ObligoBoard← Back to home

Version: 2026-06-25

Besoin d'un DPA signé ? Customers can self-sign a pre-filled copy from Settings → Legal once signed in. The signed PDF is stored alongside your organisation record and can be downloaded any time. Replace the bracketed customer-side placeholders below with your organisation's details before signing.

ACCORD DE TRAITEMENT DES DONNÉES

Dernière mise à jour : 2026-06-25

entre

[CUSTOMER LEGAL NAME] (le « Responsable du traitement » / Controller) [CUSTOMER REGISTERED ADDRESS] [CUSTOMER VAT / REGISTRATION NUMBER] représenté(e) par [CUSTOMER SIGNATORY NAME], [CUSTOMER SIGNATORY ROLE]

et

Grewing Mirko D.I. (le « Sous-traitant » / Processor ou « ObligoBoard ») Via delle Casine 19, Firenze, Italie P.IVA : IT07214970480 Codice Fiscale : GRWMRK79T26H501F PEC : mirko.grewing@pec.net représenté par Mirko Grewing, Titulaire

chacun une « Partie » et ensemble les « Parties ».

EXPOSÉ PRÉALABLE

(A) Le Responsable du traitement et le Sous-traitant ont conclu un ou plusieurs contrats de service portant sur l'utilisation de la plateforme logicielle-en-tant-que-service ObligoBoard (le « Contrat Principal »).

(B) L'exécution du Contrat Principal requiert que le Sous-traitant traite des données à caractère personnel pour le compte du Responsable du traitement au sens du Règlement (UE) 2016/679 (« RGPD ») et, le cas échéant, de la législation britannique équivalente conservée (UK GDPR).

(C) Le présent Accord de traitement des données (le « DPA ») définit les conditions dans lesquelles le Sous-traitant traite ces données à caractère personnel et fait partie intégrante du Contrat Principal, conformément à l'article 28 RGPD.

1. DÉFINITIONS

1.1 Les termes commençant par une majuscule non définis dans le présent DPA ont le sens qui leur est donné dans le RGPD. Les définitions suivantes s'appliquent :

  • « Responsable du traitement » (Controller) — la personne physique ou morale identifiée comme client dans le Contrat Principal, qui détermine les finalités et les moyens du traitement des Données à caractère personnel.
  • « Données à caractère personnel » — toute donnée à caractère personnel au sens de l'article 4, point 1, RGPD traitée par le Sous-traitant pour le compte du Responsable du traitement dans le cadre du Contrat Principal.
  • « Violation de données à caractère personnel » — une violation de la sécurité au sens de l'article 4, point 12, RGPD.
  • « Traitement » — toute opération ou tout ensemble d'opérations au sens de l'article 4, point 2, RGPD.
  • « Sous-traitant » (Processor) — Grewing Mirko D.I., exerçant sous le nom d'ObligoBoard.
  • « Clauses contractuelles types » ou « CCT/SCC » — les clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers adoptées par la décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021.
  • « Sous-traitant ultérieur » (Sub-processor) — tout tiers engagé par le Sous-traitant pour traiter des Données à caractère personnel pour le compte du Responsable du traitement.

2. OBJET, NATURE ET FINALITÉ

2.1 Objet. Fourniture de la plateforme SaaS ObligoBoard (logiciel de gestion de la conformité) au Responsable du traitement, telle que décrite plus en détail dans le Contrat Principal.

2.2 Nature et finalité. Hébergement, stockage, récupération, transmission, organisation et suppression des Données à caractère personnel nécessaires au fonctionnement des fonctionnalités de la plateforme utilisées par le Responsable du traitement, y compris, sans s'y limiter : authentification des utilisateurs, gestion des organisations, suivi des tâches de conformité, stockage des éléments de preuve, génération de documents (politiques de confidentialité, politiques de cookies), analyse des cookies, administration de la facturation et assistance client.

