Conditions Google relatives à la protection des données Responsable du traitement-Responsable du traitement du service de mesure

Le client des Services de mesure qui accepte les présentes conditions (le "Client") a conclu un accord avec Google ou un revendeur tiers (selon le cas) concernant la fourniture des Services de mesure (ci-après l'"Accord", susceptible de faire l'objet de modifications de temps en temps), services par l'intermédiaire desquels le Client de l'interface utilisateur a activé le Paramètre de partage des données.

Les présentes Conditions Google relatives à la protection des données Responsable du traitement-Responsable du traitement du service de mesure (les "Conditions relatives au Responsable du traitement") sont conclues entre Google et le Client. Lorsque l'Accord est conclu entre le Client et Google, les présentes Conditions relatives au Responsable du traitement complètent l'Accord. Lorsque l'Accord est conclu entre le Client et un revendeur tiers, les présentes Conditions relatives au Responsable du traitement constituent un accord distinct entre Google et le Client.

Par souci de clarification, la fourniture des Services de mesure est régie par l'Accord. Les présentes Conditions relatives au Responsable du traitement définissent exclusivement les dispositions de protection des données concernant le Paramètre de partage des données. Elles ne s'appliquent pas à la fourniture des Services de mesure.

Conformément à la Section 6.2 (Aucune incidence sur les Conditions du sous-traitant), les présentes Conditions relatives au Responsable du traitement entreront en vigueur et remplaceront toutes les conditions précédemment applicables relatives à leur objet, à compter de la Date d'entrée en vigueur des Conditions.

Si vous acceptez les présentes Conditions relatives au Responsable du traitement pour le compte du Client, vous garantissez que : (a) vous jouissez de la capacité juridique nécessaire pour lier le Client aux présentes Conditions relatives au Responsable du traitement ; (b) vous avez lu et compris les présentes Conditions relatives au Responsable du traitement ; et (c) vous acceptez, pour le compte du Client, les présentes Conditions relatives au Responsable du traitement. Si vous n'avez pas la capacité juridique de lier le Client, veuillez ne pas accepter les présentes Conditions relatives au Responsable du traitement.

Veuillez ne pas accepter les présentes Conditions relatives au Responsable du traitement si vous êtes revendeur. Les présentes Conditions relatives au Responsable du traitement définissent les droits et les obligations qui s'appliquent pour l'accord conclu entre les utilisateurs des Services de mesure et Google.

1. Introduction

Les présentes Conditions relatives au Responsable du traitement reflètent l'accord des parties sur le traitement des Données à caractère personnel détenues par le Responsable du traitement conformément au Paramètre de partage des données.

2. Définitions et interprétation

2.1

Dans les présentes Conditions relatives au Responsable du traitement :

"Conditions supplémentaires" désigne les conditions supplémentaires mentionnées dans l'Annexe 1, qui reflètent l'accord des parties sur les conditions régissant le traitement de Données à caractère personnel détenues par le Responsable du traitement dans le cadre de certaines Législations applicables en termes de protection des données.

"Société affiliée" désigne une entité qui, directement ou indirectement, contrôle une des parties, est contrôlée par elle ou est sous contrôle commun avec elle.

"Législation applicable en termes de protection des données" désigne, dans le cadre du traitement des Données à caractère personnel détenues par le Responsable du traitement, toute législation ou réglementation nationale, fédérale, européenne, étatique, provinciale ou autre en termes de confidentialité, de sécurité ou de protection des données, y compris la Législation européenne sur la protection des données, la LGPD et les Lois des États américains sur la confidentialité.

"Informations confidentielles" désigne les présentes Conditions relatives au Responsable du traitement.

"Personne concernée par les données du Responsable du traitement" désigne une personne concernée par les Données à caractère personnel détenues par le Responsable du traitement.

"Données à caractère personnel détenues par le Responsable du traitement" désigne les données à caractère personnel traitées par une partie en vertu du Paramètre de partage des données.

"Paramètre de partage des données" désigne le paramètre de partage des données que le Client a activé via l'interface utilisateur des Services de mesure et qui permet à Google et à ses Sociétés affiliées d'utiliser des données à caractère personnel pour améliorer les produits et les services qu'ils proposent.

"Responsable du traitement final" désigne, pour chaque partie, le dernier responsable du traitement des Données à caractère personnel détenues par le Responsable du traitement.

"RGPD de l'UE" désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

"Législation européenne sur la protection des données" désigne, selon le cas, (a) le RGPD et/ou (b) la LPD suisse.

"RGPD" signifie, selon le cas, (a) le RGPD de l'UE et/ou (b) le RGPD du Royaume-Uni.

"Google" désigne :

• a) lorsqu'une Entité Google est partie à l'Accord, cette Entité Google.
• (b) lorsque l'Accord est conclu entre le Client et un revendeur tiers et que :
  • i) le revendeur tiers est basé en Amérique du Nord ou dans une autre région hors d'Europe, du Moyen-Orient, d'Afrique, d'Asie et d'Océanie, Google LLC (anciennement Google Inc.) ;
  • (ii) le revendeur tiers est basé en Europe, au Moyen-Orient ou en Afrique, Google Ireland Limited ; ou
  • (iii) le revendeur tiers est basé en Asie et en Océanie, Google Asia Pacific Pte. Ltd.

"Entité Google" désigne Google LLC, Google Ireland Limited ou toute autre Société affiliée de Google LLC.

"LGPD" désigne la loi générale brésilienne sur la protection des données (Lei Geral de Proteção de Dados Pessoais).

"Services de mesure" désigne Google Analytics, Google Analytics 360, Google Analytics pour Firebase, Google Optimize ou Google Optimize 360, selon le Paramètre de partage des données pour lequel les parties ont accepté les présentes Conditions relatives au Responsable du traitement.

"Règles" désigne les Règles Google relatives au consentement de l'utilisateur final disponibles à l'adresse https://www.google.com/about/company/user-consent-policy.html.

"Conditions du sous-traitant" désigne :

• a) lorsque Google est partie à l'Accord, les conditions du sous-traitant disponibles à l'adresse https://business.safety.google/adsprocessorterms ; ou
• (b) lorsque l'Accord est conclu entre le Client et un revendeur tiers, les conditions reflétant une relation entre le responsable du traitement et le sous-traitant (le cas échéant), telles que convenues entre le Client et le revendeur tiers.

"LPD suisse" désigne la loi fédérale (suisse) sur la protection des données du 19 juin 1992.

"Date d'entrée en vigueur des Conditions" désigne la date à laquelle le Client a cliqué pour accepter, ou à laquelle les parties ont autrement accepté les présentes Conditions relatives au Responsable du traitement.

"Données à caractère personnel détenues par le Responsable du traitement au Royaume-Uni" désigne les Données à caractère personnel détenues par le Responsable du traitement des Personnes concernées au Royaume-Uni.

"RGPD du Royaume-Uni" désigne le RGPD de l'UE tel qu'amendé et incorporé dans la législation du Royaume-Uni en application de la loi sur le retrait de l'Union européenne (European Union Withdrawal Act) de 2018, ainsi que la législation secondaire applicable conformément à cette loi.

"Lois des États américains sur la confidentialité" désigne, selon le cas, (i) la loi sur la protection des données personnelles du consommateur en Californie (California Consumer Privacy Act) de 2018, y compris toute modification prévue par la loi de 2020 sur les droits de confidentialité en Californie (California Privacy Rights Act), ainsi que tous les règlements d'exécution ("CCPA") ; (ii) la loi sur la protection des données des consommateurs en Virginie (Consumer Data Protection Act), paragraphe 59.1-571 et suivants du Code de Virginie annoté ; et (iii) la loi sur la confidentialité au Colorado (Colorado Privacy Act), paragraphe 6-1-1301 et suivants des Statuts révisés du Colorado ; (iv) la loi concernant la confidentialité des données et la surveillance en ligne au Connecticut (N° 22015) ; et (v) la loi sur la confidentialité des consommateurs en Utah (Utah Consumer Privacy Act), paragraphe 13-61-101 et suivants du code de l'Utah annoté.

