôleur, conformément aux raisonnements de la contestation, et utiliser le sous-traitant ultérieur. Dans le cas où aucune de ces options ne serait raisonnablement possible et le Contrôleur continuerait à le contester pour une raison légitime, chaque Partie pourra résilier ce Contrat moyennant un préavis écrit de trente (30) jours. Si le Contrôleur ne conteste pas dans les dix (10) jours suivant la réception de l’avis, le Contrôleur est jugé avoir accepté le nouveau sous-traitant ultérieur. Dans la mesure où la loi l’exige, le Sous-traitant devra s’engager à une version inchangée des Clauses Contractuelles Types concernant le transfert de données personnelles à des sous-traitants établis dans des pays tiers, conformément à la Décision de la Commission européenne 2010/87/EU (« Clauses Contractuelles Types ») avant le Traitement des Données par le sous-traitant ultérieur. Le Partenaire accède aux Clauses Contractuelles Types établies entre HERE et son sous-traitant ultérieur.

8. Responsabilité ; Documentation.

8.1 Chaque Partie s’engage à documenter de manière adéquate ses pratiques et activités en matière de confidentialité en ce qui concerne le Traitement des Données Personnelles, conformément aux exigences applicables en vertu des Lois sur la Protection des Données en vigueur.

8.2 Une Partie agissant en tant que Sous-traitant en vertu des présentes ne devra traiter les Données Personnelles que conformément aux directives écrites du Contrôleur, telles que définies dans le présent APD. Ce Sous-traitant devra informer le Contrôleur par écrit, s’il a pris conscience ou s’il croit raisonnablement que ses directives de Traitement des données violent les Lois sur la Protection des Données en vigueur.

8.3 La responsabilité de chaque Partie et de ses Sociétés Affiliées découlant de ou liée au présent APD (qu’elle soit contractuelle, délictuelle ou en vertu de toute autre théorie de la responsabilité) est soumise à l’Article 10 (« Limitation à la Responsabilité ») du Contrat, et toute référence, dans cet article, à la responsabilité d’une Partie désigne cette Partie et ses Sociétés Affiliées dans l’ensemble.

9. Suppression ou Retour des Données Personnelles.  

9.1 Lorsqu’un Partie Traite des Données Personnelles en tant que Sous-traitant en vertu des présentes, elle devra, au choix de l’autre Partie, supprimer ou rendre toutes les Données Personnelles à l’autre Partie à la résiliation ou à l’expiration du Contrat, et supprimer toutes les copies existantes des Données Personnelles en sa possession ou sous son contrôle, à moins que : (i) les lois applicables exigent la conservation de telles Données Personnelles pendant une certaine période par le Sous-traitant et/ou par ses sous-traitants ultérieurs, ou (ii) si cette conservation est autrement autorisée par la loi. Si cette conservation est autrement autorisée et/ou exigée par la loi, le Sous-traitant et/ou ses sous-traitants ultérieurs pourront conserver les Données Personnelles aux fins prévues ; pourvu qu’il soit accordé à ces Données Personnelles une protection en permanence, conformément aux dispositions de cet APD, indépendamment de la résiliation ou l’expiration du Contrat, jusqu’à ce que ces Données Personnelles soient définitivement supprimées. 

9.2 Lorsqu’une Partie est autorisée ou légalement tenue de conserver des Données Personnelles conformément aux lois applicables, cette Partie ne conservera ces Données Personnelles que conformément aux procédures et aux délais spécifiés dans ses politiques et procédures de conservation et de destruction des données, ainsi que conformément à la loi applicable.