2.3 Instructions documentées. Les instructions documentées du Responsable du traitement au Sous-traitant sont constituées par le Contrat Principal, le présent DPA et l'utilisation par le Responsable du traitement des fonctionnalités de la plateforme dans le cadre de leur fonctionnalité prévue. Toute instruction supplémentaire doit être donnée par écrit.

3. DURÉE

3.1 Le présent DPA entre en vigueur à la date de prise d'effet du Contrat Principal et demeure en vigueur pour la durée du Contrat Principal, augmentée de toute période postérieure à la résiliation nécessaire au Sous-traitant pour remplir ses obligations au titre de la Section 6.8 (Restitution ou Suppression).

4. CATÉGORIES DE PERSONNES CONCERNÉES ET DE DONNÉES À CARACTÈRE PERSONNEL

4.1 Catégories de personnes concernées.

  • Les salariés, sous-traitants et utilisateurs autorisés de la plateforme du Responsable du traitement
  • Les personnes de contact, fournisseurs et autres tiers du Responsable du traitement dont il choisit de téléverser les données sur la plateforme
  • Les personnes concernées dont les données sont mentionnées dans la documentation de conformité, les politiques, les éléments de preuve ou les registres téléversés par le Responsable du traitement

4.2 Catégories de Données à caractère personnel.

  • Données d'identité : nom, adresse e-mail, rôle/fonction
  • Données d'authentification : empreintes de mots de passe, jetons de session, identifiants d'authentification à deux facteurs
  • Données d'organisation : nom de l'organisation, adresse, numéro de TVA, coordonnées
  • Données d'activité : actions effectuées sur la plateforme, horodatages, adresses IP, journaux d'audit
  • Données de contenu : documents, fichiers de preuve, registres de conformité, texte des politiques, résultats d'analyse des cookies, champs de texte libre saisis par les utilisateurs
  • Données de facturation : informations de facturation traitées via Stripe (limitées ; voir Annexe III)
  • Toute autre Donnée à caractère personnel que le Responsable du traitement choisit de téléverser via les fonctionnalités de la plateforme

4.3 Catégories particulières. Le Responsable du traitement ne téléversera pas de catégories particulières de Données à caractère personnel au sens de l'article 9 RGPD, ni de données relatives aux condamnations pénales et aux infractions (article 10 RGPD), sauf accord écrit préalable exprès avec le Sous-traitant.

5. OBLIGATIONS DU RESPONSABLE DU TRAITEMENT

5.1 Le Responsable du traitement garantit qu'il :

  • (a) dispose d'une base légale valable au titre de l'article 6 RGPD (et le cas échéant de l'article 9 RGPD) pour le Traitement qu'il demande au Sous-traitant d'effectuer ;
  • (b) fournit aux personnes concernées les informations requises par les articles 13 et 14 RGPD ;
  • (c) tient le registre des activités de traitement requis par l'article 30, paragraphe 1, RGPD pour le traitement réalisé en tant que Responsable du traitement ;
  • (d) ne donne d'instructions documentées que pour un traitement licite, nécessaire et proportionné.

5.2 Le Responsable du traitement est responsable de l'exactitude, de la qualité et de la licéité des Données à caractère personnel qu'il fournit au Sous-traitant.

6. OBLIGATIONS DU SOUS-TRAITANT

6.1 Instructions documentées. Le Sous-traitant ne traite les Données à caractère personnel que sur instructions documentées du Responsable du traitement, y compris en ce qui concerne les transferts vers des pays tiers, sauf obligation contraire imposée par le droit de l'Union ou le droit d'un État membre auquel le Sous-traitant est soumis. Dans un tel cas, le Sous-traitant informe le Responsable du traitement de cette exigence légale avant le traitement, sauf si le droit l'interdit pour des motifs importants d'intérêt public.

6.2 Confidentialité du personnel. Le Sous-traitant veille à ce que les personnes autorisées à traiter les Données à caractère personnel se soient engagées à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité.

