ADDENDUM RELATIF AUX CONDITIONS DE TRAITEMENT ET DE TRANSFERT DES DONNÉES

Les Parties reconnaissent et acceptent que les Données à Caractère Personnel échangées entre FamilySearch International (ou sa filiale) et un ou des Archivistes sont soumises (i) aux conditions signées par les deux Parties dans lesquelles les présentes Conditions de Traitement et de Transfert des Données sont incluses par référence (« Accord ») et (ii) à toutes les lois applicables en matière de protection de la vie privée et des données.

Les Parties comprennent et acceptent que (i) l'Archiviste est le Responsable du Traitement et l'Exportateur des Données à Caractère Personnel transférées, et que (ii) FamilySearch International (ou sa filiale) est le Sous-Traitant et l'Importateur.

Les Parties comprennent et acceptent que l’Addendum applicable en matière de Conditions de Traitement et de Transfert des Données décrit ci-dessous est déterminé par l’emplacement physique de l’Archiviste, à moins qu’un autre emplacement ne soit désigné par écrit par l’Archiviste au moment de la conclusion de l’Accord.

(1) Pour les Archivistes localisés dans les lieux suivants, les Clauses Contractuelles Types de l’UE, Module 2 : Responsable du Traitement à Sous-Traitant (« CCT UE, Module 2 ») (disponibles ici) s’appliquent :

Afghanistan, Algérie, Autriche, Australie, Bahreïn, Barbade, Belgique, Belize, Botswana, Îles Vierges britanniques, Bulgarie, Burkina Faso, Îles Caïmans, République du Congo, Îles Cook, Croatie, Cuba, Chypre, République tchèque, Danemark, Équateur, Égypte, Estonie, Eswatini, Éthiopie, Fidji, Finlande, France, Guyane française, Polynésie française, Terres australes françaises, Gabon, Allemagne, Îles Glorieuses, Grèce, Grenade, Guam, Guyane, Haïti, Hongrie, Inde, Indonésie, Iran, Irak, Irlande, Italie, Israël, Jamaïque, Japon, Jordanie, Île Juan de Nova, Kiribati, Koweït, Lettonie, Liban, Libye, Liechtenstein, Lituanie, Luxembourg, Malte, Îles Marshall, Mélanésie, Mexique, Micronésie, Mongolie, Maroc, Nauru, Népal, Pays-Bas, Nouvelle-Calédonie, Niger, Niue, Norvège, Oman, Palaos, Panama, Papouasie-Nouvelle-Guinée, Pakistan, Palestine, Îles Pitcairn, Pologne, Portugal, République de Moldavie, Roumanie, Saint-Kitts-et-Nevis, Samoa, Seychelles, Slovaquie, Slovénie, Îles Salomon, Somalie, Afrique du Sud, Corée du Sud, Espagne, Sri Lanka, Soudan, Suède, Suisse*, Tanzanie, Thaïlande, Togo, Tokelau, Tonga, Tunisie, Turquie, Tuvalu, Ouganda, Émirats arabes unis, Royaume-Uni**, Vanuatu, Wallis-et-Futuna, Zambie, Zimbabwe

* Bien que l’Addendum sur les Conditions de Traitement et le Transfert des Données de l’EEE s’applique à la Suisse, la Suisse exige des mentions supplémentaires, qui sont incorporées dans l’Addendum et fournies ci-dessous.

** Bien que l’Addendum sur les Conditions de Traitement et le Transfert des Données de l’EEE s’applique au Royaume-Uni, le Royaume-Uni exige des mentions supplémentaires, qui sont incorporées dans l’Addendum et fournies ci-dessous.

Les mentions ci-après s’appliquent aux CCT UE, Module 2, comme convenu par les Parties mentionnées ci-dessus :

  • La clause 7 (Clause d’intégration) est supprimée.
  • La clause 9 (Recours à des sous-traitants) intègre l’OPTION 2 : AUTORISATION ÉCRITE GÉNÉRALE).
  • La clause 11 (Recours) n’inclut pas l’OPTION en (a).
  • La clause 13 (Supervision) intègre les mentions applicables aux exportateurs établis dans un État membre de l’UE.
  • La clause 17 (Loi applicable) intègre l’OPTION 1 et intègre la loi du pays de l’exportateur de données.
  • La clause 18 (Choix du for et de la juridiction) intègre les tribunaux du pays de l’exportateur de données.
  • ANNEXE I : voir ci-dessous.
  • ANNEXE II : voir ci-dessous.
  • ANNEXE III : voir ci-dessous.