2.2

Les termes "responsable du traitement", "personne concernée", "données à caractère personnel", "traitement" et "sous-traitant" utilisés dans les présentes Conditions relatives au Responsable du traitement ont la signification indiquée dans (a) la législation sur la protection des données applicable ou (b) le RGPD en l'absence de telle signification ou législation.

2.3

Les exemples utilisés dans les présentes Conditions relatives au Responsable du traitement ne sont donnés qu'à titre illustratif et ne constituent pas les seuls exemples d'un concept donné.

2.4

Toute référence à un cadre juridique, une loi ou un autre texte législatif est une référence à sa version en vigueur, susceptible de faire l'objet de modifications de temps en temps.

2.5

En cas de divergences entre la traduction du présent Accord et la version originale en anglais, la version originale prévaudra.

2.6

Les références mentionnées dans les CCT du Responsable du traitement concernant les "Conditions de protection des données Google Ads relatives aux Responsable du traitement-Responsable du traitement" sont considérées comme des "Conditions Google relatives à la protection des données Responsable du traitement-Responsable du traitement du service de mesure".

3. Application des présentes Conditions relatives au Responsable du traitement

3.1 Général

Les présentes Conditions relatives au Responsable du traitement ne s'appliqueront qu'au Paramètre de partage des données pour lequel les parties ont accepté les présentes Conditions relatives au Responsable du traitement (par exemple, le Paramètre de partage des données pour lequel le Client a cliqué pour accepter les présentes Conditions relatives au Responsable du traitement).

3.2 Durée

Les présentes Conditions relatives au Responsable du traitement s'appliqueront à partir de la Date d'entrée en vigueur des Conditions et continueront de s'appliquer tant que Google ou le Client traiteront des Données à caractère personnel détenues par le Responsable du traitement. Ces Conditions relatives au Responsable du traitement seront résiliées automatiquement lorsque ce traitement cessera.

4. Rôles et restrictions quant au traitement

4.1 Responsables indépendants du traitement

Sous réserve des dispositions de la Section 4.4 (Responsables finaux du traitement), chaque partie :

• (a) est un responsable indépendant du traitement des Données à caractère personnel détenues par le Responsable du traitement ;
• (b) déterminera individuellement les finalités et les modalités du traitement des Données à caractère personnel détenues par le Responsable du traitement ; et
• (c) respectera les obligations applicables en vertu de la Législation applicable sur la protection des données pour le traitement des Données à caractère personnel détenues par le Responsable du traitement.

4.2 Restrictions sur le traitement

La Section 4.1 (Responsables indépendants du traitement) n'aura aucun effet sur les restrictions applicables aux parties quant à leurs droits d'utilisation ou de traitement des Données à caractère personnel détenues par le Responsable du traitement en vertu de l'Accord.

4.3 Consentement de l'Utilisateur final

Le Client respectera les Règles applicables au partage des Données à caractère personnel détenues par le Responsable du traitement dans le cadre du Paramètre de partage des données et aura à tout moment la charge de la preuve de cette conformité.

4.4 Responsables finaux du traitement

Sans réduire les obligations d'aucune des parties en vertu des présentes Conditions relatives au Responsable du traitement, chaque partie reconnaît : (a) que les Sociétés affiliées ou les clients de l'autre partie peuvent être des Responsables finaux du traitement ; et (b) que l'autre partie peut agir en tant que sous-traitant au nom de ses Responsables finaux du traitement. Chaque partie devra s'assurer que ses Responsables finaux du traitement respectent les Conditions relatives au Responsable du traitement.

4.5 Transparence

Le Client reconnaît que Google a publié des informations quant à la façon dont il utilise les informations provenant des sites, applications ou autres propriétés qui utilisent ses services sur la page https://business.safety.google/privacy/. Sans préjudice de ses obligations décrites à la Section 4.1(c), le Client peut créer un lien vers cette page pour fournir aux Personnes concernées des informations sur le traitement, par Google, des Données à caractère personnel détenues par le Responsable du traitement.

5. Responsabilité

5.1

Si Google est :

• (a) partie à l'Accord et que l'Accord est régi par les lois :
  • (i) d'un État des États-Unis d'Amérique, alors, nonobstant tout ce qui figure dans l'Accord, la responsabilité totale de l'une des parties vis-à-vis de l'autre partie en vertu des présentes Conditions relatives au Responsable du traitement ou en lien avec celles-ci sera limitée à la valeur monétaire ou au paiement maximal auquel la responsabilité de cette partie est plafonnée en vertu de l'Accord (et donc, toute exclusion de demande d'indemnisation issue de toute clause limitative de responsabilité de l'Accord ne sera pas applicable aux demandes d'indemnisations faites en application de l'Accord et relatives à la Législation applicable sur la protection des données) ; ou
  • (ii) d'une juridiction qui n'est pas un État des États-Unis d'Amérique, alors la responsabilité des parties en vertu des présentes Conditions relatives au Responsable du traitement ou en relation avec celles-ci sera sujette aux exclusions et aux limitations de responsabilité figurant dans l'Accord ; ou
• (b) non partie à l'Accord, dans la mesure autorisée par la loi applicable, Google décline toute responsabilité pour toute perte de revenu ou tous dommages indirects, spéciaux, accessoires, consécutifs, y compris tous dommages et intérêts punitifs ou exemplaires subis par le Client, même dans les cas où Google ou ses Sociétés affiliées ont été prévenus, savaient ou auraient dû savoir que de tels préjudices n'ouvrent pas de voie de recours. La responsabilité totale cumulative de Google (et de ses Sociétés affiliées) envers le Client ou toute autre partie, pour toute perte ou tout préjudice résultant de réclamations, demandes ou poursuites découlant des présentes Conditions relatives au Responsable du traitement ou liées à celles-ci ne pourra excéder 500 $ (USD).

6. Incidence des Conditions relatives au Responsable du traitement

6.1 Ordre de priorité

En cas de conflits ou d'incohérences entre les Conditions supplémentaires, le reste des présentes Conditions relatives au Responsable du traitement et/ou le reste de l'Accord, sous réserve des Sections 4.2 (Restrictions sur le traitement) et 6.2 (Aucune incidence sur les Conditions du sous-traitant), l'ordre de priorité suivant s'applique : (a) les Conditions supplémentaires (le cas échéant) ; (b) le reste des présentes Conditions relatives au Responsable du traitement ; et (c) le reste de l'Accord. Sous réserve des modifications apportées aux présentes Conditions relatives au Responsable du traitement, l'Accord entre Google et le Client restera en vigueur.

6.2 Aucune incidence sur les Conditions du sous-traitant

Les présentes Conditions relatives au Responsable du traitement ne remplaceront et n'affecteront aucune des Conditions du sous-traitant. Par souci de clarification, si le Client est partie aux Conditions du sous-traitant en lien avec les Services de mesure, les Conditions du sous-traitant continueront de s'appliquer aux Services de mesure, nonobstant l'application des présentes Conditions relatives au Responsable du traitement aux Données à caractère personnel détenues par le Responsable du traitement conformément au Paramètre de partage des données.

7. Modifications apportées aux présentes Conditions relatives au Responsable du traitement

7.1 Modifications apportées aux Conditions relatives au Responsable du traitement

Google peut modifier les présentes Conditions relatives au Responsable du traitement si la modification :

• (a) reflète une modification du nom ou de la forme d'une entité juridique ;
• (b) est nécessaire pour se conformer au droit applicable, à la réglementation applicable, à une ordonnance du tribunal ou à une directive émise par un organisme de réglementation ou une administration gouvernementale, ou si elle reflète l'adoption par Google d'une Solution de transfert alternative (telle que définie à l'Annexe 1A) ;
• (c) est comme décrite à la Section 7.2 (Modifications apportées aux URL) ; ou
• (d) ne vise pas (i) à modifier autrement la classification des parties en tant que responsables du traitement des Données à caractère personnel détenues par le Responsable du traitement en vertu de la Législation applicable sur la protection des données, (ii) à étendre la portée des droits d'utilisation ou de traitement des Données à caractère personnel détenues par le Responsable du traitement par les parties ou à supprimer des restrictions concernant ces droits, ou (iii) à avoir un impact négatif substantiel sur le Client, tel que raisonnablement déterminé par Google.