10. Données Anonymisées et Agrégées

Le Partenaire reconnaît et accepte que HERE pourra anonymiser des Données Personnelles, de sorte qu’elles ne concernent plus une personne physique identifiée ou identifiable ou de telle sorte qu’un Sujet des Données  ne soit plus identifiable (des « Données Anonymisées »), et pourra conserver, utiliser et distribuer des tels Données Anonymisées dans ses propres buts ; et le Partenaire s’engage, dans la mesure où cet APD et/ou les Lois sur la Protection des Données en vigueur l’exigent,  à inclure des termes et du langage convenables dans sa politique de confidentialité et à en informer les Sujets des Données, ainsi que, dans la mesure où la loi l’exige, à en obtenir du consentement valable et légal ou à établir une autre base juridique concernant une telle utilisation par HERE, dans le respect des Lois sur la Protection des Données en vigueur.

11. Droits d’audit.  

11.1 Chaque Partie pourra auditer les pratiques de sécurité et de confidentialité de l’autre Partie pour déterminer et assurer le respect aux dispositions du présent APD si : (i) un Incident de Sécurité s’est produit ; (ii) la Partie qui réalise l’audit soupçonne raisonnablement que l’autre Partie n’est pas en conformité avec ses obligations en vertu du présent APD ; (iii) un audit lui est officiellement sollicité par l’autorité compétente en matière de protection des données ; ou (iv) les Lois sur la Protection des Données en vigueur donnent à la Partie qui réalise l’audit un droit d’audit direct. Un tel audit ne devra être réalisé que par l’intermédiaire d’un auditeur tiers réputé (qui n’a pas de conflit d’intérêts et qui est lié par des obligations de confidentialité strictes), moyennant un préavis écrit d’au moins trente (30) jours. La Partie auditée assistera raisonnablement la Partie qui réalise l’audit dans son processus d’audit. Les audits seront limités à un par année civile et limités à un jour ouvrable maximum, pendant les heures normales de bureau et sans perturber le cours normal des affaires de la Partie auditée, et la Partie qui réalise l’audit supportera ses propres frais d’audit. Toutes les informations fournies par la Partie auditée ou obtenues par la Partie qui réalise l’audit dans le cadre d’un audit seront considérées comme des Informations Confidentielles de la Partie auditée.

11.2 Si les Clauses Contractuelles Types s’appliquent, rien dans le présent Article 11 ne varie ni modifie les Clauses Contractuelles Types, ni affecte les droits des autorités de contrôle ou des Sujets des Données en vertu des Clauses Contractuelles Types.

12. Mesures Techniques et Organisationnelles

12.1 Pendant la durée du Contrat, chaque Partie mettra en œuvre et maintiendra des mesures administratives, physiques et techniques d’organisation (notamment en ce qui concerne son personnel, ses installations, son hardware et ses logiciels, son stockage et ses réseaux, ses contrôles d’accès, sa surveillance et sa journalisation, ainsi qu’à sa réponse aux incidents) pour protéger la sécurité, la confidentialité et l’intégrité des Données Personnelles, conformément aux politiques et procédures de sécurité des informations de la Partie et aux exigences des Lois sur la Protection des Données en vigueur. Chaque Partie surveillera régulièrement le respect de ces garanties en assurant un niveau de protection raisonnable et suffisant en ce qui concerne les risques liés au Traitement, compte tenu de la nature des Données Personnelles concernées. Le Partenaire devra fournir à HERE une copie de ses mesures techniques et d’organisation au même moment de la signature du présent Contrat, à moins que les mesures techniques et organisationnelles du Partenaire soient sensiblement similaires à celles énoncées à l’Article 12.2 ci-dessous. Dans ce cas, le Partenaire déclare et garantit à HERE que: (i) ses mesures techniques et organisationnelles mises en œuvre sont conformes aux Lois sur la Protection des Données en vigueur et sont au moins aussi protectrices que celles énoncées à l’Article 12.2 ci-dessous; et (ii) elle notifiera HERE rapidement par écrit lors d’une modification de ses mesures techniques et organisationnelles mises en œuvre, lui fournissant une copie de ses mesures techniques et organisationnelles mises à jour.