6.3 Mesures de sécurité. Le Sous-traitant met en œuvre et maintient les mesures techniques et organisationnelles décrites à l'Annexe II afin de garantir un niveau de sécurité adapté au risque, conformément à l'article 32 RGPD. Le Sous-traitant teste, examine et évalue régulièrement l'efficacité de ces mesures.

6.4 Sous-traitants ultérieurs.

(a) Autorisation générale. Le Responsable du traitement accorde au Sous-traitant une autorisation écrite générale d'engager des Sous-traitants ultérieurs pour le Traitement des Données à caractère personnel, sous réserve de la présente Section 6.4. La liste actuelle des Sous-traitants ultérieurs figure à l'Annexe III.

(b) Notification des changements. Le Sous-traitant informe le Responsable du traitement de tout ajout ou remplacement envisagé de Sous-traitants ultérieurs au moins trente (30) jours à l'avance, par e-mail au contact de facturation ou d'administration du Responsable du traitement, ou par notification au sein de la plateforme.

(c) Droit d'opposition. Dans un délai de trente (30) jours à compter de cette notification, le Responsable du traitement peut s'opposer pour des motifs raisonnables et documentés de protection des données. Si les Parties ne parviennent pas à s'accorder sur une solution dans un nouveau délai de trente (30) jours, le Responsable du traitement peut résilier le Contrat Principal et le présent DPA par notification écrite, sans pénalité, pour la partie évitée. La poursuite de l'utilisation de la plateforme après le délai de préavis vaut acceptation du changement de Sous-traitant ultérieur.

(d) Obligations du Sous-traitant ultérieur. Le Sous-traitant impose à chaque Sous-traitant ultérieur, par contrat écrit, des obligations de protection des données équivalentes à celles qui lui incombent au titre du présent DPA. Le Sous-traitant demeure pleinement responsable envers le Responsable du traitement de l'exécution de ces obligations par le Sous-traitant ultérieur.

6.5 Assistance pour les droits des personnes concernées. Compte tenu de la nature du Traitement, le Sous-traitant aide le Responsable du traitement, par des mesures techniques et organisationnelles appropriées et dans la mesure du possible, à s'acquitter de son obligation de répondre aux demandes d'exercice des droits des personnes concernées au titre des articles 12 à 22 RGPD. Lorsque les demandes sont adressées directement au Sous-traitant, celui-ci en informe promptement le Responsable du traitement et n'y répond pas directement, sauf sur instruction du Responsable du traitement ou si la loi l'exige.

6.6 Notification de Violation de données à caractère personnel. Le Sous-traitant notifie le Responsable du traitement sans retard injustifié et en tout état de cause dans un délai de soixante-douze (72) heures après avoir pris connaissance d'une Violation de données à caractère personnel affectant les Données à caractère personnel. La notification comprend, dans la mesure du possible au moment considéré :

  • (a) la nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées et d'enregistrements concernés ;
  • (b) les conséquences probables ;
  • (c) les mesures prises ou proposées pour remédier à la violation et en atténuer les effets ;
  • (d) le point de contact pour de plus amples informations.

Le Sous-traitant fournit des informations complémentaires au fur et à mesure qu'elles deviennent disponibles et coopère avec le Responsable du traitement pour l'accomplissement de ses obligations de notification au titre des articles 33 et 34 RGPD.

6.7 Assistance pour l'AIPD. Le Sous-traitant fournit une assistance raisonnable au Responsable du traitement, compte tenu de la nature du Traitement et des informations dont il dispose, pour toute analyse d'impact relative à la protection des données et toute consultation préalable des autorités de contrôle requises au titre des articles 35 et 36 RGPD.

