Shortcuts

Lois locales sur la protection des données couvertes par l’DPA

(Révision le 7 mars 2024)


L'Accord sur le traitement des données ("DPA") des clients d'IDEXX et ses annexes d'accord sur le traitement des données applicables (chaque "annexe DPA") s'appliquent au traitement des données personnelles ("données personnelles des clients") par IDEXX au nom du client ("client") dans le cadre de l'accord entre IDEXX et le client ("accord") afin de fournir les services d’IDEXX, si et dans la mesure où i) le Règlement général européen sur la protection des données (UE/2016/679) (RGPD) ; ou ii) toute autre loi sur la protection des données identifiée ci-dessous s'applique.


Espace économique européen :
Règlements de l'Union européenne et lois des États membres de l'EEE, autres que le RGPD, exigeant un contrat régissant le traitement des données à caractère personnel, identique ou substantiellement similaire aux exigences spécifiées à l'article 28 du RGPD.


La Suisse :
La loi fédérale suisse sur la protection des données du 19 juin 1992 ; à compter du 1er septembre 2023, sa version totalement révisée du 25 septembre 2020 ("LFPD"), telle que modifiée, annulée ou remplacée.

Pour les besoins de l'article 9 de l’DPA, les clauses contractuelles types de l'UE seront mises en œuvre pour les transferts vers des pays non adéquats soumis à la LFPD, tel que modifiée et adaptée, comme suit :

  1. le Préposé fédéral suisse à la protection des données et à la transparence (PFPDT) est l'autorité de contrôle compétente conformément à la clause 13 et à l'annexe I.C des clauses contractuelles types de l'UE ; et
  2. le droit applicable conformément à la clause 17 des clauses contractuelles types de l'UE  est le droit suisse si le transfert de données est exclusivement soumis à la LFPD ; et
  3. le terme "État membre" ne doit pas être interprété de manière à exclure les personnes concernées en Suisse de la possibilité d'intenter une action pour faire valoir leurs droits dans leur lieu de résidence habituelle (Suisse) conformément à la clause 18 des clauses contractuelles types de l'UE ; et
  4. les références au RGPD dans les clauses contractuelles types de l’EU incluent également la référence aux dispositions équivalentes à la LFPD (tel que modifiée ou remplacée).


Brésil :
La loi générale brésilienne sur la protection des données, Lei Geral de Proteção de Dados Pessoais ("LGPD"). Par souci de clarté, les obligations d'IDEXX envers un Client en vertu de l’DPA sont uniquement les obligations expresses imposées par la LGPD à un "sous-traitant (operador)" au profit d'un "responsable du traitement (controlador)" (y compris la nouvelle Section 3.5 ci-dessous), comme "sous-traitant (operador)" et "responsable du traitement (controlador)" sont définis par la LGPD :

  • 3.5 Chaque partie est responsable de l'exécution de ses obligations respectives en vertu de la LGPD, et le client ne donnera que des instructions de traitement, comme indiqué dans la section 3 de l’DPA, qui permettent à IDEXX de remplir ses obligations en vertu de la LGPD. Pour les besoins de l'article 9 de l’DPA, les CCS de l'UE s'appliqueront aux transferts vers des pays tiers conformément au RGPD.


Afrique du Sud :
Loi sud-africaine sur la protection des informations personnelles 4 de 2013 (" POPIA "). Par souci de clarté, les obligations d'IDEXX envers le Client en vertu de l’DPA sont les obligations expresses imposées par la POPIA à un " Opérateur " (équivalent à un " Sous-traitant ") au profit d'une " Partie responsable " (équivalent à un " Responsable de traitement "). Chaque partie est responsable de l'exécution de ses obligations respectives au titre de la POPIA. Pour les besoins de la section 9 de l’DPA, les CCS de l'UE s'appliqueront aux transferts vers des pays tiers conformément au RGPD.
 