ANNEXE I:

A. Liste des Parties

Exportateur de Données

  1. Nom : Archiviste identifié dans l’Accord
  2. Adresse : adresse de l’Archiviste identifié dans l’Accord
  3. Contact : voir les « Coordonnées pour les Notifications » spécifiées pour l’Archiviste dans l’Accord
  4. Activités relatives aux données transférées en vertu des Clauses : les activités pertinentes sont décrites dans la section B (« Description du transfert ») ci-dessous
  5. Rôle : Responsable du Traitement

Importateur de Données

  1. Nom : FamilySearch International
  2. Adresse : 36 S State St., Ste 1900, Salt Lake City, UT 84111, États-Unis
  3. Contact : Manager, Data Privacy Office - 50 East North Temple Street, Salt Lake City, Utah 84150
    1. Téléphone : (801) 240-1187
    2. Adresse électronique : Dataprivacyofficer@churchofjesuschrist.org
  4. Activités relatives aux données transférées en vertu des Clauses : les activités pertinentes sont décrites dans la section B (« Description du transfert ») ci-dessous
  5. Rôle : Sous-Traitant

B. Description du Transfert

Catégories de personnes concernées dont les données à caractère personnel sont transférées

Personnes concernées figurant dans des documents d’archives et documents généalogiques dont les données à caractère personnel sont conservées pourdes finalités de recherche, historiques et statistiques.

Catégories de données à caractère personnel transférées

Données généalogiques : informations collectées dans le but de préserver l’histoire personnelle et familiale des personnes :

  • Noms (nom de la personne concernée, noms du père et de la mère, noms des enfants, noms des frères et sœurs, noms du conjoint, etc.)
  • Relations familiales (noms des personnes, frères et sœurs, parents, enfants, grands-parents, tantes, oncles).
  • Renseignements biographiques (nom, date de naissance, date de décès, histoires et détails sur la vie de la personne, profession, éducation, lieu des événements de la vie, événements religieux personnels – baptême, confirmations, etc.)
  • Date de naissance, lieu de naissance et détails connexes (sexe de l’enfant, nom des parents, adresse des parents au moment de la naissance ou des parents adoptifs selon le type d’acte de naissance en question, date de naissance et lieu de naissance).
  • Âge
  • Genre
  • Date, lieu et détails connexes du mariage (nom de la personne, des parents, etc.)
  • Date du décès, lieu du décès et détails connexes (nom de la personne, mode de décès)
  • Nationalité
  • Caractéristiques personnelles, y compris image photographique
  • Autres informations contenues dans les annales généalogiques et historiques acquises, y compris les recensements (noms individuels, enfants, métier, résidence), les histoires familiales (données biographiques, noms, relations familiales), les registres paroissiaux (noms des membres de la congrégation, résidence, dates de naissance, relations familiales), les registres paroissiaux (actes de naissance, de mariage, de décès, baptêmes, confirmations), les registres d’état civil (actes de naissance, de mariage et de décès), les nécrologies de journaux (naissance, registres fonciers, collections d’archives d’État) et les registres de naturalisation (registres de citoyenneté, registres d’immigration, registres de naturalisation, y compris les noms, dates de naissance, pays d’origine, pays de résidence et adresse, noms des membres de la famille, métier, certains éléments spécifiques au pays en fonction du pays et de la date de collecte).

Données Sensibles : informations qui sont incidemment incluses dans les documents d’archives et annales généalogiques et qui peuvent être définies comme revêtant un caractère sensible en vertu des Lois sur la Protection de la Vie Privée :