6.8 Restitution ou suppression. À la résiliation ou à l'expiration du Contrat Principal, le Sous-traitant, au choix du Responsable du traitement exprimé par écrit dans un délai de trente (30) jours suivant la résiliation, soit :

  • (a) restitue toutes les Données à caractère personnel au Responsable du traitement dans un format structuré, couramment utilisé et lisible par machine ; soit
  • (b) supprime toutes les Données à caractère personnel,

sauf si le droit de l'Union ou le droit d'un État membre exige la conservation des Données à caractère personnel. À l'expiration du délai de choix, la suppression s'applique par défaut. Le Sous-traitant confirme par écrit l'achèvement de la restitution ou de la suppression dans un délai de soixante (60) jours. Les copies de sauvegarde sont supprimées conformément au calendrier ordinaire de rotation des sauvegardes du Sous-traitant, avec une conservation résiduelle maximale de quatre-vingt-dix (90) jours.

6.9 Coopération aux audits.

  • (a) Le Sous-traitant met à la disposition du Responsable du traitement toutes les informations nécessaires pour démontrer le respect de l'article 28 RGPD.
  • (b) Le Responsable du traitement peut auditer le respect du présent DPA par le Sous-traitant, à ses frais, au maximum une fois par période de douze mois (sauf à la suite d'une Violation de données à caractère personnel affectant le Responsable du traitement), moyennant un préavis écrit d'au moins trente (30) jours et pendant les heures normales d'ouverture du Sous-traitant.
  • (c) Le Sous-traitant peut satisfaire aux demandes d'audit en fournissant des certifications, attestations ou rapports d'audit de tiers pertinents (y compris les certifications ISO 27001 et les rapports SOC 2 des Sous-traitants ultérieurs) lorsque cela est raisonnablement approprié.
  • (d) Le Responsable du traitement et ses auditeurs respectent les exigences raisonnables de sécurité et de confidentialité du Sous-traitant lors de tout audit sur site.
  • (e) Les constatations d'audit sont traitées sans délai par le Sous-traitant au moyen d'un plan de remédiation documenté.

7. TRANSFERTS INTERNATIONAUX

7.1 Le Sous-traitant ne transfère pas de Données à caractère personnel en dehors de l'Espace économique européen (« EEE ») ou du Royaume-Uni, sauf :

  • (a) vers un pays couvert par une décision d'adéquation au titre de l'article 45 RGPD ; ou
  • (b) sous réserve de garanties appropriées au titre de l'article 46 RGPD, y compris les Clauses contractuelles types (Module 2 — Responsable du traitement vers Sous-traitant, ou Module 3 — Sous-traitant vers Sous-traitant ultérieur, selon le cas) ; ou
  • (c) en vertu d'un autre mécanisme de transfert licite prévu au chapitre V RGPD.

7.2 Lorsque des Sous-traitants ultérieurs sont situés en dehors de l'EEE ou du Royaume-Uni, le Sous-traitant garantit qu'un mécanisme de transfert approprié est en place, comme détaillé à l'Annexe III.

7.3 Dans la mesure où le Sous-traitant s'appuie sur les CCT/SCC pour transférer des Données à caractère personnel vers un Sous-traitant ultérieur dans un pays tiers, le Responsable du traitement confère par les présentes au Sous-traitant le pouvoir nécessaire pour conclure ces CCT/SCC pour le compte du Responsable du traitement, à des conditions non moins protectrices que celles imposées par le présent DPA.

8. RESPONSABILITÉ

8.1 La responsabilité de chaque Partie au titre ou en lien avec le présent DPA est soumise aux limitations et exclusions de responsabilité prévues par le Contrat Principal, sauf lorsque ces limitations seraient en conflit avec une loi impérative applicable (y compris l'article 1229 du code civil italien, qui interdit les exclusions de responsabilité pour colpa grave et dolo — faute lourde et dol).

8.2 Nonobstant tout plafond de responsabilité prévu au Contrat Principal, chaque Partie conserve sa responsabilité envers les personnes concernées au titre de l'article 82 RGPD. Lorsqu'une Partie a versé la réparation intégrale du dommage subi par une personne concernée, elle peut réclamer à l'autre Partie la part de la réparation correspondant à la part de responsabilité de cette autre Partie dans le dommage.

