1.2. Pour les autres termes qui ne sont ni définis dans le présent article 1 ni ailleurs dans le présent C2C DPA, il conviendra de se référer à la définition fournie par la Loi sur la protection des données.
1.3. En cas de conflit entre l’Accord et le C2C DPA ou l’avenant aux présentes, ce sont les deux derniers qui prévaudront.
1.4. En cas de conflit entre le présent C2C DPA et tout avenant au présent C2C DPA (y compris les CCT), la disposition la plus stricte prévaudra.
2. Finalité du traitement
2.1. Sauf accord contraire dans l’Accord ou dans le présent C2C DPA, ou si une Partie a obtenu le consentement valide de la Personne concernée, chaque Partie ne traitera les Données personnelles qu’elle a reçues de l’autre Partie que dans la mesure où cela est nécessaire pour se conformer à ses obligations en vertu de l’Accord et du présent C2C DPA (y compris les CCT).
3. Durée
3.1. Le C2C DPA sera applicable à compter de la date d’entrée en vigueur de l’Accord et sera valable pendant toute la durée de l’Accord.
3.2. Toutefois, toutes les clauses du présent C2C DPA survivront à l’expiration et à la résiliation de l’Accord dans la mesure où elles se rapportent aux Données personnelles traitées pendant la durée de l’Accord.
4. Obligation des Parties
4.1. Dans le cadre de la mise en œuvre du présent C2C DPA, chaque Partie demeurera un Contrôleur indépendant de l’autre. Aux fins de la CCPA et uniquement dans la mesure requise par la loi, les Parties conviennent que (i) chaque partie agit en tant que Tiers et l’autre agit en tant qu’Entreprise, de même que (ii) le transfert de Données personnelles entre les parties ne peut s’assimiler à une vente car il n’y a aucune contrepartie monétaire ou valeur particulière, ce transfert s’inscrivant dans l'exception prévue par la Californie. la section 1798.140(ad)(2)(A) du Code civil de Californie.
4.2. À cet égard, chaque Partie s’engage à assurer un Traitement des Données personnelles conformément au présent C2C DPA et à la Loi sur la protection des données, en particulier en informant les Personnes concernées et en veillant à la protection de leurs droits, en garantissant la sécurité et la confidentialité des Données personnelles traitées, notamment en mettant en place des mesures organisationnelles et de sécurité internes et en assurant la légalité du Traitement, l’obtention d’un consentement valide de la Personne concernée pour le Traitement des Données personnelles canadiennes et la conservation de la preuve de ce consentement.
4.3. Chaque partie (i) a le droit de prendre des mesures raisonnables pour s’assurer que l’autre partie utilise les Données personnelles de manière conforme aux obligations de la partie en vertu de la Loi sur la protection des données, (ii) informera l’autre partie si elle détermine qu’elle ne peut plus remplir ses obligations en vertu de la Loi sur la protection des données, et (iii) a le droit, après notification à l’autre partie, de prendre des mesures raisonnables et appropriées pour arrêter et remédier à l’utilisation non autorisée des Données personnelles.
4.4. Chaque Partie informera l’autre Partie de toute plainte, demande ou requête reçue de la part des Personnes concernées concernant les Données personnelles qu’elle a reçue de l’autre Partie, y compris, mais sans s’y limiter, les demandes d’exercice de leurs droits d’accès, de rectification, de suppression, de limitation, d’information, de portabilité des données, de retrait du consentement, ou de fournir des observations dans le cas d’un système de prise de décision automatisée. La Partie recevant une plainte, une demande ou une requête répondra aux Personnes concernées conformément aux CCT et à la Loi sur la protection des données. L’autre Partie fournira toutes les informations et l’assistance raisonnablement demandées.
4.5. Chaque Partie informera sans délai l’autre Partie de tout Incident de sécurité. En cas d’Incident de sécurité, la Partie subissant l’Incident de sécurité prendra rapidement des mesures correctives adéquates. Chaque Partie fournira à l’autre Partie toute la coopération raisonnablement requise pour traiter l’Incident de sécurité conformément aux CCT et à la Loi sur la protection des données, telle que l’information adéquate des Autorités de contrôle, ou de tout autre commissaire ou autorité compétent en matière de protection de la vie privée, et des Personnes concernées affectées.
5. Transfert de données personnelles
5.1. Les Parties reconnaissent que la Loi sur la protection des données impose des restrictions sur le Transfert de données personnelles. Dans la mesure requise par la loi, chaque Partie ne procédera au Transfert des données personnelles en relation avec le présent Accord qu’en conformité avec la Loi sur la protection des données applicable et sous réserve du présent article 5.