  • Identité et Données Démographiques (origine raciale ou ethnique, origine nationale, origine tribale, statut social, identité spécifique (identifiants uniques, par exemple, passeports, numéro de sécurité sociale, permis de conduire, carte d’identité nationale), état civil, âge, couleur, citoyenneté ou statut d’immigration, statut de victime d’un crime ou personne ayant fait l'objet d'un délit)
  • Croyances et Associations (croyances ou affiliations religieuses, croyances philosophiques, croyances morales, convictions idéologiques, opinions politiques, persuasion politique, idéologies politiques ou affiliation politique, appartenance à un syndicat, appartenance à une guilde, affiliation syndicale, appartenance à des associations professionnelles ou sociales ou à des organisations de défense des droits de l’homme
  • Données de Santé et Données Génétiques/Biométriques (état, statut ou diagnostic de santé physique ou mentale actuel ou futur, antécédents médicaux, dossiers médicaux, traitement médical, prestation de soins de santé, état psychologique ou physiologique, données génétiques (caractéristiques héritées ou acquises, profil biologique humain), données biométriques (utilisées pour une identification unique, une vérification automatisée ou révélant de caractéristiques sensibles supplémentaires), données neuronales (données cérébrales/neurologiques, données cognitives/émotionnelles).
  • Données Criminelles et Judiciaires (casier ou antécédents criminels, comportement ou actes criminels, commission ou commission présumée d’une infraction, procédures, résultats, condamnations ou sanctions relatives à des affaires criminelles)
  • Données de Localisation et de Communication (données de géolocalisation (localisation précise ou spécifique, y compris les coordonnées GPS), données de communication, y compris le contenu et les métadonnées des appels, des SMS, des courriels ou du courrier, le contenu du courrier, des courriels ou des SMS (sauf s’ils sont adressés au destinataire))
  • Données relatives à la Jeunesse (toute donnée à caractère personnel associée à un mineur)
  • Autres Catégories Spéciales
    • Habitudes personnelles, mode de vie et circonstances de la vie intime/privée
    • Caractéristiques morales ou éthiques
    • Questions familiales ou données sur la vie émotionnelle/familiale
    • Dossiers scolaires
    • Données relatives à l’emploi liées à des caractéristiques protégées
    • Données relatives à la santé des consommateurs (plus larges que les dossiers médicaux, y compris le bien-être/la forme physique, la grossesse, etc.)
    • Données relatives à l’idéologie ou aux croyances non saisies autrement
    • Toute donnée susceptible de constituer une menace significative à la vie privée, la dignité, la sécurité ou la propriété, en cas de mauvaise utilisation
    • Données présentant un risque accru de discrimination ou de préjudice en fonction du contexte (par exemple, données de visionnage de la télévision classées comme sensibles par la FTC)
    • Situation matrimoniale (noms, dates, etc.)
    • Numéro d’identification gouvernemental ou détails similaires (numéro de sécurité sociale, etc.)
    • Numéro de passeport
    • Affiliation religieuse (informations figurant dans les registres paroissiaux, notamment les numéros de membre, les noms, les dates de naissance, les dates de baptême, les dates de mariage, les dates de décès et les données relatives à une religion spécifique).
    • Données relatives aux mineurs (noms, dates de naissance, parents, frères et sœurs, dossiers de tutelle, informations sur l’adoption, dossiers judiciaires, dossiers scolaires)
    • Données relatives à la santé (maladies, séjours hospitaliers, modes de décès)
    • Antécédents criminels (noms, dates d’incarcération, décisions concernant l’individu)
    • Adhésion à un syndicat (noms des membres, date d’adhésion, informations sur les frais d’adhésion, etc.)
    • Origine raciale ou ethnique (région ou pays d’origine)
    • Religion (nom et appartenance religieuse)
    • Affiliation politique (nom et parti politique, informations sur les dons)

La fréquence du transfert (par exemple, sur une base ponctuelle ou continue).

Ad Hoc

Nature du traitement

Les données à caractère personnel transférées peuvent faire l’objet de diverses activités de traitement, lorsque la loi le permet, notamment la numérisation, l’indexation, l’hébergement, le stockage, la transmission, le caviardage et l’affichage. Ces activités sont soutenues par des centres de données basés sur le cloud, y compris ceux situés aux États-Unis, dans la mesure permise par les Lois sur la Protection de la Vie Privée. Par exemple, les données peuvent être traitées pour effectuer les activités suivantes :

  • Préservation des Documents Historiques : Numérisation, préservation, indexation, stockage et/ou archivage de documents historiques, de photos et d’artefacts pour les générations futures, selon les instructions de l’exportateur de données.
  • Généalogie : sous réserve que cela soit autorisé par les Lois sur la Protection de la Vie Privée et par l’exportateur de données (par exemple, lorsque les données ne sont plus soumises à des restrictions), les données peuvent être incluses dans les applications utilisées par les chercheurs et les utilisateurs du site Web pour soutenir le traçage des documents de lignée ou d’histoire familiale ou d’autres recherches, programmes et activités généalogiques.
    • Recherche Généalogique : Collecte et conservation d’informations sur ses ancêtres et son arbre généalogique.
    • Formation en Généalogie : Fournir une formation et des ressources pour aider des millions de personnes du monde entier à découvrir leur patrimoine familial et à créer des liens avec les membres de leur famille.