8.3 La responsabilité globale du Sous-traitant au titre du présent DPA est plafonnée conformément au Contrat Principal, à l'exception de :

  • (a) la responsabilité pour les dommages causés par un Traitement en violation d'instructions clairement documentées du Responsable du traitement ;
  • (b) la responsabilité pour les manquements à la Section 6.6 (Notification de Violation) ;
  • (c) la responsabilité pour les manquements à la Section 6.8 (Restitution ou Suppression) lorsqu'un tel manquement cause une Violation de données à caractère personnel ;
  • (d) les amendes administratives infligées au Sous-traitant imputables à une faute intentionnelle ou à une négligence grave du Sous-traitant.

9. DURÉE ET RÉSILIATION

9.1 Le présent DPA prend fin automatiquement à la résiliation du Contrat Principal, sous réserve de la Section 6.8 (Restitution ou Suppression) et de toute autre obligation survivante.

9.2 Toute disposition destinée à survivre à la résiliation demeure en vigueur après celle-ci, y compris (sans s'y limiter) les Sections 6.8 (Restitution ou Suppression), 8 (Responsabilité) et 11 (Droit applicable).

10. MODIFICATIONS

10.1 Le Sous-traitant peut mettre à jour le présent DPA pour refléter des changements de la législation applicable, des orientations réglementaires ou des changements substantiels de ses opérations de traitement. Les modifications substantielles requièrent un préavis écrit de trente (30) jours au Responsable du traitement.

10.2 Si le Responsable du traitement s'oppose à une modification substantielle pour des motifs documentés de protection des données et que les Parties ne parviennent pas à s'accorder sur une solution dans un délai de trente (30) jours, le Responsable du traitement peut résilier le Contrat Principal sans pénalité pour la partie évitée.

11. DROIT APPLICABLE ET JURIDICTION

11.1 Le présent DPA est régi par le droit italien.

11.2 Les Parties se soumettent à la juridiction exclusive du Tribunale di Firenze (tribunal de Florence, Italie), sans préjudice des droits impératifs des personnes concernées au titre de l'article 79, paragraphe 2, RGPD.

12. ORDRE DE PRÉSÉANCE

12.1 En cas de conflit entre le présent DPA et le Contrat Principal, le présent DPA prévaut dans la mesure où le conflit porte sur le traitement des Données à caractère personnel.

12.2 En cas de conflit entre le présent DPA et les CCT/SCC (le cas échéant), les CCT/SCC prévalent dans la mesure du conflit.

13. DIVISIBILITÉ

13.1 Si une disposition du présent DPA est jugée invalide ou inapplicable, les dispositions restantes demeurent pleinement en vigueur, et les Parties remplacent la disposition invalide par une disposition valide reflétant au plus près l'intention initiale.

ANNEXE I — DESCRIPTION DU TRAITEMENT

ÉlémentSpécification
ObjetFourniture de la plateforme SaaS ObligoBoard de gestion de la conformité
DuréePour la durée du Contrat Principal, augmentée des périodes de clôture des Sections 6.8 et 9
Nature et finalitéAuthentification, hébergement, stockage, récupération, transmission, organisation, présentation et suppression des Données à caractère personnel téléversées ou générées via la plateforme
Catégories de personnes concernéesSalariés, sous-traitants, utilisateurs autorisés du Responsable du traitement ; fournisseurs et contacts téléversés par le Responsable du traitement ; personnes concernées mentionnées dans la documentation de conformité
Catégories de Données à caractère personnelDonnées d'identité, d'authentification, d'organisation, d'activité, de contenu, de facturation — voir Section 4.2 du DPA
Catégories particulièresNon autorisées sauf accord préalable exprès
FréquenceContinue pendant la durée du Contrat Principal
ConservationPour la durée du Contrat Principal et selon la configuration du Responsable du traitement ; suppression ou restitution au titre de la Section 6.8

ANNEXE II — MESURES TECHNIQUES ET ORGANISATIONNELLES (article 32 RGPD)

Le Sous-traitant maintient les mesures suivantes, qu'il examine et met à jour régulièrement.