5.2. Transferts depuis l’EEE. Lorsqu’un Transfert est effectué depuis l’EEE, les CCT sont incorporées au présent DPA et s’appliquent au transfert comme suit :
(i) Le Module 1 s’applique ;
(ii) À la Clause 7, la clause d'adhésion facultative s’applique ;
(iii) À la Clause 11(a), la formulation facultative ne s’applique pas ;
(iv) À la Clause 17, l’Option 1 s’applique, la législation applicable étant celle de la France ;
(v) À la Clause 18(b), les litiges seront résolus devant les tribunaux français ;
(vi) L’Annexe I des CCT est complétée par les informations de l’Annexe I du présent DPA ;
(vii) L’Annexe II des CCT est complétée par les informations figurant à l’Annexe II du présent DPA.
5.3. Transferts depuis la Suisse. Lorsqu’un Transfert est effectué depuis la Suisse, les CCT sont incorporées au présent DPA et s’appliquent au transfert tel que modifié à l’Article 5.2, sauf que :
(i) les références à un « État membre » dans les CCT font référence à la Suisse, et les personnes concernées situées en Suisse peuvent exercer et faire valoir leurs droits en vertu des CCT en Suisse ; et
(ii) les références au « Règlement général sur la protection des données », au « Règlement 2016/679 » et au « RGPD » dans les CCT font référence à la Loi fédérale suisse sur la protection des données (telle que modifiée ou remplacée).
5.4. Transferts depuis le Royaume-Uni.Lorsqu’un Transfert est effectué depuis le Royaume-Uni, l’Avenant correspondant est incorporé au présent DPA et s’applique au transfert. Le tableau 1 reprend les informations fournies à l’Annexe I. Le tableau 2 reprend celles de l’Article 5.2. Le tableau 3 reprend les informations fournies aux Annexes I et II. Le tableau 4 reprend les informations sur « l’Importateur » et « l’Exportateur » sélectionnés. La Partie 2 est sélectionnée.
5.5. Sauf accord contraire, dans la mesure requise par la Loi sur la protection des données, l’Hôtel fournira au Groupe toute l’assistance et les informations raisonnablement nécessaires pour permettre au Groupe d’effectuer une Évaluation de l’impact du transfert. Les Parties conviennent que le résultat d’une Évaluation de l’impact du transfert peut nécessiter la modification du présent C2C DPA. Les obligations de l’Hôtel en vertu du présent article ne préjugent pas des garanties et obligations de l’Hôtel en vertu de la clause 14 des CCT.
5.6. Si, sur la base de l’Évaluation de l’impact du transfert, le Groupe estime que les lois ou pratiques du Pays non adéquat empêchent ou pourraient empêcher l’Hôtel de remplir ses obligations en vertu des CCT ou de l’Avenant relatif au Transfert au Royaume-Uni, et que le Groupe estime qu’il n’existe pas de Mesures supplémentaires qui garantissent un niveau suffisant de protection essentiellement équivalent pour le Transfert spécifique, ou que de telles mesures ne sont pas acceptables (par exemple, en raison des coûts de ces mesures ou de l’effet indésirable qu’elles peuvent avoir sur le Groupe), le Groupe peut refuser ou suspendre le Transfert en fournissant à l’Hôtel un avis écrit. Dans ce cas, l’article 5.8 s’appliquera.
5.7. Si l’Hôtel informe le Groupe que, conformément aux CCT ou à l’Avenant relatif au Transfert au Royaume-Uni, il se trouve manifestement face à des lois ou pratiques qui l’empêchent de remplir ses obligations en vertu des CCT ou de l’Avenant relatif au Transfert au Royaume-Uni, l’établissement en question devra sans attendre fournir au Groupe l’assistance et les informations raisonnablement nécessaires pour permettre au Groupe d’évaluer si des Mesures supplémentaires peuvent être mises en œuvre par le Groupe ou par l’Hôtel pour remédier à la situation. Si le Groupe détermine qu’il n’existe aucune Mesure supplémentaire suffisante pour assurer un niveau de protection essentiellement équivalent pour le Transfert spécifique, ou si de telles mesures ne sont pas acceptables (par exemple, en raison des coûts de ces mesures ou de l’impact négatif qu’elles pourraient avoir sur le Groupe), le Groupe peut suspendre le Transfert en adressant à l’Hôtel un avis écrit. Dans ce cas, l’article 5.8 s’appliquera. Dès réception de l’avis, l’Hôtel prendra immédiatement toutes les mesures nécessaires pour mettre en œuvre cette suspension. Le présent règlement s’applique mutatis mutandis si le Groupe a par ailleurs des raisons de croire que l’Hôtel ne peut plus se conformer aux CCT ou à l’Addendum relatif au Transfert au Royaume-Uni.
