Accueil / Addendum relatif au traîtement des données

Addendum relatif au traîtement des données

Addendum relatif au traîtement des données

Version en vigueur à partir de septembre 2021

En acceptant les conditions du Contrat faisant référence au présent Addendum relatif au traitement des données (« DPA »,) vous (« Abonné ») acceptez les conditions énoncées dans les présentes, qui sont intégrées au Contrat par référence.

CONSIDÉRATIONS

Bentley et l’Abonné, en leur nom et au nom des Sociétés affiliées, ont conclu un ou plusieurs formulaire(s) de commande, contrats et/ou accords  Contrats ») en vertu duquel ou desquels Bentley a accepté de concéder sous licence des logiciels, des produits et/ou de fournir des services à l’Abonné, comme décrit dans le Contrat (collectivement, les « Services »).Les termes en majuscules utilisés mais non définis dans le présent DPA ont la signification qui leur est attribuée dans le Contrat. En cas de conflit entre les conditions du présent DPA et les conditions du Contrat, les conditions du présent DPA prévaudront en ce qui concerne le conflit. Le Contrat comprend toutes les pièces, annexes, appendices, énoncés de travaux ou autres pièces jointes faisant partie du Contrat ou intégrés à celui-ci, y compris le présent DPA.

En exécutant le Contrat, l’Abonné conclut le présent DPA en son nom propre et, dans la mesure requise par les lois et réglementations applicables en matière de protection des données, au nom de et pour le compte de ses Affiliés, si et dans la mesure où Bentley traite des Données à caractère personnel pour lesquelles ces Affiliés reçoivent la qualification de Responsable de traitement (Controller). Aux fins du présent DPA uniquement, et sauf indication contraire, le terme « Abonné » inclut l’Abonné et les Affiliés.

Dans le cadre de la fourniture des Services à l'Abonné en vertu du Contrat, Bentley peut traiter les Données à caractère personnel au nom de l'Abonné et les Parties acceptent de se conformer aux dispositions suivantes concernant toutes les Données à caractère personnel, chacune agissant raisonnablement et de bonne foi.

1. DÉFINITIONS

 « Société affiliée » désigne toute entité qui contrôle directement ou indirectement, est contrôlée par, ou est sous contrôle commun avec l'entité concernée. « Contrôle », aux fins de cette définition, désigne la propriété ou le contrôle direct ou indirect de plus de 50 % des intérêts de droit de vote de l'entité concernée.

«  CCPA » désigne la California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et suivants, et ses règlements d’application.

«  Responsable de traitement  » désigne l'entité qui détermine les finalités et les moyens du Traitement des Données à caractère personnel.

« Violation de données » désigne une violation de la sécurité entraînant, de façon accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de ou l’accès non autorisé aux Données à caractère personnel transmises, stockées, ou traitées de toute autre manière par Bentley conformément au Contrat.

« Lois et règlements sur la protection des données  » désigne toutes les lois et règlements, y compris les lois et règlements applicables au Traitement des Données à caractère personnel en vertu du Contrat, tels que modifiés de temps à autre. Afin de lever tout doute, si les activités de traitement de Bentley impliquant des Données à caractère personnel n’entrent pas dans le champ d’application d’une loi donnée sur la protection des données, une telle loi n’est pas applicable dans le cadre du présent DPA.

« Personnes concernées par les données  » désigne la personne identifiée ou identifiable à laquelle les Données à caractère personnel se rapportent.

« RGPD  » désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données), y compris tel que mis en œuvre ou adopté en vertu de la législation du Royaume-Uni.

 « Données à caractère personnel  » désigne toute information relative à (i) une personne physique identifiée ou identifiable et, (ii) à une entité juridique identifiée ou identifiable (lorsque ces informations sont protégées de la même manière que les données à caractère personnel ou les informations permettant d'identifier personnellement une personne en vertu des lois et règlements applicables en matière de protection des données).