7.2 Modifications apportées aux URL

Google est susceptible de modifier de temps en temps toute URL référencée dans les présentes Conditions relatives au Responsable du traitement et le contenu de ces URL.

7.3 Notification de modifications

Si Google a l'intention de modifier les présentes Conditions relatives au Responsable du traitement conformément à la Section 7.1(b) et que cette modification aura un impact négatif important sur le Client, tel que raisonnablement déterminé par Google, Google déploiera des efforts commercialement raisonnables pour informer le Client au moins 30 jours (ou toute période plus courte pouvant être requise pour se conformer au droit applicable, à la réglementation applicable, à une ordonnance du tribunal ou à une directive émise par un organisme de réglementation ou un organisme public) avant que la modification entre en vigueur. Si le Client s'oppose à une telle modification, le Client peut désactiver le Paramètre de partage des données.

8. Dispositions supplémentaires

8.1

La présente Section 8 (Dispositions supplémentaires) s'applique uniquement lorsque Google n'est pas partie à l'Accord.

8.2

Chaque partie respectera ses obligations en vertu des présentes Conditions relatives au Responsable du traitement avec une compétence et une diligence raisonnables.

8.3

Chacune des parties s'interdit d'utiliser ou de divulguer des Informations confidentielles appartenant à l'autre partie sans son autorisation préalable écrite, sauf pour exercer ses droits ou remplir ses obligations en vertu des présentes Conditions relatives au Responsable du traitement, ou si le droit, la réglementation ou une ordonnance du tribunal l'exige. Toute partie soumise à une telle exigence légale, réglementaire ou judiciaire de divulgation des Informations confidentielles informera l'autre partie dans les meilleurs délais raisonnables avant la divulgation.

8.4

Dans toute la mesure autorisée par la loi applicable, sauf disposition contraire explicite dans les présentes Conditions relatives au Responsable du traitement, Google ne donne aucune garantie de quelque nature que ce soit, expresse, implicite, réglementaire ou autre, y compris, sans s'y limiter, toute garantie de qualité marchande, d'adéquation à un usage particulier et d'absence d'atteinte à des droits.

8.5

Aucune partie ne peut être tenue pour responsable d'un défaut ou d'un retard d'exécution dans la mesure où celui-ci est causé par des circonstances échappant à son contrôle raisonnable.

8.6

Si l'une des présentes Conditions relatives au Responsable du traitement (ou une partie d'une condition) est nulle, illégale ou non applicable, le reste des présentes demeure en vigueur.

8.7

(a) Sauf disposition contraire de la section (b) ci-dessous, les présentes Conditions relatives au Responsable du traitement sont régies par les lois de l'État de Californie et interprétées conformément à celles-ci, sans prendre en compte les conflits des principes de droit. Les lois, règles et réglementations de Californie prévalent en cas de conflit avec les lois, règles et réglementations d'un autre pays. Chaque partie accepte de se soumettre à la juridiction personnelle et exclusive des tribunaux du comté de Santa Clara en Californie. La Convention des Nations Unies sur les contrats de vente internationale de marchandises et la loi américaine sur l'uniformisation des transactions informatiques (Uniform Computer Information Transactions Act) ne s'appliquent pas aux présentes Conditions relatives au Responsable du traitement.

(b) Lorsque l'Accord est conclu entre le Client et un revendeur tiers, et que celui-ci est établi en Europe, au Moyen-Orient ou en Afrique, les présentes Conditions relatives au Responsable du traitement sont régies par la législation anglaise. Chaque partie accepte de se soumettre à la juridiction exclusive des tribunaux anglais en cas de litige (contractuel ou non) découlant des Conditions relatives au Responsable du traitement ou en lien avec celles-ci.

(c) Si les CCT du Responsable du traitement s'appliquent et prévoient une loi applicable différente des lois décrites dans les sections (a) et (b) ci-dessus, seule la loi applicable énoncée dans les CCT du Responsable du traitement s'applique, en vertu de ces mêmes CCT du Responsable du traitement.

(d) La Convention des Nations Unies sur les contrats de vente internationale de marchandises et la loi américaine sur l'uniformisation des transactions informatiques (Uniform Computer Information Transactions Act) ne s'appliquent pas aux présentes Conditions relatives au Responsable du traitement.

8.8

Tous les avis de résiliation ou de violation doivent être rédigés en anglais et adressés au service juridique de l'autre partie. Les avis destinés au service juridique de Google doivent être envoyés à l'adresse legal-notices@google.com. Ils sont considérés comme remis dès qu'il peut être prouvé qu'ils ont été reçus à l'aide d'un accusé de réception écrit ou automatique, ou d'un journal électronique (selon le cas).

8.9

Aucune partie ne sera considérée comme ayant renoncé à un droit du fait d'un défaut (ou retard) d'exercice de ses droits en vertu des présentes Conditions relatives au Responsable du traitement. Aucune partie ne peut céder une partie des présentes Conditions relatives au Responsable du traitement sans l'autorisation écrite de l'autre partie, sauf à une Société affiliée, mais uniquement (a) si le cessionnaire a accepté par écrit d'être lié par les termes des présentes Conditions relatives au Responsable du traitement ; (b) si la partie cédante demeure responsable des obligations contractées, en vertu des présentes Conditions relatives au Responsable du traitement, en cas de manquement du cessionnaire vis-à-vis de ces obligations ; (c) si le Client, en tant que partie cédante, a transféré son/ses compte(s) de Services de mesure au cessionnaire et (d) si la partie cédante a informé l'autre partie de la cession. Toute autre tentative de cession sera considérée comme nulle et non avenue.

8.10

Les parties en présence sont des prestataires indépendants. Les présentes Conditions relatives au Responsable du traitement ne sauraient créer entre les parties de relation de type mandat, partenariat ou joint-venture. Les présentes Conditions relatives au Responsable du traitement ne confèrent aucun avantage à un tiers, sauf indication contraire expresse.

8.11

Dans la mesure autorisée par la loi applicable, les présentes Conditions relatives au Responsable du traitement fixent l'intégralité des conditions convenues entre les parties. En acceptant les présentes Conditions relatives au Responsable du traitement, aucune des parties n'a invoqué une quelconque déclaration, représentation ou garantie (faite par négligence ou en toute innocence), et aucune des parties n'a le droit de demander réparation sur la base d'une quelconque déclaration, représentation ou garantie (faite par négligence ou en toute innocence), à l'exception de celles expressément stipulées dans les présentes.

 

Annexe 1 : Conditions supplémentaires liées à la législation applicable sur la protection des données

PARTIE A – CONDITIONS SUPPLÉMENTAIRES LIÉES À LA LÉGISLATION EUROPÉENNE SUR LA PROTECTION DES DONNÉES

1. Introduction

La présente Annexe 1A ne s'appliquera que dans la mesure où la Législation européenne sur la protection des données s'applique au traitement des Données à caractère personnel détenues par le Responsable du traitement.

2. Définitions

2.1 Dans la présente Annexe 1A :

"Pays approprié" désigne :

• (a) pour les données traitées sujettes au RGPD de l'UE : l'EEE, ou un pays ou territoire reconnu comme assurant une protection des données adéquate en vertu du RGPD de l'UE ;
• (b) pour les données traitées sujettes au RGPD du Royaume-Uni : le Royaume-Uni, ou un pays ou territoire reconnu comme assurant une protection adéquate en vertu du RGPD du Royaume-Uni et du Data Protection Act 2018 ; et/ou
• (c) pour les données traitées sujettes à la loi fédérale suisse sur la protection des données (LPD) : la Suisse, ou un pays ou territoire (i) inclus dans la liste des États dont la législation assure un niveau de protection des données adéquat conformément à la publication du Préposé fédéral suisse à la protection des données et à la transparence, ou (ii) reconnu comme assurant une protection adéquate par le Conseil fédéral suisse en vertu de la LPD suisse (dans chaque cas, en dehors d'un cadre général facultatif sur la protection des données).