5.8. Les droits du Groupe en vertu du présent article 5 sont sans préjudice de tout autre droit du Groupe en vertu de l’Accord, du présent C2C DPA ou de la loi.
6. Mesures de sécurité
6.1. Chaque Partie maintiendra un programme complet et écrit de sécurité de l’information, contenant des mesures administratives, techniques et physiques appropriées (a) à la taille, à la portée et au type d’activité de chaque Partie ; (b) au type et au niveau de sensibilité des informations que les Parties traiteront ; et (c) au besoin de sécurité et de confidentialité de ces informations (« Programme de sécurité »). Le Programme de sécurité de l’hôtel devra comprendre les mesures décrites à l'Annexe II et est conçu pour (a) protéger la confidentialité, l’intégrité et la disponibilité des Informations personnelles ; (b) protéger contre toute menace ou tout danger anticipé pour la confidentialité, l’intégrité et la disponibilité des Informations personnelles ; (c) protéger contre l’accès, l’utilisation, la divulgation, la modification ou la destruction non autorisés ou illégaux des Informations personnelles ; (d) protéger contre la perte ou la destruction accidentelle, ou les dommages causés aux informations personnelles ; et (e) protéger les Informations personnelles conformément à la Loi sur la protection des données.
7. Rétention
7.1. Sauf accord explicite contraire dans l’Accord ou dans le présent C2C DPA, chaque Partie conservera les Données personnelles qu’elle a reçues de l’autre Partie uniquement aussi longtemps que nécessaire pour remplir ses obligations en vertu de l’Accord. En ce qui concerne lesdites Données personnelles conservées après la résiliation de l’Accord, cette Partie continuera de protéger ces Données personnelles conformément aux termes de l’Accord et du présent C2C DPA.
8. Avis
8.1. Tous les avis, demandes, exigences et décisions dans le cadre du présent C2C DPA (à l’exception des communications opérationnelles habituelles) doivent être adressés par écrit au DPD, s’il a été désigné conformément à la Loi sur la protection des données, ou à toute autre personne chargée de la protection des Données personnelles au sein de l’entreprise, aux adresses indiquées dans l’Accord (y compris toute désignation de copie conforme).
8.2. Une Partie pourra être amenée à modifier son adresse ou son représentant à des fins de notification en adressant à l’autre Partie un avis écrit de la nouvelle adresse ou du nouveau représentant et de la date à laquelle cette modification entrera en vigueur. Cet avis de changement d’adresse ou de représentation doit être adressé conformément aux dispositions de la présente clause.
9. Modifications de la Loi sur la protection des données
9.1. Les Parties conviennent de négocier de bonne foi dans le cas où des modifications devraient être apportées au présent C2C DPA pour se conformer à la Loi sur la protection des données, pour aborder l’interprétation juridique de la Loi sur la protection des données ou pour répondre aux modifications de la Loi sur la protection des données.
10. Droit applicable
10.1. Le présent C2C DPA sera régi par le droit français.
ANNEXE I
A. LISTE DES PARTIES
Exportateur de données
Nom
| GROUPE
|
Tel que spécifié dans l’Accord
| Tel que spécifié dans l’Accord
|
Activités pertinentes pour les données transférées en vertu des présentes Clauses
| Réservation de chambres, demandes d’hébergement et séjours dans un hôtel.
|
Rôle (contrôleur/sous-traitant)
| Contrôleur
|
Importateur de données
Nom
| HÔTEL
|
Tel que spécifié dans l’Accord
| Tel que spécifié dans l’Accord
|
Activités pertinentes pour les données transférées en vertu des présentes Clauses
| Traitement des Données personnelles pour gérer la réservation de chambres et les demandes d’hébergement et pour fournir des services hôteliers.