« Traitement  » désigne toute opération ou ensemble d'opérations effectuées sur des Données à caractère personnel, que ce soit ou non par des moyens automatisés, comme la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou l'altération, la récupération, la consultation, l'utilisation, la divulgation par transmission, dissémination, ou la mise à disposition de toute autre façon, l'alignement ou la combinaison, la restriction, l'effacement ou la destruction.

« Processeur » désigne l’entité qui traite les Données à caractère personnel pour le compte du Responsable de traitement, y compris, le cas échéant, tout « fournisseur de services » selon la définition de ce terme par la CCPA.

« Abonné  » désigne l'entité qui a signé le Contrat et ses Affiliés (aussi longtemps que ces derniers demeurent des Affiliés).

« Clauses contractuelles types de l’UE » désigne les clauses contractuelles types énoncées dans la décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil, disponible ici.

« Sous-traitant ultérieur » désigne tout Sous-traitant (Processor) engagé par Bentley ou les Sociétés affiliées de Bentley pour le compte de Bentley.

« Autorité de contrôle  » désigne une autorité publique indépendante établie par un État membre de l’UE conformément au RGPD ou, pour le Royaume-Uni, par l’Information Commissioner’s Office (« ICO »).

 

2. TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL

2.1. Rôles des parties. Les parties reconnaissent et conviennent qu’en ce qui concerne le Traitement des Données à caractère personnel, l’Abonné est le Responsable de traitement, Bentley est le Sous-traitant, et que Bentley engagera des Sous-traitants ultérieurs conformément aux exigences énoncées à la Section 5 « Sous-traitants ultérieurs » ci-dessous.

2.2. Traitement des Données à caractère personnel par l'Abonné. Lors de son utilisation des Services, l'Abonné doit traiter les Données à caractère personnel conformément aux exigences des Lois et règlements sur la protection des données, y compris toute obligation applicable de fournir une notification aux Personnes concernées du recours à Bentley en tant que Sous-traitant. Pour éviter tout doute, les instructions de l’Abonné pour le Traitement des Données à caractère personnel doivent être conformes aux Lois et règlements sur la protection des données. L’Abonné est seul responsable de l’exactitude, de la qualité et de la légalité (i) des Données à caractère personnel fournies à Bentley par ou au nom de l’Abonné, (ii) des moyens par lesquels l’Abonné a obtenu les Données à caractère personnel, et (iii) des Instructions fournies à Bentley. L’Abonné ne doit pas fournir ou mettre à la disposition de Bentley des Données à caractère personnel en violation du Contrat, ou qui sont autrement inappropriées pour la nature des Services, et doit indemniser Bentley pour toute réclamation ou perte liée à la violation par l’Abonné des Lois et règlements applicables sur la protection des données.

 2.3. Traitement des Données à caractère personnel par Bentley. Bentley traitera les Données à caractère personnel comme des informations confidentielles et traitera les Données à caractère personnel uniquement conformément aux instructions documentées de l'Abonné et au nom de celui-ci, sauf disposition contraire d'une obligation légale à laquelle Bentley devrait se plier, conformément aux fins suivantes : (i) Traitement conformément au Contrat et au(x) formulaire(s) de commande ; (ii) Traitement initié par les utilisateurs lors de leur utilisation des Services ; (iii) Traitement en vue de se conformer à d'autres instructions raisonnables documentées par l'Abonné (par exemple, par email), quand lesdites instructions sont en accord avec le Contrat, et (iv) Traitement en conformité avec les lois et règlements sur la protection des données. Dans le cas où Bentley est soumis à une exigence légale, Bentley informera l'Abonné de cette exigence légale, sauf si cette loi l'interdit.

Par la présente, l’Abonné mandate Bentley pour traiter les Données à caractère personnel conformément à ce qui précède et dans le cadre de l'utilisation des Services par l'Abonné.