Finalité(s) du transfert de données et traitement ultérieur

Le transfert de données à l’importateur de données (au siège mondial de l’importateur de données) et le traitement ultérieur par l’importateur de données soutiennent la préservation et le stockage des documents familiaux historiques au profit des archives publiques, des organismes gouvernementaux, des peuples autochtones, des archives privées, d’autres organismes privés et des individus. Si les Lois sur la Protection de la Vie Privée et l’exportateur de données le permettent (par exemple, lorsque les données ne sont plus restreintes), ces annales peuvent également être mises gratuitement à la disposition du public sur le site Internet de l’importateur de données à des finalités de recherche.

La durée pendant laquelle les données à caractère personnel seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée

Les données à caractère personnel collectées à des fins de conservation historique seront conservées conformément aux instructions de l’exportateur de données aussi longtemps que cela sera demandé. Dans de nombreux cas, tant que les annales conservent une valeur historique, elles peuvent être conservées indéfiniment à des finalités d’archivage et pour documenter la généalogie, à moins qu’une personne concernée ne demande leur effacement.

Pour les transferts à des sous-traitants (ou sous-traitants ultérieurs), précisez également l’objet, la nature et la durée du traitement

L’importateur de données traite les données à caractère personnel pour préserver les annales historiques et à des finalités de recherche généalogique, sur instruction de l’exportateur de données. L’importateur de données peut engager un sous-traitant ou un sous-traitant ultérieur en vertu d’un accord de traitement de données ou de sous-traitance ultérieure pour aider au traitement des données à ces mêmes finalités et pour exécuter des fonctions au nom de l’exportateur de données et/ou de l’importateur de données (par exemple, la numérisation et l’indexation des archives historiques). L’accord de traitement ou de sous-traitance ultérieure fournira des détails supplémentaires concernant l’objet, la nature et la durée du traitement.

C. Autorité Compétente

Identifier la ou les autorités compétentes conformément à la Clause 13

L’autorité de contrôle du pays de l’Exportateur de Données identifiée à l’annexe I.A.

ANNEXE II :

MESURES TECHNIQUES ET ORGANISATIONNELLES POUR FAMILY SEARCH INTERNATIONAL (IMPORTATEUR)

Le présent document décrit les mesures techniques et organisationnelles de sécurité des informations employées par Family Search International (Importateur) (« FSI »).

Mesures de Sécurité Techniques et Organisationnelles. FSI administre un Programme complet de Sécurité de l’Information et met en œuvre des mesures de sécurité techniques et organisationnelles raisonnables, basées sur les normes du secteur, les besoins organisationnels et les risques, afin de réduire et de protéger contre tout traitement non autorisé ou illégal, perte accidentelle ou intentionnelle, accès non autorisé, destruction ou dommages. Ces mesures contribuent à garantir la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et des données de FSI. Dans le cas des systèmes qui ne sont pas directement contrôlés par FSI, FSI s’associe à FSI pour mettre en œuvre des contrôles de sécurité proportionnés. Le Programme de Sécurité de FSI comprend les éléments suivants :

1. Politiques et Procédures. FSI maintient des politiques et des procédures écrites formelles pour garantir la confidentialité, l’intégrité et la disponibilité des données et pour les protéger contre toute divulgation, utilisation, modification ou destruction accidentelle, non autorisée ou inappropriée. Ces politiques sont revues et mises à jour chaque année ou plus fréquemment, le cas échéant. Les politiques et procédures visent à garantir que des mesures de protection physiques, techniques et administratives sont en place et fonctionnent efficacement.

2. Contrôles d’Accès.

Accès Physique : FSI met en œuvre des mesures raisonnables pour empêcher les personnes non autorisées d’accéder aux équipements de traitement des données (serveurs de base de données, serveurs d’application, commutateurs réseau, pare-feu, contrôleurs et matériel connexe) où les données à caractère personnel sont traitées ou utilisées.