12.2 Ce qui suit énonce les mesures de sécurité actuelles de HERE. HERE assure le Partenaire que : (i) HERE garantit que sa haute direction attribue des responsabilités de sécurité et examine la mise en œuvre de la sécurité au sein de l’organisation. La haute direction a nommé du personnel adéquat pour être responsable de la sécurité globale, la gestion des risques, la sécurité de l’information, la confidentialité et les contrôles dans le maniement des Données Personnelles ; (ii) HERE a instauré et démontre son engagement à l’égard de la sécurité au moyen d’une politique de sécurité à l’échelle de l’organisation (la « Politique de Sécurité »). La Politique de Sécurité et les directives connexes sont communiquées à tous les employés, sous-traitants ultérieurs et prestataires de services de HERE ; (iii) HERE a son propre schéma de classification de l’information dédié, fondé sur la gradation des informations sensibles (par exemple, information interne, confidentielle et secrète), et a établi des mesures pour garantir que la propriété de l’information est bien définie en permanence. Ce schéma comprend des contrôles de sécurité appropriés, de façon à protéger les informations, les Données Personnelles et les actifs du Partenaire, le cas échéant ; (iv) HERE effectue des évaluations des risques de sécurité dans le cadre de ses activités commerciales normales, au moins une fois par an, incorporant des menaces émergentes, des impacts commerciaux potentiels et des probabilités d’occurrence ; et modifie les processus, les procédures et les directives relatifs à la sécurité en fonction des résultats de ces évaluations des risques de sécurité ; (v) HERE a mis en place un contrôle d’accès et une gestion des droits d’accès appropriés, afin d’assurer que les données ne sont traitées que par un nombre minimum de personnes autorisées ayant accès aux données nécessaires pour accomplir leurs tâches professionnelles (c.-à-d. un contrôle de l’accès basé sur le rôle avec les moindres privilèges) ; (vi) HERE maintient les éléments suivants: des processus d’autorisation et d’interruption de l’accès d’utilisateur et de l’accès de sous-traitant ultérieur, y compris la procédure d’urgence d’interruption d’accès ; une politique de gestion des mots de passe, comprenant des exigences de complexité des mots de passe, l’absence de comptes d’utilisateur communs ou partagés, l’analyse de la durée des mots de passe lorsque les systèmes ne supportent pas l’utilisation des gestionnaires de mots de passe et la livraison sécurisée des identifiants d’accès à des utilisateurs ; les rapports d’audit de tous les privilèges d’utilisateur existants devront être conservés et vérifiés régulièrement, afin d’éliminer des privilèges superflus, et des processus assurant la séparation des tâches ; (vii) HERE maintient une piste d’audit suffisante, et l’utilisation des privilèges d’accès (des modifications, qui, quoi, quand) est en place lorsqu’il s’agit d’informations sensibles (confidentielles ou secrètes) ; (viii) HERE collecte les journaux relatifs à l’accès des utilisateurs aux Données Traitées du Partenaire et les stocke pendant au moins trois (3) mois, sauf disposition contraire de la législation locale ; (ix) HERE a mis en œuvre des mesures de sécurité de l’information raisonnables et appropriées (p. ex., du durcissement, des correctifs, des antivirus, des systèmes de détection d’intrusion, etc.) pour protéger les Données Personnelles contre tout accès, utilisation, divulgation, suppression, destruction, perte, altération ou modification non autorisé ou accidentel ; (x) HERE ne stocke et ne traite les Données Personnelles que dans un environnement où les contrôles de sécurité exigés ont été installés, et garantit que l’infrastructure et les réseaux de technologie de l'information sont conçus et gérés de manière à protéger les systèmes de technologie de l'information, les informations, les utilisateurs et les communications électroniques ; et que (xi) HERE utilise les techniques standard de l’industrie pour sécuriser la connectivité entre le Partenaire et HERE contre l’écoute clandestine et l’altération (y compris l’accès sans fil ou la connexion à distance), dans les solutions et dans les services.

12.3 HERE pourra modifier les mesures de sécurité mises en place à tout moment et sans préavis, à condition qu’elle conserve un niveau de sécurité comparable ou supérieur.