|
Rôle (contrôleur/sous-traitant)
| Contrôleur
|
B. DESCRIPTION DU TRANSFERT
Nature des opérations de Traitement
[veuillez préciser les opérations de Traitement à effectuer par le Sous-traitant]
| Fournir des données afin d’organiser les activités d’hébergement et/ou de séjour à l’hôtel
|
Finalité(s) du Traitement :
[veuillez préciser toutes les finalités pour lesquelles les Données à personnelles seront traitées par le Sous-traitant]
|
Faciliter les réservations des clients et les services hôteliers
|
Catégorie(s) des Données personnelles
données non sensibles : nom, prénom, date de naissance, date de voyage, sexe, numéro de passeport, adresse de courriel, etc. ;
données sensibles : origine raciale ou ethnique, opinions politiques, croyances religieuses ou philosophiques, appartenance à un syndicat, données génétiques ou biométriques utilisées pour identifier de manière unique une personne physique, données concernant la santé ou la condition physique ou mentale d’une personne, la vie sexuelle ou l’orientation sexuelle]]]
|
Les Données personnelles collectées par l’Hôtel peuvent inclure les informations suivantes :
Coordonnées (par exemple, nom, prénom, numéro de téléphone, e-mail)
Informations personnelles (par exemple, date de naissance, nationalité)
Informations relatives aux enfants (par exemple, prénom, date de naissance, âge)
Numéro de carte de crédit (à des fins de transaction et de réservation)
Informations contenues sur une pièce d’identité (comme une carte d’identité, un passeport ou un permis de conduire)
Numéro d’adhésion au programme de fidélité Accor ou à un autre programme partenaire (par exemple, un programme de fidélité d’une compagnie aérienne) et informations relatives aux activités dans le cadre du programme de fidélité
Dates d’arrivée et de départ
Préférences et centres d’intérêt (par exemple, chambre fumeur ou non-fumeur, étage préféré, type de literie, type de journaux/magazines, sports, intérêts culturels, préférences en matière de nourriture et de boissons, etc.)
Questions ou commentaires, pendant ou après un séjour dans un hôtel
Données techniques et de localisation générées suite à l’utilisation de sites Web et d’applications
|
Catégorie(s) des Personnes concernées
| Participants du Groupe
|
Durée des opérations de Traitement
[veuillez préciser la durée pendant laquelle les activités de traitement des Données personnelles seront menées.]
| L’Hôtel traitera les Données personnelles pendant la durée de l’Accord et dans la mesure requise par toute loi applicable.
|
Fréquence du ou des transfert(s) de données
| Transferts de manière continue selon les besoins pour fournir les services.
|
Période de conservation (ou critères de conservation) [préciser la période de conservation ou, si cela n’est pas possible, les critères utilisés pour déterminer cette période]
| L’Hôtel conservera les Données personnelles pendant la durée de l’Accord et dans la mesure requise par toute loi applicable.
|
Restrictions/Garanties concernant les données sensibles (le cas échéant)[veuillez préciser les restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques impliqués, comme, par exemple, la limitation stricte des finalités, les restrictions d’accès, la tenue d’un registre de l’accès aux données, les restrictions de transferts ultérieurs ou les mesures de sécurité supplémentaires]
| NA
|
C. AUTORITÉ DE CONTRÔLE COMPÉTENTE
Commission Nationale de l’Informatique et des Libertés (CNIL) (autorité de contrôle française)
ANNEXE II
MESURES TECHNIQUES ET ORGANISATIONNELLES INCLUANT LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À ASSURER LA SÉCURITÉ DES DONNÉES.
Les Parties s’engagent, dans leur domaine de responsabilité respectif et en relation avec l’objet de l’Accord, à mettre en œuvre toutes les mesures techniques et organisationnelles standard nécessaires et appropriées en utilisant la technologie de pointe généralement acceptée et conformément aux recommandations d’une Autorité de contrôle, telles que toutes les mesures énumérées ci-dessous (par exemple, les recommandations de la CNIL concernant les mesures standard de sécurité et de confidentialité). Les mesures définies et mises en œuvre par l’Hôtel dépendent, en partie, de l’emplacement et peuvent varier en conséquence, sans affecter le niveau de sécurité requis. Les parties peuvent convenir de mesures supplémentaires à mettre en œuvre en plus de celles décrites ci-dessous.
L’Hôtel peut également mettre en œuvre des mesures supplémentaires conformément à ses politiques et normes.
L’adhésion de l’Hôtel à un code de conduite approuvé (tel que mentionné dans l’article 40 du RGPD) ou à un mécanisme de certification approuvé (tel que mentionné dans l’article 42 du RGPD) peut être utilisée comme élément permettant de démontrer des garanties suffisantes.
L’Hôtel doit mettre en œuvre et maintenir certaines mesures de sécurité administratives, techniques et organisationnelles conçues pour garantir un niveau de sécurité approprié aux risques présentés par son Traitement des Données personnelles, en tenant compte de la sophistication, des coûts de mise en œuvre, de la nature, de la portée, du contexte et des finalités de ce Traitement, ainsi que de la probabilité et de la gravité des risques pour les droits et libertés des Personnes concernées. L’Hôtel fournira une description générale de ses mesures de sécurité techniques et organisationnelles à la demande du Groupe en envoyant un courriel à l’adresse lawdept@accor.com.
Pour afficher cela en français, veuillez cliquer ici.
Pour afficher cela en espagnol, veuillez cliquer ici.