Accès Logique : FSI met en œuvre des mesures de sécurité raisonnables pour empêcher tout accès non autorisé à ses systèmes de traitement des données. FSI maintient et revoit la liste des utilisateurs de FSI ayant accès aux systèmes de traitement des données. FSI n’accorde l'accès qu’à un nombre limité de personnes sur la base d’un besoin professionnel approuvé.

3. Formation et Sensibilisation à la Sécurité. FSI administre un programme officiel de sensibilisation et de formation à la sécurité pour les membres du personnel de FSI et les utilisateurs du personnel de FSI. Le programme comprend des modules de formation obligatoires qui sensibilisent les utilisateurs aux concepts et aux règles clés de la sécurité des informations, chaque année ou aussi souvent que possible. Les sujets abordés dans le cadre de la formation annuelle comprennent la classification et la gestion appropriées des informations sensibles. En plus de la formation officielle, des exercices récurrents et inopinés de simulation d’hameçonnage renforcent la formation sur la manière d’identifier, de signaler et d’éviter les e-mails malveillants.

4. Protection des Données. FSI met en œuvre des mesures raisonnables pour empêcher que les données à caractère personnel ne soient utilisées, lues, copiées, modifiées ou supprimées de manière inappropriée par des personnes non autorisées, tant lors de leur transmission que lorsqu’elles sont stockées. Les contrôles de protection des données sont déployés en utilisant une approche de défense en profondeur.

5. Surveillance. FSI met en œuvre des mesures raisonnables pour surveiller l’accès aux systèmes sensibles et aux ressources réseau et pour s’assurer que les utilisateurs agissent conformément à la politique. Les journaux sont conservés en fonction des besoins opérationnels et des exigences réglementaires et sont stockés dans un référentiel centralisé ou dans un référentiel natif de la plateforme avec la possibilité de migrer vers le référentiel centralisé le cas échéant. Les journaux sont stockés et sécurisés de manière à garantir leur exactitude et leur immuabilité. FSI maintient un ensemble d’alertes automatisées pour identifier les activités potentiellement malveillantes. FSI enregistre les données qui sont régulièrement examinées pour identifier les attaques potentielles et pour soutenir ses efforts de Réponse aux Incidents.

6. Détection des Potentielles Menaces au niveau des Terminaux et Réponse à ces Situations. FSI met en œuvre des contrôles raisonnables sur les terminaux des utilisateurs et des serveurs, y compris les terminaux de FSI, qui assurent une protection contre la propagation de logiciels malveillants, des alertes centralisées, des processus hôtes et des requêtes de fichiers, ainsi que des capacités d’isolement du système.

7. Procédures de Réponse aux Incidents de Sécurité (Incident Response - « IR »). FSI maintient des politiques et des procédures écrites de RI pour détecter, répondre et traiter les incidents de sécurité. FSI exploite un Centre des Opérations de Sécurité (Security Operations Center - « SOC ») fonctionnant 24 heures sur 24 et 7 jours sur 7, qui a pour mission de trier les événements présentant un intérêt, de surveiller les systèmes pour détecter les attaques ou intrusions réelles et les tentatives, d’atténuer les effets préjudiciables des incidents de sécurité et de documenter les incidents de sécurité et leurs conséquences. FSI conclut des accords avec des prestataires tiers de réponse aux incidents afin de faciliter la mobilisation rapide de ces tiers en cas d’incident majeur ou lorsqu’un incident nécessite une analyse forensique spécialisée. FSI dispose également d’une équipe de sécurité à temps plein, dédiée à FSI, assurant un soutien spécifique et des activités de triage. Le SOC travaille en étroite collaboration avec le Service de la Protection des Données (Data Protection Office – « DPO ») et le Service Juridique (Office of General Counsel – « OGC ») de FSI, ainsi qu'avec des experts externes en sécurité, pour s’assurer que les incidents sont traités conformément aux lois et réglementations applicables.

8. Évaluations de la Sécurité et des Risques. FSI maintient des politiques et des procédures raisonnables pour évaluer l’efficacité des contrôles de sécurité, à identifier les défaillances des contrôles de sécurité et à identifier, évaluer et estimer les lacunes des contrôles de sécurité en utilisant une approche basée sur les risques.

9. Configuration et Maintenance du Système. FSI maintient des politiques et des procédures raisonnables pour s’assurer que les équipements de traitement des données (serveurs, bases de données, ordinateurs portables, pare-feu, commutateurs, routeurs, contrôleurs, etc.) sont configurés de manière appropriée pour garantir une protection adéquate des données à caractère personnel. FSI maintient un programme de gestion des vulnérabilités visant à aider à identifier les vulnérabilités dans l’environnement de FSI et à communiquer avec les ressources appropriées pour faciliter une correction rapide.