"Solution de transfert alternative" désigne une solution autre que les CCT du Responsable du traitement, qui permet le transfert légal de données à caractère personnel vers un pays tiers, conformément à la Législation européenne sur la protection des données (par exemple, un cadre général sur la protection des données reconnu comme assurant une protection adéquate par les entités participantes).

"CCT du Responsable du traitement" désigne les conditions disponibles à l'adresse business.safety.google/adscontrollerterms/sccs/c2c.

"EEE" désigne l'Espace économique européen.

"Données à caractère personnel détenues par le Responsable du traitement en Europe" désigne les Données à caractère personnel détenues par le Responsable du traitement des Personnes concernées dans l'EEE ou en Suisse.

"Législation européenne" signifie selon les cas, (a) la législation de l'UE ou d'un des pays membres de l'UE (si le RGPD de l'UE s'applique au traitement des Données à caractère personnel détenues par le Responsable du traitement) ; (b) la législation du Royaume-Uni ou d'une partie du Royaume-Uni (si le RGPD du Royaume-Uni s'applique au traitement des Données à caractère personnel détenues par le Responsable du traitement) ; et (c) la loi suisse (si la LPD suisse s'applique au traitement des Données à caractère personnel détenues par le Responsable du traitement).

"Responsables finaux du traitement Google" désigne les Responsables finaux du traitement des Données à caractère personnel détenues par le Responsable du traitement traitées par Google.

"Transferts autorisés en Europe" désigne le traitement des Données à caractère personnel détenues par le Responsable du traitement dans un Pays approprié ou le transfert des Données à caractère personnel détenues par le Responsable du traitement vers un Pays approprié.

Le terme "Transfert(s) limité(s) en Europe" désigne les transferts des Données à caractère personnel détenues par le Responsable du traitement qui : (a) sont concernés par la Législation européenne sur la protection des données ; et (b) ne sont pas autorisés en Europe.

"Données à caractère personnel détenues par le Responsable du traitement au Royaume-Uni" désigne les Données à caractère personnel détenues par le Responsable du traitement des Personnes concernées au Royaume-Uni.

2.2 Les termes "importateur de données" et "exportateur de données" ont la signification donnée dans les CCT du Responsable du traitement.

3. Responsables finaux du traitement Google

Les Responsables finaux du traitement Google sont : (i) Google Ireland Limited pour les Données à caractère personnel détenues par le Responsable du traitement en Europe traitées par Google ; et (ii) Google LLC pour les Données à caractère personnel détenues par le Responsable du traitement au Royaume-Uni traitées par Google. Chaque partie devra s'assurer que ses Responsables finaux du traitement respectent les CCT du Responsable du traitement, le cas échéant.

4. Transferts de données

4.1 Transferts limités en Europe. Chaque partie peut effectuer des Transferts limités en Europe si elle respecte les dispositions correspondantes de la Législation européenne sur la protection des données.

4.2 Solution de transfert alternative

• (a) Si Google a adopté une Solution de transfert alternative pour les Transferts limités en Europe : (i) Google s'assurera que ces Transferts limités en Europe sont réalisés conformément à cette Solution de transfert alternative ; et (ii) le paragraphe 5 (CCT du Responsable du traitement) de la présente Annexe 1A ne s'appliquera pas à ces Transferts limités en Europe.
• (b) Si Google n'a adopté aucune Solution de transfert alternative pour les Transferts limités en Europe ou a informé le Client que Google n'en adopterait plus, le paragraphe 5 (CCT du Responsable du traitement) de la présente Annexe 1A s'appliquera à ces Transferts limités en Europe.

4.3 Dispositions ultérieures concernant les transferts

• (a) Application du paragraphe 4.3. Les paragraphes 4.3(b) (Utilisation des Données à caractère personnel du Fournisseur de données) et 4.3(c) (Protection des Données à caractère personnel du Fournisseur de données) de la présente Annexe 1A ne s'appliqueront que dans la mesure où :
  • (i) l'une des parties (le "Destinataire des données") traite les Données à caractère personnel détenues par le Responsable du traitement qui sont mises à disposition par l'autre partie (le "Fournisseur de données") dans le cadre de l'Accord (les Données à caractère personnel détenues par le Responsable du traitement étant alors désignées "Données à caractère personnel du Fournisseur de données") ;
  • (ii) le Fournisseur de données ou sa Société affiliée sont certifiés dans le cadre d'une Solution de transfert alternative ; et
  • (iii) le Fournisseur de données notifie par écrit le Destinataire des données de ladite Solution de transfert alternative.
• (b) Utilisation des Données à caractère personnel du Fournisseur de données.
  • (i) Dans la mesure où une Solution de transfert alternative applicable inclut des principes de transfert ultérieurs, en vertu de ces principes dans le cadre de la Solution de transfert alternative concernée, le Destinataire des données n'utilisera les Données à caractère personnel du Fournisseur de données que d'une manière conforme au consentement fourni par les Personnes concernées.
  • (ii) Si le Fournisseur de données n'obtient pas le consentement des Personnes concernées tel que requis en vertu de l'Accord, le Destinataire des données ne contreviendra pas au paragraphe 4.3(b)(i) s'il utilise des Données à caractère personnel du Fournisseur de données de manière compatible avec le consentement requis.
• (c) Protection des Données à caractère personnel du Fournisseur de données.
  • (i) Le Destinataire des données fournira un niveau de protection des Données à caractère personnel du Fournisseur de données au moins équivalent à celui exigé par la Solution de transfert alternative applicable.
  • (ii) Si le Destinataire des données estime qu'il ne peut pas se conformer au paragraphe 4.3(c)(i), il doit : (A) en informer le Fournisseur de données par écrit ; et (B) cesser de traiter les Données à caractère personnel du Fournisseur de données ou prendre des mesures raisonnables et appropriées pour remédier à une telle non-conformité.
• (d) Adoption et certification d'une Solution de transfert alternative. Pour en savoir plus sur l'adoption ou la certification par Google et/ou ses Sociétés affiliées de toute Solution de transfert alternative, accédez à https://policies.google.com/privacy/frameworks. Le présent paragraphe 4.3(d) constitue un avis écrit des certifications actuelles de Google et/ou ses Sociétés affiliées à la Date d'entrée en vigueur des Conditions aux fins du paragraphe 4.3(a)(iii).

5. CCT du Responsable du traitement

5.1 Transferts de Données à caractère personnel détenues par le Responsable du traitement en Europe vers le Client. Dans la mesure où :

• (a) Google transfère les Données à caractère personnel détenues par le Responsable du traitement en Europe au Client ; et
• (b) le transfert est un Transfert limité en Europe, le Client, en tant qu'importateur de données, sera considéré comme ayant accepté les CCT du Responsable du traitement auprès de Google Ireland Limited (le Responsable final du traitement Google applicable), l'exportateur de données et les transferts étant sujets aux CCT du Responsable du traitement.

5.2 Transferts de Données à caractère personnel détenues par le Responsable du traitement au Royaume-Uni vers le Client. Dans la mesure où :

• (a) Google transfère les Données à caractère personnel détenues par le Responsable du traitement au Royaume-Uni au Client ; et
• (b) le transfert est un Transfert limité en Europe, le Client, en tant qu'importateur de données, sera considéré comme ayant accepté les CCT du Responsable du traitement auprès de Google LLC (le Responsable final du traitement Google applicable), l'exportateur de données et les transferts étant sujets aux CCT du Responsable du traitement.