 2.4. Rôle de Bentley en tant que Fournisseur de services en vertu de la CCPA. Les parties reconnaissent et conviennent que Bentley est un fournisseur de services aux fins de la CCPA et reçoit des Données à caractère personnel de l’Abonné conformément au Contrat à des fins commerciales. Bentley ne vendra aucune de ces Données à caractère personnel ni ne conservera, n'utilisera ou ne divulguera de Données à caractère personnel fournies par l'Abonné conformément au Contrat, sauf si cela est nécessaire pour exécuter les Services ou autrement tel que stipulé dans le Contrat ou comme autorisé par la CCPA. Les termes « fournisseur de services » (service provider) et « vendre » (sell) sont définis à l’article 1798.140 de la CCPA. Bentley certifie comprendre les restrictions de cette section.

 2.5. Détails concernant le Traitement. L’objet du Traitement des Données à caractère personnel par Bentley est l’exécution des Services conformément au Contrat. La durée du Traitement, la nature et la finalité du Traitement, les types de Données à caractère personnel et les catégories de Personnes concernées traités en vertu du présent DPA, ainsi que les informations sur le transfert des Données à caractère personnel conformément aux Annexes I et II des Clauses contractuelles types de l’UE (le cas échéant) sont précisés à l’Annexe 2 du présent DPA.

3. DROITS DES PERSONNES CONCERNÉES

 Demande de la Personne concernée. Bentley devra, dans la mesure permise par la loi, informer rapidement l'Abonné si Bentley reçoit une demande d'une Personne concernée d'exercer son droit d'accéder à, de rectifier, de restreindre le Traitement, d'effacer (« droit à l'oubli »), concernant la portabilité des données, l'objection au Traitement, ou le droit de ne pas être soumise à une décision individuelle automatisée, chacune de ces demandes étant une « Demande de la Personne concernée ». Compte tenu de la nature du Traitement, Bentley aidera l'Abonné par des mesures techniques et organisationnelles appropriées, dans la mesure où cela est possible, pour l'exécution de l'obligation de l'Abonné de répondre à une Demande de la personne concernée en vertu des Lois et règlements sur la protection des données.

4. PERSONNEL BENTLEY

 4.1. Confidentialité. Bentley s'assurera que son personnel impliqué dans le Traitement des Données à caractère personnel est informé de la nature confidentielle des Données à caractère personnel, a reçu une formation appropriée sur ses responsabilités et a signé des Contrats de confidentialité écrits. Bentley veillera à ce que ces obligations de confidentialité survivent à la résiliation de l'engagement du personnel.

4.2. Limitation d'accès. Bentley veillera à ce que l'accès de Bentley aux Données à caractère personnel soit limité au personnel effectuant des Services conformément au Contrat.

4.3. Data Protection Officer. Bentley a nommé un délégué à la protection des données (Data Protection Officer). La personne désignée peut être contactée à l'adresse dpo@bentley.com.

5.  SOUS-TRAITANTS ULTÉRIEURS

 5.1. Désignation de Sous-traitants ultérieurs. L'Abonné reconnaît et accepte que (a) les Affiliés de Bentley peuvent être retenus en tant que Sous-traitants ultérieurs ; et (b) Bentley et les Affiliés de Bentley respectivement peuvent engager des Sous-traitants ultérieurs tiers dans le cadre de la fourniture des Services. Bentley ou un affilié Bentley a conclu un Contrat écrit avec chaque Sous-traitant ultérieur dans lequel sont reprises des obligations de protection des données non moins protectrices que celles du présent DPA en ce qui concerne la protection des Données à caractère personnel des Abonnés dans la mesure applicable à la nature des Services fournis par le Sous-traitant ultérieur.