10. Résilience du Système et des Informations. FSI met en œuvre des mesures raisonnables pour garantir que les données à caractère personnel sont protégées de manière adéquate contre toute utilisation, modification ou destruction accidentelle ou malveillante et que les données qui ont été utilisées, modifiées ou détruites accidentellement ou malicieusement sont identifiables et restaurables. FSI met en œuvre des procédures de sauvegarde des données et des systèmes qui incluent des copies en ligne, hors ligne et à proximité, en fonction de la criticité des données et des besoins opérationnels. FSI utilise des systèmes d'information hautement redondants pour garantir des applications et des systèmes à haute disponibilité et performance.

11. Conformité. FSI administre un Service de la Protection des Données pour FSI qui gère la conformité aux lois et réglementations sur la protection des données. FSI maintient également un programme interne de conformité informatique pour FSI, axé sur les tests et la validation des contrôles, processus et procédures de sécurité par le biais d’évaluations internes.

12. Responsabilité. FSI a désigné un responsable de la sécurité, en charge du développement, de la mise en œuvre et de la maintenance des Programmes de Sécurité de l’information chez FSI. En outre, la Politique relative au Programme de Sécurité de l’Information de FSI décrit les rôles et les responsabilités de toutes les parties prenantes impliquées dans le Programme de Sécurité de l’Information et est publiée dans un référentiel accessible à tous les utilisateurs du personnel.

13. Utilisation et Conservation Appropriées des Annales. FSI met en œuvre des politiques et des processus qui régissent l’utilisation et la conservation des données confidentielles, y compris les données à caractère personnel. Des processus sont en place pour garantir que les données sont conformes aux exigences de partage des données des propriétaires de données et comprennent une surveillance de l’utilisation acceptable des technologies d’intelligence artificielle.

14. Mises à jour. FSI surveille, évalue et ajuste le programme de sécurité de l’information chaque année ou au besoin, en tenant compte des changements pertinents dans la technologie, les normes de sécurité du secteur, la sensibilité des données à caractère personnel et les menaces potentielles internes ou externes aux données à caractère personnel.

ANNEXE III :

LISTE DES SOUS-TRAITANTS ULTERIEURS

Le responsable du traitement a autorisé le recours aux sous-traitants ultérieurs suivants :*

  • ANCESTRY
  • BART DEVELTER V.O.F.
  • BRIGHAM YOUNG UNIVERSITY
  • CENTURY VITAL RECORDS (CVR)
  • CONTENT ARCHAEOLOGY
  • DATADISC.IT S.R.L.
  • DIE MOBILE SEKRETÄRIN E.U.
  • DIGITAL 4 KIT
  • DOUBLE DIGITAL
  • EMPRESA DE ARQUIVO DE DOCUMENTAÇÃO S.A.
  • FORMAX
  • GENEALAB
  • GENESIS
  • GREYSCALE LTD.
  • INFOSCRIBE SAS
  • INTELLIGENT IMAGE MANAGEMENT (IIMI)
  • IRON MOUNTAIN AUSTRALIA
  • IRON MOUNTAIN CESKA REPUBLIKA S.R.O.
  • LIFEWOOD
  • MATERN
  • MYHERITAGE
  • NORMADAT S.A.
  • OSG RECORDS MANAGEMENT
  • PEDRO CRUZ MARTINEZ
  • RASTERGEN – GESTÃO DOCUMENTAL UNIPESSOAL (LDA)
  • SBL
  • STASIS S.A.S.
  • SVI
  • TRACEABLE SOLUTIONS
  • TRUEBPO INC (ANCIENNEMENT EQOD INC)

(1.1) Pour les Archivistes localisés en Suisse, les dispositions suivantes s’appliquent en plus des Clauses Contractuelles Types de l’UE, Module 2 : Responsable du Traitement à Sous-Traitant (« CCT UE, Module 2 ») :

Addendum suisse aux Clauses Contractuelles Types de l’UE

Lorsqu’un transfert de données à caractère personnel d’un exportateur de données à un importateur de données est soumis au RGPD de l’UE et à la LFPD (telle que définie ci-dessous), les stipulations supplémentaires suivantes s’appliquent également afin que les Clauses Contractuelles Types permettent d’assurer un niveau adéquat de protection pour ce transfert conformément à l’article 6, paragraphe 2, lettre de la LPD :

(a) « LFPD » désigne la Loi Fédérale sur la Protection des Données du 19 juin 1992 (RS 235.1).