5.3 Transferts de Données à caractère personnel détenues par le Responsable du traitement en Europe vers Google. Les parties reconnaissent que, dans la mesure où le Client transfère des Données à caractère personnel détenues par le Responsable du traitement en Europe vers Google, les CCT du Responsable du traitement ne sont pas nécessaires, car l'adresse de Google Ireland Limited (le Responsable final du traitement Google applicable) se trouve dans un Pays approprié et ces transferts sont des Transferts autorisés en Europe. Cela n'affecte pas les obligations de Google décrites dans le paragraphe 4.1 (Transferts limités en Europe) de la présente Annexe 1A.

5.3 Transferts de Données à caractère personnel détenues par le Responsable du traitement du Royaume-Uni vers Google. Dans la mesure où le Client transfère des Données à caractère personnel détenues par le Responsable du traitement au Royaume-Uni à Google, le Client, en tant qu'exportateur de données, sera considéré comme ayant accepté les CCT du Responsable du traitement auprès de Google LLC (le Responsable final du traitement Google applicable), l'importateur de données et les transferts étant sujets aux CCT du Responsable du traitement, car Google LLC n'est pas établi dans un Pays approprié.

5.5 Communication avec Google et informations sur le Client

• (a) Le Client peut contacter Google Ireland Limited et/ou Google LLC au sujet des CCT du Responsable du traitement à l'adresse https://support.google.com/policies/troubleshooter/9009584 ou par tout autre moyen que Google est susceptible de proposer de temps en temps.
• (b) Le Client reconnaît que Google est tenu, en vertu des CCT du Responsable du traitement, d'enregistrer certaines informations, y compris (i) l'identité et les coordonnées de l'importateur de données (y compris tout contact chargé de la protection des données) ; et (ii) les mesures techniques et organisationnelles implémentées par l'importateur de données. En conséquence, le Client, sur demande et le cas échéant, fournira de telles informations à Google par les moyens que Google est susceptible de proposer dans ce but. Il s'assurera également que toutes les informations fournies sont exactes et à jour.

5.6 Répondre aux demandes des Personnes concernées. L'importateur de données concerné est tenu de répondre aux demandes des personnes concernées et de l'autorité de contrôle au sujet du traitement, par l'importateur de données, des Données à caractère personnel applicables détenues par le Responsable du traitement.

5.7 Suppression des données lors de la résiliation. Dans la mesure où :

• (a) Google LLC agit en tant qu'importateur de données et que le Client est l'exportateur de données en vertu des CCT du Responsable du traitement ; et
• (b) le Client résilie l'Accord conformément à la Clause 16(c) des CCT du Responsable du traitement, alors, aux fins de la Clause 16(d) des CCT du Responsable du traitement, le Client demande à Google de supprimer les Données à caractère personnel détenues par le Responsable du traitement et, sauf si la Législation européenne exige la conservation de ces données, Google facilitera leur suppression dans un délai raisonnable (en tenant compte du fait que Google est un Responsable indépendant du traitement de ces données, ainsi que de la nature et des fonctionnalités des Services de mesure).

6. Responsabilité lorsque les CCT du Responsable du traitement s'appliquent

Si les CCT du Responsable du traitement s'appliquent en vertu du paragraphe 5 (CCT du Responsable du traitement) de la présente Annexe 1A, la responsabilité totale combinée :

• (a) de Google, Google LLC et Google Ireland Limited à l'égard du Client ; et
• (b) du Client à l'égard de Google, Google LLC et Google Ireland Limited, en vertu ou dans le cadre du présent Accord et des CCT du Responsable du traitement combinés, sera soumise à la Section 5 (Responsabilité). La Clause 12 des CCT du Responsable du traitement n'affectera pas la phrase précédente.

7. Tiers bénéficiaires

Lorsque Google LLC et/ou Google Ireland Limited ne sont pas parties à l'Accord, mais sont parties aux CCT du Responsable du traitement applicables, conformément au paragraphe 5 (CCT du Responsable du traitement) de la présente Annexe 1A, Google LLC et/ou Google Ireland Limited (selon le cas) sera considéré comme un tiers bénéficiaire au sens de la Section 4.4 (Responsables finaux du traitement), paragraphes 3 (Responsables finaux du traitement Google), 5 (CCT du Responsable du traitement) et 6 (Responsabilité lorsque les CCT du Responsable du traitement s'appliquent) de la présente Annexe 1A. En cas de conflit ou d'incohérence entre le présent paragraphe 7 (Bénéficiaires tiers) et toute autre clause de l'Accord, le présent paragraphe 7 (Bénéficiaires tiers) s'applique.

8. Priorité

8.1 En cas de conflit ou d'incohérence entre les CCT du Responsable du traitement, la présente Annexe 1A, le reste des présentes Conditions relatives au Responsable du traitement et/ou le reste de l'Accord, les CCT du Responsable du traitement prévalent.

8.2 Clauses commerciales supplémentaires. Sous réserve des modifications apportées aux présentes Conditions relatives au Responsable du traitement, l’Accord restera en vigueur. Les paragraphes 5.5 (Communication avec Google) à 5.7 (Suppression des données lors de la résiliation) et le paragraphe 6 (Responsabilité lorsque les CCT du Responsable du traitement s'appliquent) de la présente Annexe 1A sont des clauses commerciales supplémentaires liées aux CCT du Responsable du traitement, conformément à la Clause 2(a) (Effet et invariabilité des clauses) des CCT du Responsable du traitement.

8.3 Non-modification des CCT du Responsable du traitement. Aucune disposition de l'Accord (y compris les présentes Conditions relatives au Responsable du traitement) n'a pour but de modifier ou de contredire les CCT du Responsable du traitement, ni de porter atteinte aux droits fondamentaux ou aux libertés des personnes concernées par la Législation européenne sur la protection des données.

PARTIE B – CONDITIONS SUPPLÉMENTAIRES POUR LES LOIS SUR LA CONFIDENTIALITÉ DANS LES ÉTATS AMÉRICAINS

1. Introduction

Google peut proposer et le Client peut activer des paramètres, des configurations ou d'autres fonctionnalités intégrés au produit pour les Services de mesure concernant le traitement restreint des données, conformément à la documentation correspondante disponible sur la page business.safety.google/rdp ("Traitement restreint des données"), dont les dispositions sont mises à jour de temps en temps. La présente Annexe 1B reflète l'accord des parties sur le traitement des Données à caractère personnel et des Données anonymisées du Client (tel que défini ci-dessous) conformément à l'Accord en vertu des Lois des États américains sur la confidentialité, et elle est valable uniquement dans la mesure où chaque loi sur la confidentialité des États américains s'applique.

2. Définitions et interprétation supplémentaires

Aux fins de la présente Annexe 1B :

• (a) Le terme "Données à caractère personnel du Client" désigne les données à caractère personnel traitées par Google pour le compte du Client dans le cadre de la fourniture des Services de mesure par Google.
• (b) Le terme "Données anonymisées" désigne les informations qui ont été "anonymisées" (tel que le terme est défini par la loi CCPA) et les "données anonymisées" (telles que définies par d'autres Lois des États américains sur la confidentialité) lorsqu'elles sont divulguées par une partie à l'autre.
• (c) Le terme "Instructions" désigne collectivement les instructions données par le Client à Google pour traiter les Données à caractère personnel du Client uniquement en vertu des Lois des États américains sur la confidentialité : (a) pour fournir les Services de traitement restreint des données (TRD, Restricted Data Processing) et toute assistance technique associée ; (b) telles que spécifiées par l'utilisation par le Client des Services TRD (y compris dans les paramètres et autres fonctionnalités de ces Services TRD) et toute assistance technique associée ; (c) telles que documentées sous la forme de l'Accord, y compris la présente Annexe 1B ; (d) telles que documentées dans d'autres instructions écrites fournies par le Client et reconnues par Google comme des instructions aux fins de la présente Annexe 1B ; et (e) pour traiter des Données à caractère personnel du Client conformément aux Lois des États américains sur la confidentialité pour les fournisseurs de services et les sous-traitants.
• (d) Le terme "Services TRD" désigne les Services du Responsable du traitement opérant dans le cadre du Traitement restreint des données.
• (e) Le terme Période de validité" désigne la période allant de la Date d'entrée en vigueur des Conditions jusqu'à la fin de la fourniture par Google des Services de mesure en vertu de l'Accord.
• (f) Les termes "entreprise", "consommateur", "informations personnelles", "vente(s)", "vendre", "fournisseur de services" et "partager" tels que définis dans la présente Annexe 1B ont la signification indiquée dans les Lois des États américains sur la confidentialité.
• (g) Le Client est seul responsable du respect de chacune des Lois des États américains sur la confidentialité lorsqu'il utilise les services de Google, y compris en ce qui concerne le Traitement restreint des données.