Royaume-Uni :
Le règlement général sur la protection des données du Royaume-Uni (tel qu'incorporé dans le droit britannique en vertu de la loi de 2018 sur l'Union européenne (retrait)), la loi britannique de 2018 sur la protection des données, toutes deux modifiées par le règlement de 2019 sur la protection des données, la vie privée et les communications électroniques (modifications, etc.) (sortie de l'UE), tel qu'amendé, annulé ou remplacé. Pour les besoins de l'article 9 du RGPD, les dispositions suivantes seront mises en œuvre pour les transferts vers des pays non adéquats soumis au règlement général sur la protection des données du Royaume-Uni. Les parties s'appuient sur les CCS de l'UE pour les transferts de données à caractère personnel depuis le Royaume-Uni, sous réserve de l'établissement d'un "Addendum britannique aux clauses contractuelles types de l'UE" publié par l'Information Commissioner's Office en vertu de l'article 119A(1) de la loi sur la protection des données de 2018 (l'"Addendum britannique"). Les CCS de l'UE, complétées comme indiqué à l'article 9 du RGPD, s'appliquent également aux transferts de ces données à caractère personnel. L'addendum britannique sera réputé exécuté entre IDEXX et le Client, et les CCS de l'UE seront réputées modifiées comme spécifié par l'addendum britannique en ce qui concerne le transfert de ces Données à caractère personnel.

Japon :
La loi japonaise sur la protection des informations personnelles n° 57 de 2003 ("APPI"), telle qu'amendée. Par souci de clarté, les obligations d'IDEXX à l'égard du Client en vertu de l’DPA sont celles que la APPI exige du Client en tant qu'"opérateur commercial traitant des informations personnelles", pour confier le traitement des données personnelles du Client à IDEXX en tant que "personne mandatée", selon l'utilisation de ces termes dans la APPI.

Californie :
La loi californienne sur la protection de la vie privée des consommateurs de 2018, tel qu'amendée par la loi californienne sur les droits à la vie privée, et toute réglementation y afférente ("LCPVPC "). Les obligations d'IDEXX envers le Client en vertu de l’DPA sont celles que la LCPVPC exige qu'une " Entreprise " (à savoir le Client et l'équivalent du " Contrôleur " en vertu de l’DPA) ait mis en place avec un " Prestataire de services " (à savoir IDEXX et l'équivalent du " Prestataire de services " en vertu de l’DPA), tels que ces termes sont définis par la LCPVPC.  En outre :

Les termes "vendre" et "partager" ont la signification qui leur est donnée dans la LCPVPC.  Le terme "Données à Caractère Personnel" utilisé dans l’DPA est remplacé par "Informations à Caractère Personnel". Le terme "Personne Concernée" utilisé dans l’DPA est remplacé par "Consommateur". Le terme "Catégories Particulières de Données à Caractère Personnel" utilisé dans l’DPA est remplacé par "Informations Personnelles Sensibles". "Informations dépersonnalisées" désignent les données qui ne peuvent pas être raisonnablement utilisées pour déduire, ou être liés de toute autre manière, des informations sur un consommateur identifié ou identifiable, ou sur un dispositif lié à cette personne.

La nouvelle section 3.5 est ajoutée comme suit :

  • 3.5.  IDEXX s'engage :
  1. à ne pas vendre ou partager les Informations Personnelles ;
  2. à ne pas combiner davantage les Informations Personnelles, ni les conserver, les utiliser ou les divulguer : (A) en dehors de la relation commerciale directe entre IDEXX et le Client ; ou (B) à des fins autres que les objectifs commerciaux spécifiés dans l’Accord, sauf autorisation contraire de la LCPVPC;
  3. sur instruction du Client, à cesser d'utiliser les Informations Personnelles Sensibles à des fins autres que la fourniture des Services, dans la mesure où le Fournisseur a effectivement connaissance du fait que les Informations Personnelles sont des Informations Personnelles Sensibles ;
  4. à s'abstenir de tenter de réidentifier toute Information dépersonnalisée divulguée par le Client à IDEXX en vertu de l’Accord;
  5. à s'abstenir de se conformer aux demandes de suppression des consommateurs soumises directement à IDEXX dans la mesure où IDEXX a collecté, utilisé, traité ou conservé les Données à Caractère Personnel en sa qualité de Prestataire de services au Client ;
  6. à informer rapidement le Client si IDEXX détermine qu'elle ne peut plus respecter ses obligations en vertu de la loi californienne sur la protection des données ou de la présente section ; et
  7. rester responsable des propres violations d’IDEXX de la LCPVPC.