(b) « PFPDT » désigne le Préposé Fédéral Suisse à la Protection des Données et à la Transparence.

(c) « LFPD Révisée » désigne la version révisée de la LFPD du 25 septembre 2020, qui doit entrer en vigueur le 1er janvier 2023.

(d) Le terme « État Membre de l’UE » ne doit pas être interprété de manière à exclure les Personnes Concernées en Suisse de la possibilité de faire valoir leurs droits devant les juridictions de leur lieu de résidence habituelle (Suisse) conformément à la clause 18(c) des Clauses Contractuelles Types.

(e) Les Clauses Contractuelles Types protègent également les données des personnes morales jusqu’à l’entrée en vigueur de la LFPD Révisée.

(f) Le PFPDT agit en tant qu’« autorité de contrôle compétente » dans la mesure où le transfert de données concerné est régi par la LFPD.

(1.2) Pour les Archivistes localisés au Royaume-Uni (« R.-U. »), les stipulations suivantes s’appliquent en plus des Clauses Contractuelles Types de l’UE, Module 2 : Responsable du Traitement à Sous-Traitant (« CCT UE, Module 2 ») :

Addendum sur le Transfert International de Données aux Clauses Contractuelles Types de la Commission européenne

(« ATID R.-U. »)

L’Addendum sur le Transfert International de Données aux Clauses Contractuelles Types de la Commission européenne (disponible ici) est incorporé par référence, et ce qui suit s’applique :

Partie 1 : Tableaux

Le Tableau 1 est rempli exactement comme dans les CCT UE, Module 2, Annexe I.

Tableau 2 : les mentions ci-après s’appliquent aux CCT UE, Module 2, comme convenu par les parties mentionnées ci-dessus :

  • La clause 7 (Clause d’intégration) est supprimée.
  • La clause 9 (Recours à des sous-traitants) intègre l’OPTION 2 : AUTORISATION ÉCRITE GÉNÉRALE.
  • La clause 11 (Recours) n’inclut pas l’OPTION en (a).
  • La clause 13 (Supervision) intègre le libellé applicable aux exportateurs établis dans un État membre de l’UE.
  • La clause 17 (Loi applicable) intègre l’OPTION 1 et intègre la loi du pays de l’exportateur de données.
  • La clause 18 (Choix du for et de la juridiction) intègre les tribunaux du pays de l’exportateur de données.

Le Tableau 3 est rempli avec les CCT UE, Module 2, Annexes I, II et III.

Tableau 4 : l’ATID R.-U. peut être résilié par l’une ou l’autre des Parties (Importateur et Exportateur).

Partie 2 – Clauses Obligatoires

Toutes les clauses obligatoires s'appliquent ; à l'inverse, les Causes Obligatoires de la Partie 2 Alternative ne s'appliquent pas.

(2) Pour les Archivistes situés dans les lieux suivants, les Clauses Contractuelles Types de l’UE, Module 2 : Responsable du Traitement à Sous-Traitant (« CCT UE, Module 2 ») (disponibles ici) s’appliquent :

Albanie, Andorre, Arménie, Azerbaïdjan, Biélorussie, Bosnie-Herzégovine, Géorgie, Guernesey, Île de Man, Jersey, Kenya, Monaco, Kazakhstan, Kosovo, Monténégro, Macédoine du Nord, Saint-Marin, Serbie, Syrie, Turquie, Ukraine, Vietnam, Yémen.

(3) Pour les Archivistes situés en Angola (« Angola »), les dispositions suivantes s'appliquent en plus des Clauses Contractuelles Angolaises de la Loi Angolaise sur la Protection des Données (Loi n ° 22/11 du 17 juin 2011) (« CC de l’Angola ») (disponible ici) :

Les mentions ci-après s’appliquent aux CC de l’Angola, comme convenu par les parties mentionnées ci-dessus :

Les lieux de traitement, de transfert et de stockage des données à caractère personnel comprennent le Ghana et les États-Unis.