Chiffrement

  • Chiffrement en transit (TLS 1.2 ou supérieur) pour tous les points de terminaison de la plateforme
  • Chiffrement au repos (AES-256) pour les Données à caractère personnel stockées dans la base de données de production
  • Chiffrement au repos pour les Données à caractère personnel stockées dans le stockage objet (Vercel Blob)

Contrôle d'accès

  • Authentification par mot de passe robuste (identifiants hachés avec bcrypt) avec expiration des jetons de session pour tous les accès administratifs et clients
  • Contrôle d'accès basé sur les rôles au sein de la plateforme
  • Principe du moindre privilège pour tous les accès internes
  • Expiration de session et déconnexion pour inactivité
  • Journaux d'audit des actions administratives, conservés au moins douze (12) mois

Pseudonymisation et anonymisation

  • Pseudonymisation appliquée aux identifiants dans les environnements hors production
  • Anonymisation de la télémétrie d'usage lorsque cela est possible

Résilience

  • Sauvegardes quotidiennes automatisées avec récupération à un instant précis (point-in-time)
  • Redondance multi-régions via l'infrastructure du fournisseur cloud
  • Procédures de reprise après sinistre avec RTO et RPO documentés

Test et évaluation

  • Analyse des vulnérabilités des dépendances tierces via les alertes automatisées de GitHub à chaque version
  • Suite de tests automatisée (unitaires, d'intégration, de bout en bout, et une suite de fuzzing d'isolation des locataires qui éprouve les frontières d'accès aux données multi-locataires) exécutée à chaque pull request avant la fusion dans la branche de production
  • Vérification statique des types TypeScript à chaque pull request
  • Vérification des sommes de contrôle des migrations à chaque pull request (empêche la dérive du schéma entre développement, préproduction et production)
  • Revue de pull request obligatoire pour chaque fusion dans la branche de production (aucun push direct ; protection de branche appliquée)

Personnel

  • L'Opérateur est une Ditta Individuale (entrepreneur individuel italien) ; la personne physique Mirko Grewing est la seule personne disposant d'un accès administratif aux Données à caractère personnel. Les obligations de confidentialité sont assumées personnellement et au titre des devoirs de secret professionnel auxquels l'opérateur est tenu en droit italien.
  • L'Opérateur maintient ses connaissances à jour en matière de protection des données et de sécurité de l'information par l'étude continue des lignes directrices du CEPD (EDPB), des lignes directrices de la Garante italienne et des publications de sécurité du secteur. Des procédures formalisées d'arrivée/de départ et des programmes structurés de sensibilisation seront mis en place lorsque l'activité dépassera le cadre d'un entrepreneur individuel ; le contrat sera modifié en conséquence au titre de la Section 10.1.

Réponse aux incidents

  • Alerte de sécurité 24/7 via l'infrastructure du fournisseur cloud (supervision des plateformes Vercel + Neon)
  • La réponse aux incidents suit les principes des articles 33 et 34 RGPD, avec notification aux Responsables du traitement concernés dans un délai de 72 heures au titre de la Section 6.6 du présent DPA
  • Un runbook écrit de réponse aux incidents sera maintenu lorsque l'activité dépassera le cadre d'un entrepreneur individuel ; jusqu'alors, les décisions de réponse sont prises personnellement par l'Opérateur dans le cadre des articles 33-34 RGPD ci-dessus

Diligence relative aux Sous-traitants ultérieurs

  • Critères de sélection des Sous-traitants ultérieurs incluant une évaluation en matière de protection des données
  • Obligations contractuelles imposées par accord écrit (DPA/MSA)
  • La diligence s'appuie sur les attestations de sécurité publiées par chaque Sous-traitant ultérieur (par ex. ISO 27001, SOC 2 Type II) lorsqu'elles sont disponibles ; le Sous-traitant examine toute modification substantielle de ces attestations dès qu'il en a connaissance

ANNEXE III — SOUS-TRAITANTS ULTÉRIEURS

Les Sous-traitants ultérieurs suivants sont engagés par le Sous-traitant à la date du présent DPA. La liste est mise à jour conformément à la Section 6.4.