13. Gestion des violations et notification.

13.1 Chaque Partie devra: (i) maintenir ses politiques et procédures de gestion des incidents de sécurité, comme l’exigent les lois applicables ; et (ii) lorsque la Partie prend connaissance d’un Incident de Sécurité, elle donnera rapidement à l’autre Parti un avis par écrit sur ce sujet. Ladite notification doit être transmise avant la notification de toute autorité gouvernementale ou avant toute divulgation publique sur ce sujet, à moins que la loi applicable ne l’interdise. Si une Partie prend connaissance d’un Incident de Sécurité, elle s’engage rapidement à : (a) enquêter sur l’Incident de Sécurité et fournir à l’autre Partie des informations sur l’Incident de Sécurité ; et (b) prendre des mesures raisonnables conçues pour atténuer les effets et pour minimiser les dommages causés par l’Incident de Sécurité. Chaque Partie convient qu’une tentative infructueuse d’Incident de Sécurité ne sera pas couverte par le présent Article 13. Une tentative infructueuse d’Incident de Sécurité est celle qui ne cause aucun accès non autorisé, ni la perte, la divulgation ou la modification des Données Personnelles ou des équipements ou des installations de l’une des Parties stockant des Données Personnelles, et qui peut comprendre, de façon non exhaustive, des pings et d’autres attaques « broadcast » sur des pare-feux ou des serveurs de bord, des analyses de ports, des tentatives de connexion infructueuses, des attaques par déni de service, des analyses de paquets (ou d’autres accès non autorisés aux données de trafic qui n’impliquent pas un accès au-delà des adresses ou des en-têtes IP) ou des incidents similaires ; et l’obligation de chaque Partie de signaler ou de répondre à un Incident de Sécurité en vertu du présent Article 13 n’est pas et ne pourra pas interprétée comme étant une reconnaissance par cette Partie de toute faute ou responsabilité à l’égard de l’Incident de Sécurité. Chaque Partie s’engage à fournir à l’autre Partie un soutien et une assistance commercialement raisonnables pour que l’autre Partie puisse accomplir ses obligations en matière de notification de violation en vertu des Lois sur la Protection des Données en vigueur en ce qui concerne les Données Personnelles. Les notifications des Incidents de Sécurité, le cas échéant, seront envoyées à un ou à plusieurs des contacts commerciaux, techniques ou administratifs de l’autre Partie par tout moyen raisonnablement choisi par la Partie, y compris par courrier électronique.  Il est de la seule responsabilité de chaque Partie de garantir le maintien des informations de contact précises dans les systèmes d’assistance de l’autre Partie à tout moment.

13.2 Lorsque et dans la mesure où les Parties agissent en tant que Contrôleurs indépendants, chaque Partie déclare et garantit à l’autre Partie que (i) elle maintiendra des politiques et des procédures robustes de gestion des incidents de sécurité, conformément aux lois en vigueur ; et (ii) dans la mesure où elle le juge applicable, elle devra, dès qu’elle a pris connaissance d’une violation de la sécurité, en donner un avis par écrit à l’autre Partie.

14. Transfert international de données

14.1 Les Parties pourront utiliser, s’engager, certifier ou auto-certifier avec les instruments, mesures, contrats et autres mécanismes applicables, dans le but de faciliter le transfert licite de Données Personnelles entre des territoires, conformément aux Lois sur la Protection des Données en vigueur. Les Parties pourront transférer des Données Personnelles des Sujets des Données dans l’Espace économique européen (« EEE ») vers d’autres territoires officiellement reconnus par la Commission européenne comme offrant une protection suffisante aux Données Personnelles (« Reconnaissance de l’Adéquation »).