3. Conditions des Lois des États américains sur la confidentialité (dans le cadre du Traitement restreint des données)

3.1 Traitement des données

3.1.1

• (a) Responsabilités du sous-traitant et du Responsable du traitement. Les parties reconnaissent et conviennent de ce qui suit :
  • (i) Le paragraphe 7 (Objet et détails du traitement des données conformément aux Lois des États américains sur la confidentialité) de la présente Annexe 1B décrit l'objet et les détails du traitement des Données à caractère personnel du Client.
  • (ii) Google est un fournisseur de services et un sous-traitant des Données à caractère personnel du Client conformément aux Lois des États américains sur la confidentialité.
  • (iii) Le Client est un responsable du traitement ou un sous-traitant, selon le cas, des Données à caractère personnel du Client en vertu des Lois des États américains sur la confidentialité.
• (b) Clients sous-traitants. Si le Client est un sous-traitant :
  • (i) Le Client garantit de façon continue que le responsable du traitement compétent a autorisé : (A) les Instructions, (B) la nomination par le Client de Google en tant qu'autre sous-traitant et (C) l'engagement par Google de sous-traitants, comme décrit dans le paragraphe 3.6 (Sous-traitants) de la présente Annexe 1B.
  • (ii) Le Client transmet immédiatement au responsable du traitement concerné toute notification fournie par Google en vertu des paragraphes 3.3.2(a) (Notification d'incident) et 3.6 (Sous-traitants).
  • (iii) Le Client peut mettre à la disposition du responsable du traitement concerné toute information fournie par Google en vertu des paragraphes 3.3.3(c) (Droits d'audit du Client) et 3.6 (Sous-traitants).

3.1.2 Instructions du Client. En acceptant la présente Annexe 1B, le Client demande à Google de traiter ses Données à caractère personnel uniquement conformément aux Instructions.

3.1.3 Respect des Instructions par Google. Google se conformera aux Instructions, sauf si les Lois des États américains sur la confidentialité les interdisent.

3.1.4 Produits complémentaires. Si le Client utilise un produit, un service ou une application fournis par Google ou un tiers qui : (a) ne font pas partie des Services TRD et (b) sont accessibles dans l'interface utilisateur des Services TRD ou sont autrement intégrés aux Services TRD (un "Produit complémentaire"), les Services TRD peuvent autoriser ce Produit complémentaire à accéder aux Données à caractère personnel du Client nécessaires pour l'interopérabilité du Produit complémentaire avec les Services TRD. À des fins de clarté, la présente Annexe 1B ne s'applique pas au traitement des données à caractère personnel lié à la fourniture de tout Produit complémentaire utilisé par le Client, y compris les données à caractère personnel transmises vers ou à partir de ce Produit complémentaire.

3.2. Suppression des données à l'expiration de la période de validité. Le Client demande à Google de supprimer toutes ses Données à caractère personnel restantes (y compris les copies existantes) des systèmes de Google à la fin de la Période de validité conformément à la législation applicable. Google se conformera à cette consigne dès que possible et dans un délai maximal de 180 jours, sauf si la législation applicable exige la conservation de ces données.

3.3. Sécurité des données

3.3.1 Mesures et assistance de Google en termes de sécurité

• (a) Mesures de sécurité de Google. Google s'engage à implémenter et gérer des mesures techniques et organisationnelles pour protéger les Données à caractère personnel du Client contre la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé accidentels ou illégaux (les "Mesures de sécurité"). Ces Mesures de sécurité incluent des mesures : (i) pour chiffrer les données à caractère personnel ; (ii) pour contribuer à assurer en permanence la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et services de Google ; (iii) pour aider à rétablir rapidement l'accès aux données à caractère personnel à la suite d'un incident ; et (iv) pour tester régulièrement l'efficacité. Google est susceptible d'actualiser ou de modifier les Mesures de sécurité de temps en temps, à condition que ces actualisations et modifications n'entraînent pas la dégradation de la sécurité globale des Données à caractère personnel du Client.
• (b) Accès et conformité. Google s'assurera que toutes les personnes autorisées à traiter les Données à caractère personnel du Client se sont engagées à respecter leur confidentialité ou sont tenues d'observer des obligations statutaires de confidentialité appropriées.
• (c) Assistance de Google en termes de sécurité. Google aidera (selon la nature du traitement des Données à caractère personnel du Client et les informations à la disposition de Google) le Client à remplir ses obligations (ou lorsque le Client est un sous-traitant, celles du responsable du traitement concerné) concernant la sécurité des données à caractère personnel et les violations de données à caractère personnel, y compris les obligations du Client (ou lorsque le Client est un sous-traitant, les obligations applicables du responsable du traitement) concernant la sécurité des données à caractère personnel et les violations de données à caractère personnel en vertu des Lois des États américains sur la confidentialité :
  • (i) en implémentant et gérant des Mesures de sécurité conformément au paragraphe 3.3.1(a) (Mesures de sécurité de Google) ;
  • (ii) en respectant les dispositions du paragraphe 3.3.2 (Incidents liés aux données) ; et
  • (iii) en assurant au Client les droits accordés en vertu du paragraphe 3.3.3(c) (Droits d'audit du Client).

3.3.2 Incidents liés aux données

• (a) Notification d'incident. Si Google a connaissance d'un Incident lié aux données (tel que défini ci-dessous), il : (i) informera le Client de l'incident dans les meilleurs délais ; et (ii) prendra rapidement des mesures raisonnables pour réduire les dommages et sécuriser les Données à caractère personnel du Client. Aux fins de la présente Annexe 1B, un "Incident lié aux données" désigne une violation de la sécurité de Google entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentels ou illégaux à des Données à caractère personnel du Client sur des systèmes gérés ou contrôlés par Google. Les "Incidents liés aux données" n'incluent pas les tentatives infructueuses ni les activités ne mettant pas en jeu la sécurité des Données à caractère personnel du Client, comme les tentatives de connexion non abouties, les pings, les analyses de port, les attaques par déni de service, ni les autres attaques de réseau touchant les pare-feu ou les systèmes en réseau.
• (b) Envoi de la notification. Google transmettra sa notification d'Incident lié aux données à l'adresse e-mail indiquée par le Client, par le biais de l'interface utilisateur des Services TRD ou de tout autre moyen fourni par Google, afin de recevoir certaines notifications de la part de Google concernant la présente Annexe 1B ("Adresse e-mail de notification") ou, à la discrétion de Google (y compris si le Client n'a pas fourni d'Adresse e-mail de notification), par l'intermédiaire d'un autre mode de communication directe (appel téléphonique, e-mail ou réunion en personne, par exemple). Il est de la responsabilité exclusive du Client de fournir l'Adresse e-mail de notification et de s'assurer qu'elle est à jour et valide.
• (c) Notifications de tiers. Il est de la responsabilité exclusive du Client de respecter les lois applicables en termes de notification des incidents et de se conformer aux obligations de notification des tiers en cas d'éventuels Incidents liés aux données.
• (d) Pas de reconnaissance de faute par Google. La notification par Google d'un Incident lié aux données ou sa réponse à un tel incident conformément au présent paragraphe 3.3.2 (Incidents liés aux données) ne saurait être interprétée comme une reconnaissance de faute ou de culpabilité par Google concernant l'Incident lié aux données.