Sous-traitant ultérieurRôle / ServiceRégion (localisation des données)Mécanisme de transfert (le cas échéant)
Vercel Inc.Hébergement applicatif, CDN, edge runtime, stockage blobUE (Francfort) principal ; edge mondialCCT/SCC UE (Module 3) pour tout repli vers les US ; DPA Vercel en place
Neon Inc.Hébergement de base de données PostgreSQL géréeUE (Francfort)CCT/SCC UE (Module 3) ; DPA Neon en place
Stripe Payments Europe Ltd.Traitement des paiements, facturation des abonnementsUE (Irlande) principal ; certains routages vers les US via l'infrastructure mondiale de StripeDPA Stripe + CCT/SCC UE (Module 3) ; Stripe agit également comme Responsable du traitement autonome à des fins de prévention de la fraude
Resend Inc.Distribution d'e-mails transactionnelsUE (Francfort) et USCCT/SCC UE (Module 3) pour le traitement en région US ; DPA Resend en place
Font Awesome (Fonticons, Inc.)Distribution CDN d'icônesEdge mondial (siège aux US)CCT/SCC UE (Module 3) ; DPA Font Awesome disponible ; Données à caractère personnel minimales — uniquement adresse IP et User-Agent via les journaux du CDN

La dernière version de cette liste est publiée à l'adresse https://obligoboard.com/sub-processors. Les mises à jour substantielles déclenchent le mécanisme de notification de la Section 6.4(b).

ANNEXE IV — CLAUSES CONTRACTUELLES TYPES

Lorsque des Données à caractère personnel sont transférées vers un Sous-traitant ultérieur dans un pays tiers en l'absence de décision d'adéquation, les Parties incorporent les Clauses contractuelles types adoptées par la décision d'exécution (UE) 2021/914 de la Commission, avec :

  • Module 3 (Sous-traitant vers Sous-traitant) sélectionné pour les transferts Sous-traitant → Sous-traitant ultérieur ;
  • Module 2 (Responsable du traitement vers Sous-traitant) lorsque le Responsable du traitement transfère des données directement à un Sous-traitant hors EEE ;
  • Clause 7 (clause d'amarrage) sélectionnée ;
  • Clause 9(a) Option 2 (autorisation écrite générale) sélectionnée, avec un délai de notification fixé à trente (30) jours comme à la Section 6.4(b) ;
  • Clause 11(a) option (organe indépendant de règlement des litiges) non sélectionnée ;
  • Clause 17 Option 1 (droit d'un État membre de l'UE autorisant les droits des tiers bénéficiaires) : droit de l'Italie ;
  • Clause 18 (for et juridiction) : Italie ;
  • Annexe I.A et I.B remplies avec les coordonnées des Parties du présent DPA ;
  • Annexe I.C : la Garante per la protezione dei dati personali italienne ;
  • Annexe II remplie avec les mesures techniques et organisationnelles de l'Annexe II du présent DPA ;
  • Annexe III remplie avec les Sous-traitants ultérieurs de l'Annexe III du présent DPA.

Pour les transferts vers le Royaume-Uni, l'UK International Data Transfer Addendum aux CCT/SCC UE (émis par l'ICO) s'applique.

BLOC DE SIGNATURE

Pour le Responsable du traitementPour le Sous-traitant
Nom : [CUSTOMER SIGNATORY NAME]Nom : Mirko Grewing
Rôle : [CUSTOMER SIGNATORY ROLE]Rôle : Titulaire (titolare)
Date : [DATE]Date : [DATE]
Signature : ________________________Signature : ________________________