14.2 Dans la mesure que les Lois sur la Protection des Données en vigueur l’exigent, les Parties s’engagent à mettre en œuvre des instruments de protection du transfert international des données, tels que les CCT de Contrôleur à Contrôleur, les CCT de Contrôleur à Sous-traitant, ainsi que d’autres instruments juridiques permettant le transfert des Données Personnelles entre les Parties et entre une Partie et ses Sociétés Affiliées, ses prestataires de services et d’autres tiers. Selon le cas, si : (i) la Reconnaissance de l’Adéquation est invalidée ou autrement annulée ; (ii) les Clauses Contractuelles Types sont invalidées ou ne sont plus en vigueur ; et (iii) toute autre protection de transfert de Données Personnelles n’est plus en vigueur pour quelque raison que ce soit, les Parties prendront donc des mesures juridiques alternatives, dans la mesure où elles seront disponibles et applicables, pour continuer à faciliter le transfert licite des Données Personnelles.

14.3 Si une Partie n’est pas en mesure de proposer une mesure alternative pour continuer à transférer licitement des Données Personnelles, l’autre Partie pourra donc résilier le présent APD et le Contrat, moyennant notification par écrit avec effet immédiat.

14.4 Nonobstant ce qui précède, le Partenaire reconnaît que les Données Personnelles pourront être stockées et/ou traitées par ou pour le compte de HERE dans un pays différent de celui où les Produits Mobility sont offerts. Les Données Personnelles d’un Partenaire de l’EEE ou de la Suisse  ne pourront être exportées ou accédées par HERE ou par ses sous-traitants ultérieurs en dehors de l’EEE ou de la Suisse que si : (i) le récepteur, ou le pays ou le territoire dans lequel il traite ou accède aux Données s’engage à respecter un niveau adéquat de protection, comme le détermine la Commission européenne ; ou (ii) des Clauses Contractuelles Types relatives au transfert de Données Personnelles à des sous-traitants établis dans un pays tiers sont applicables.

15. Durée et Résiliation.

Cet APD commencera à la Date d’Entrée en Vigueur du Contrat, demeurera en vigueur pour la durée du Contrat et survivra à l’expiration ou à la résiliation du Contrat. Si une Partie est incapable ou devient incapable de respecter quelconque des conditions du présent APD de bonne foi, l’autre Partie pourra alors résilier immédiatement le Contrat moyennant un avis par écrit.

16. Conformité.

Chaque partie désignera un responsable de la confidentialité et/ou de la protection des données pour superviser le Traitement des Données Personnelles et pour servir de point de contact pour l’autre Partie sur les questions de confidentialité et de protection des données. Le responsable désigné de HERE peut être contacté par courrier électronique à l’adresse suivante: mobility.privacy@here.com. Dans les 5 jours ouvrables suivant la signature du Contrat, le Partenaire devra envoyer par courrier électronique à cette boîte de réception les informations de contact de son responsable en matière de confidentialité, à condition que si le Partenaire omet de le faire, le Partenaire accepte que HERE pourra envoyer tout avis relatif à cet APD à l’adresse électronique associée à son Compte.

17. Dispositions diverses

Cet APD annule et remplace toutes les propositions, déclarations, documents de vente ou présentations et accords, oraux et écrits, antérieurs et actuels, en rapport avec l’objet du présent APD, y compris tout addenda préalable en matière de traitement de données conclu entre HERE et le Partenaire. Rien dans le présent APD ne réduit les obligations des Parties en vertu du Contrat, y compris en ce qui concerne la collecte et la protection des Données Personnelles, ni n’autorise l’une ou l’autre des Parties à Traiter (ou à autoriser le Traitement) des Données Personnelles d’une manière interdite par le Contrat. En cas de contradiction ou d’incompatibilité entre le présent APD et le Contrat, le présent APD prévaudra uniquement en ce qui concerne l’objet du présent APD et uniquement si cette contradiction ou cette incompatibilité découle des exigences de l’Article 28 du RGPD (sauf dans les cas où il est autrement convenu par écrit, signé au nom des Parties). Le présent APD n’a pas pour objet de limiter ni de déroger aux obligations et responsabilités respectives des Parties (chacune en tant que Contrôleur) en vertu du Contrat et/ou en conformité avec le RGPD ou de toute loi applicable au Contrôleur en relation avec le collecte, le maniement et l’utilisation des Données Personnelles.