3.3.3 Responsabilités du Client en termes de sécurité et évaluation de la sécurité

• (a) Responsabilités du Client en termes de sécurité. Le Client accepte que, sans préjudice des obligations de Google décrites dans les paragraphes 3.3.1 (Mesures et assistance de Google en termes de sécurité) et 3.3.2 (Incidents liés aux données) :
  • (i) le Client est responsable de son utilisation des Services TRD, y compris : (1) de l'utilisation appropriée des Services TRD pour garantir un niveau de sécurité adapté au risque en ce qui concerne les Données à caractère personnel du Client ; et (2) de la sécurisation des identifiants d'authentification du compte, des systèmes et des appareils que le Client utilise pour accéder aux Services TRD ; et
  • (ii) Google n'est pas tenu de protéger les Données à caractère personnel du Client que le Client choisit de stocker ou de transférer en dehors des systèmes de Google et de ses sous-traitants.
• (b) Évaluation de la sécurité par le Client. Le Client reconnaît et accepte que les Mesures de sécurité implémentées et gérées par Google conformément au paragraphe 3.3.1(a) (Mesures de sécurité de Google) offrent un niveau de sécurité adapté au risque en ce qui concerne les Données à caractère personnel du Client, compte tenu de la technologie disponible, des coûts d'implémentation, et de la nature, du champ d'application, du contexte et des finalités du traitement des Données à caractère personnel du Client, ainsi que des risques encourus par les personnes physiques.
• (c) Droits d'audit du Client.
  • (i) Le Client peut effectuer un audit pour vérifier que Google respecte ses obligations en vertu de la présente Annexe 1B en demandant et en examinant (1) un certificat émis pour la vérification de sécurité reflétant les résultats d'un audit mené par un vérificateur tiers (par exemple, la certification SOC 2 Type II ou ISO/CEI 27001 ou certification équivalente, ou une autre certification de sécurité d'un audit mené par un vérificateur tiers avec l'accord du Client et de Google), dans un délai de 12 mois à compter de la date de la demande du Client et (2) toute autre information que Google juge raisonnablement nécessaire au Client pour vérifier une telle conformité.
  • (ii) Par ailleurs, Google peut, à sa seule discrétion et en réponse à une demande du Client, lancer un audit tiers pour vérifier la conformité de Google à ses obligations en vertu de la présente Annexe 1B. Au cours de cet audit, Google mettra à la disposition du vérificateur tiers toutes les informations nécessaires pour prouver la conformité. Si le Client demande un tel audit, Google pourra facturer des frais (sur la base des coûts raisonnables de Google). Google fournira au Client des informations supplémentaires concernant les frais applicables et la base de leur calcul avant tout audit. Le Client est responsable des frais facturés par le vérificateur tiers qu'il a nommé pour effectuer l'audit.
  • (iii) Aucune disposition de la présente Annexe 1B n'impose à Google de divulguer au Client ou à son vérificateur tiers, ou d'autoriser le Client ou son vérificateur tiers à accéder à :
    • (1) toute donnée de tout autre client d'une Entité Google ;
    • (2) toute information comptable ou financière interne de toute Entité Google ;
    • (3) tout secret commercial d'une Entité Google ;
    • (4) toute information qui, selon l'opinion raisonnable de Google, pourrait : (A) compromettre la sécurité des systèmes ou des locaux de l'Entité Google ; ou (B) causer la violation par toute Entité Google de ses obligations en vertu des Lois des États américains sur la confidentialité, ou de ses obligations en termes de sécurité et/ou de confidentialité envers le Client ou un tiers ; ou
    • (5) toute information à laquelle le Client ou son vérificateur tiers cherche à accéder pour toute raison autre que la réalisation en toute bonne foi des obligations du Client en vertu des Lois des États américains sur la confidentialité.

3.4 Assistance pour les analyses d'impact. Google aidera (compte tenu de la nature du traitement et des informations à la disposition de Google) le Client à remplir ses obligations (ou, s'il est sous-traitant, celles du responsable du traitement) en ce qui concerne les analyses d'impact relatives à la protection des données et les consultations réglementaires préalables, dans la mesure requise par les Lois des États américains sur la confidentialité par :

• (a) la mise à disposition de la Documentation sur la sécurité ;
• (b) la mise à disposition des informations contenues dans l'Accord (y compris la présente Annexe 1B) ; et
• (c) la mise à disposition, conformément aux pratiques standards de Google, d'autres documents concernant la nature des Services TRD et le traitement des Données à caractère personnel du Client (par exemple, les contenus du centre d'aide).

3.5. Droits des personnes concernées

3.5.1 Réponses aux demandes des personnes concernées. Si Google reçoit une demande d'une personne concernée par les Données à caractère personnel du Client, le Client autorise Google (qui notifiera le Client) à :

• (a) répondre directement à la demande de la personne concernée, conformément aux fonctionnalités standards d'un outil (le cas échéant) mis à disposition des personnes concernées par une Entité Google pour permettre à Google de répondre directement et de manière standardisée à certaines demandes des personnes concernées sur les Données à caractère personnel du Client (par exemple, les paramètres de la publicité en ligne ou un plug-in de navigateur pour la désactivation) ("Outil pour les personnes concernées") (si la demande est effectuée par l'intermédiaire d'un Outil pour les personnes concernées) ; ou
• (b) conseiller à la personne concernée d'envoyer sa demande au Client, lequel sera tenu d'y répondre (si elle n'est pas envoyée par l'intermédiaire d'un Outil pour les personnes concernées).

3.5.2 Assistance de Google pour traiter les demandes des personnes concernées. Google s'engage à aider le Client à remplir ses obligations (ou, s'il est sous-traitant, celles du responsable du traitement approprié) en vertu des Lois des États américains sur la confidentialité pour répondre aux demandes d'exercice des droits de la personne concernée, en tenant compte dans tous les cas de la nature du traitement des Données à caractère personnel du Client et :

• (a) en fournissant les fonctionnalités des Services TRD ;
• (b) en respectant les engagements décrits au paragraphe 3.5.1 (Réponses aux demandes des personnes concernées) ; et
• (c) le cas échéant, en mettant à disposition des Outils pour les personnes concernées.

3.5.3 Rectification. Si le Client constate que certaines de ses Données à caractère personnel sont inexactes ou obsolètes, il est tenu de les rectifier ou de les supprimer si les Lois des États américains sur la confidentialité des données l'exigent, y compris (le cas échéant) à l'aide de la fonctionnalité des Services TRD.

3.6. Sous-traitants

• (a) Le Client autorise généralement Google à engager d'autres entités en tant que sous-traitants pour la fourniture des Services TRD. Quand il engage des sous-traitants, Google est tenu :
  • (i) de faire en sorte, par un contrat écrit, que (1) le sous-traitant n'accède aux Données à caractère personnel du Client et ne les utilise que dans la mesure nécessaire à l'exécution des obligations fixées dans le contrat de sous-traitance et ce, conformément à l'Accord (y compris à la présente Annexe 1B) ; et (2) si le traitement des Données à caractère personnel du Client est soumis aux Lois des États américains sur la confidentialité, de s'assurer que les obligations de protection des données visées à la présente Annexe 1B sont imposées au sous-traitant ;
  • (ii) d'informer le Client lorsqu'il engage un nouveau sous-traitant conformément aux Lois des États américains sur la confidentialité et, lorsque ces lois l'exigent, de donner au Client l'occasion de s'opposer à de tels nouveaux sous-traitants ; et
  • (iii) Google demeure entièrement responsable de toutes les obligations fixées dans le contrat de sous-traitance, ainsi que de tous les actes et omissions du sous-traitant.
• (b) Le Client peut s'opposer à un nouveau sous-traitant en résiliant immédiatement l'Accord pour des raisons de commodité après avoir envoyé un préavis écrit à Google, à condition que le Client fournisse ce préavis dans les 90 jours suivant la date à laquelle il a été informé de l'engagement du nouveau sous-traitant, tel que décrit au paragraphe 3.6(a)(ii) des présentes.