Toutes les autres informations fournies ci-dessus pour le Module 2 des CCT de l'UE s'appliquent aux CC de l'Angola.

(4) Pour les Archivistes situés au Nigéria (« Nigéria »), les dispositions suivantes s'appliquent en plus des Clauses Contractuelles Nigérianes de la Loi Nigériane sur la Protection des Données (NDPA) 2023 (« CC du Nigéria ») (disponible ici) :

Les mentions ci-après s'appliquent aux CC du Nigéria, comme convenu par les parties mentionnées ci-dessus :

Les lieux de traitement, de transfert et de stockage des données à caractère personnel comprennent le Ghana et les États-Unis.

Toutes les autres informations fournies ci-dessus pour le Module 2 des CCT de l'UE s'appliquent aux CC du Nigéria.

(5) Pour les Archivistes situés dans les lieux suivants, les Modèles de Clauses Contractuelles de l’ANASE, Module 1 : Responsable du traitement à Sous-traitant (« MCC », Module 1 ») (disponibles ici) s’appliquent :

Brunéi Darussalam, Cambodge, Indonésie, Laos, Malaisie, Myanmar, Philippines, Singapour, Thaïlande, Vietnam

Les mentions ci-après s’appliquent aux MCC, Module 1, comme convenu par les parties mentionnées ci-dessus :

  • La clause 2 (Obligations de l’exportateur de données) est supprimée.
  • La clause 3 (Obligations de l’importateur de données), les sous-clauses facultatives 3.4, 3.6, 3.7 et la langue facultative de la clause 3.7 sont supprimées. La sous-clause 3.10 est, « …dans un délai raisonnable spécifié par les partenaires ».
  • La clause 4 (Choix des litiges juridiques) intègre l’État membre de l’ANASE de l’exportateur dans 4.1. La sous-clause opérationnelle 4.3 est supprimée.
  • La clause 6 (Résiliation du contrat) intègre « 30 jours » dans la sous-section 6.1.1.
  • Conditions supplémentaires pour les recours individuels (Recours individuels) Tous les recours individuels sont supprimés.
  • ANNEXE A : voir l’ANNEXE I des CCT UE, Module 2.

(6) Pour les Archivistes situés dans les lieux suivants, les Modèles de Clauses Contractuelles du Réseau Ibéro-Américain de Protection des Données (« MCC du RIAPD, Module Responsables du Traitement à Sous-Traitants ») (disponible ici) s’applique :

Pérou, Uruguay, Argentine, Andorre

Les mentions ci-après s’appliquent aux MCC du RIAPD, Module Responsable du Traitement aux Sous-Traitants, comme convenu par les parties mentionnées ci-dessus :

  • L’ANNEXE I des CCT UE, Module 2 est incorporée par référence et remplit toutes les informations requises dans les MCC du RIAPD, Module Responsable du Traitement à Sous-Traitants.
  • Clause 9 (Recours) dans la sous-clause 9(a), la langue facultative est supprimée.
  • L’ANNEXE A est remplie avec les informations pertinentes de l’ANNEXE I des CCT UE, Module 2.
  • L’ANNEXE B est remplie avec les informations pertinentes de l’ANNEXE I des CCT UE, Module 2.
  • L’ANNEXE C est remplie avec les informations pertinentes de l’ANNEXE II des CCT UE, Module 2.
  • L’ANNEXE D est remplie avec les informations pertinentes de l’ANNEXE III des CCT UE, Module 2.
  • L’ANNEXE E est remplie avec la politique de confidentialité disponible ici : https://www.familysearch.org/legal/privacy.

(7) Pour les Archivistes situés en Chine, les dispositions suivantes (disponibles ici) s'appliquent :

a. Pour ceux qui se trouvent à Hong Kong, les dispositions suivantes (disponibles ici) s'appliquent :

(8) Pour les Archivistes situés au Brésil, les dispositions suivantes s'appliquent : (disponibles ici) : (également PDF disponible ici)

(9) Pour les Archivistes situés en Nouvelle-Zélande, les dispositions suivantes (disponibles ici) s'appliquent :

(10) Pour les Archivistes situés au Rwanda, les dispositions suivantes (disponibles ici) s'appliquent :

(11) Pour les Archivistes situés au Qatar, les dispositions suivantes (disponibles ici) s'appliquent :

(12) Pour les Archivistes situés en Arabie saoudite, les dispositions suivantes (disponibles ici) s'appliquent :