3.7 Communication avec Google. Le Client peut contacter Google concernant l'exercice de ses droits conformément à la présente Annexe 1B par le biais des méthodes décrites à l'adresse privacy.google.com/businesses/processorsupport ou par tout autre moyen que Google est susceptible de proposer de temps en temps.

4. Conditions des Lois des États américains sur la confidentialité

4.1 Données anonymisées. En ce qui concerne le traitement des Données à caractère personnel du Client avec ou sans traitement restreint des données, et dans la mesure où une ou plusieurs Lois des États américains sur la confidentialité s'appliquent au traitement des Données à caractère personnel du Client, chaque partie respectera les exigences de traitement des Données anonymisées prévues par les Lois des États américains sur la confidentialité pour les Données anonymisées reçues de l'autre partie dans le cadre de l'Accord. Aux fins du présent paragraphe 4.1 (Données anonymisées), le terme "Données à caractère personnel du Client" désigne les données à caractère personnel traitées par une partie dans le cadre de l'Accord en lien avec la fourniture ou l'utilisation des Services de mesure.

5. Obligations de Google concernant la loi CCPA

5.1 Concernant les Données à caractère personnel du Client traitées dans le cadre du Traitement restreint des données et dans la mesure où la loi CCPA s'applique à un tel traitement des Données à caractère personnel du Client, Google agira en tant que fournisseur de services du Client et, à ce titre, sauf autorisation contraire pour les fournisseurs de services prévue par la loi CCPA, d'une manière raisonnable déterminée par Google :

• (a) Google s'engage à ne pas vendre ni partager les Données à caractère personnel du Client obtenues auprès du Client dans le cadre de l'Accord ;
• (b) Google ne conservera, n'utilisera ni ne divulguera les Données à caractère personnel du Client (y compris en dehors de la relation commerciale directe entre Google et le Client), sauf aux fins commerciales prévues par la loi CCPA pour le compte du Client et dans le but spécifique d'exécuter les Services TRD, comme décrit plus en détail dans la documentation disponible à l'adresse business.safety.google/rdp et modifiée de temps en temps ;
• (c) Google ne combinera pas les Données à caractère personnel du Client que Google reçoit de ou au nom de celui-ci avec (i) des informations personnelles que Google reçoit d'une ou d'autres personnes, ou en son/leur nom, ni (ii) des informations personnelles collectées à partir de l'interaction personnelle de Google avec le consommateur, comme décrit plus en détail dans la documentation complémentaire disponible à l'adresse business.safety.google/rdp, sauf dans les limites autorisées par la loi CCPA ;
• (d) Google traitera de telles Données à caractère personnel du Client dans le but spécifique de fournir les Services TRD, comme décrit plus en détail dans l'Accord et les documents complémentaires (par exemple, les articles du centre d'aide), ou selon les modalités prévues par la loi CCPA, et les parties conviennent que le Client met à disposition de Google ces Données à caractère personnel du Client dans un tel but ;
• (e) Google autorisera les audits visant à vérifier que Google respecte ses obligations en vertu de la présente Annexe 1B conformément au paragraphe 3.3.3(c) (Droits d'audit du Client) ;
• (f) Google avertira le Client si Google établit qu'il ne peut plus remplir ses obligations en vertu de la loi CCPA. Le présent paragraphe 5.1(f) ne réduit pas les autres droits et obligations des parties prévus dans l'Accord.
• (g) Si le Client estime raisonnablement que Google traite les Données à caractère personnel du Client de manière non autorisée, il a le droit d'en informer Google à l'aide de l'une des méthodes décrites à l'adresse privacy.google.com/businesses/processorsupport, et les parties collaboreront de bonne foi pour corriger les activités de traitement mises en cause, si nécessaire ; et
• (h) Google se conformera aux obligations applicables en vertu de la loi CCPA et fournira le même niveau de protection de la confidentialité que celui exigé par la loi CCPA.

5.2 En ce qui concerne les Données à caractère personnel du Client traitées lorsque le Traitement restreint des données n'est pas activé, et dans la mesure où la loi CCPA s'applique au traitement des Données à caractère personnel du Client :

• (a) Google traitera ces Données à caractère personnel du Client dans le but spécifique de fournir les Services de mesure, si nécessaire et comme décrit plus en détail dans l'Accord et les documents complémentaires (par exemple, les articles du centre d'aide), ou selon les modalités prévues par la loi CCPA, et les parties conviennent que le Client met à disposition de Google ces Données à caractère personnel du Client dans un tel but ;
• (b) Google autorisera les audits visant à vérifier que Google respecte ses obligations en vertu de la présente Annexe 1B conformément au paragraphe 3.3.3(c) (Droits d'audit du Client) ;
• (c) Google avertira le Client si Google établit qu'il ne peut plus remplir ses obligations en vertu de la loi CCPA ;
• (d) Si le Client estime raisonnablement que Google traite les Données à caractère personnel du Client de manière non autorisée, il a le droit d'en informer Google via l'une des méthodes décrites à l'adresse privacy.google.com/businesses/processorsupport, et les parties collaboreront de bonne foi pour corriger les activités de traitement mises en cause, si nécessaire ; et
• (e) Google se conformera aux obligations applicables en vertu de la loi CCPA et fournira le même niveau de protection de la confidentialité que celui exigé par la loi CCPA.

6. Modifications de la présente Annexe 1B

En plus de la Section 7 des Conditions relatives au Responsable du traitement (Modifications des présentes Conditions relatives au Responsable du traitement), Google peut modifier la présente Annexe 1B sans préavis si la modification (a) est basée sur le droit applicable, la réglementation applicable, une ordonnance du tribunal ou une directive émise par un organisme de réglementation ou un organisme public, ou (b) n'a pas d'impact négatif substantiel pour le Client en vertu des Lois des États américains sur la confidentialité, tel que déterminé raisonnablement par Google.

7. Objet et détails du traitement des données conformément aux Lois des États américains sur la confidentialité

Il s'agit de la fourniture par Google des Services TRD et de toute assistance technique associée au Client.

Durée du traitement

Elle correspond à la Période de validité, plus la période allant de la fin de la Période de validité à la suppression de toutes les Données à caractère personnel du Client par Google conformément à l'Annexe 1B.

Nature et finalité du traitement

Google traitera (y compris, en ce qui concerne les Services TRD et les Instructions de collecte, d'enregistrement, d'organisation, de structuration, de stockage, de modification, de récupération, d'utilisation, de divulgation, de combinaison, de suppression et d'effacement) les Données à caractère personnel du Client dans le but de fournir au Client les Services TRD et l'assistance technique associée, conformément à l'Annexe 1B, ou dans les cas autorisés par les sous-traitants conformément aux Lois des États américains sur la confidentialité.

Types de données à caractère personnel

Les Données à caractère personnel du Client peuvent inclure les types de données à caractère personnel décrits en vertu des Lois des États américains sur la confidentialité.

Catégories de personnes concernées

Les Données à caractère personnel du Client porteront sur les catégories de personnes concernées suivantes :

• les personnes concernées au sujet desquelles Google recueille des données à caractère personnel dans le cadre de la fourniture des Services TRD ; et/ou
• les personnes concernées au sujet desquelles des données à caractère personnel sont transférées à Google (en lien avec les Services TRD) par le Client, à sa demande ou en son nom.

Selon la nature des Services TRD, ces personnes concernées peuvent inclure des personnes : (a) à qui la publicité en ligne a été ou sera adressée ; (b) qui ont visité des sites Web ou des applications spécifiques pour lesquels Google fournit les Services TRD ; et/ou (c) qui sont des clients ou des utilisateurs des produits ou services du Client.

 

Conditions Google relatives à la protection des données Responsable du traitement-Responsable du traitement du service de mesure, version 4.0

Versions précédentes

 

1er janvier 2023

21 septembre 2022

27 septembre 2021

16 août 2020

12 août 2020

4 novembre 2019