5.2. Liste des Sous-traitants ultérieurs actuels, Notification des nouveaux Sous-traitants ultérieurs et Mécanisme de consentement. Bentley mettra à la disposition des Abonnés la liste actualisée des Sous-traitants ultérieurs pour les Services. Les Abonnés peuvent trouver en ligne une liste de Sous-traitants ultérieurs maintenue à jour ici. Par la présente, l'Abonné autorise généralement Bentley et les Affiliés de Bentley à supprimer ou à ajouter de nouveaux sous-traitants ultérieurs conformément à la présente Section 5. Les nouveaux Sous-traitants ultérieurs qui accèdent aux Données à caractère personnel de l'Abonné seront approuvés par l'Abonné via le mécanisme de consentement suivant :

  1. Bentley informera l’Abonné au moins trente (30) jours avant d’autoriser tout nouveau sous-traitant ultérieur à accéder aux Données à caractère personnel en ajoutant le sous-traitant ultérieur à la liste en ligne du Centre de confidentialité de Bentley.
  2. Si l'Abonné ne soulève pas d'objections raisonnables auprès de Bentley par écrit au cours de cette période de trente (30) jours, le nouveau sous-traitant ultérieur sera considéré approuvé par l'Abonné.
  3. Si l’Abonné soulève des objections raisonnables, alors Bentley aura le droit de résilier le Service concerné fourni à l’Abonné avec un préavis de quatorze (14) jours, sauf si Bentley décide (a) de poursuivre le Service sans l’engagement du Sous-traitant ultérieur auquel l’Abonné s’est opposé, (b) de prendre des mesures suffisantes pour répondre aux préoccupations soulevées dans l’objection de l’Abonné ou (c) en accord avec l’Abonné, de cesser de fournir (temporairement ou définitivement) l’aspect particulier du Service qui impliquerait le recours au sous-traitant ultérieur. Chaque Sous-traitant ultérieur sera lié par des obligations de protection des données conformes à celles du présent Contrat.

5.3. Responsabilité. Bentley sera responsable des actes et omissions de ses Sous-traitants ultérieurs dans la même mesure que Bentley serait responsable en cas d'exécution des services de chaque Sous-traitant directement en vertu des conditions du présent DPA, sauf indication contraire dans le Contrat.

6. SÉCURITÉ

En tenant compte de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des objectifs du Traitement, ainsi que du risque de vraisemblance à un degré variable et de gravité pour les droits et les libertés des personnes physiques, Bentley maintiendra les mesures techniques et organisationnelles adéquates pour assurer un niveau de sécurité approprié face aux risques lors du Traitement des Données à caractère personnel. Bentley devra, au minimum :

  • Adopter des politiques et des normes relatives à la sécurité des informations ;
  • Établir la responsabilité pour la gestion de la sécurité des informations ;
  • Allouer des ressources en personnel adéquates pour la sécurité des informations ;
  • Effectuer des vérifications de référence ou des antécédents sur les employés permanents qui auront accès à des données à caractère personnel et si nécessaire pour les exigences de conformité (lorsque cela est possible et légal dans chaque juridiction concernée) ;
  • Exiger que tous les employés de Bentley se conforment à une politique écrite de Sécurité des informations ;
  • Mettre en place des procédures pour empêcher l’accès non autorisé aux Données à caractère personnel via l’utilisation, le cas échéant, de contrôles d’entrée physiques et logiques, de zones sécurisées pour le traitement et d'outils de prévention de la perte de données ;
  • Assurer la conformité aux politiques et aux normes relatives à la protection des données de manière continue.

Bentley a le droit de modifier les mesures techniques et organisationnelles à sa seule discrétion, à condition que le niveau global de sécurité des Services ne soit pas dégradé. Des informations supplémentaires concernant les mesures techniques et organisationnelles de Bentley sont disponibles dans le Centre de confidentialité de Bentley, telles que mises à jour de temps à autre.

7. DROIT D'AUDIT DE L'ABONNÉ

 Pour la durée du présent DPA, à la demande de l'Abonné, pas plus d'une fois par année civile, et sous réserve d'un Contrat de confidentialité, Bentley fournira à l'Abonné le rapport d'audit le plus récent effectué par un auditeur indépendant afin que l'Abonné puisse vérifier raisonnablement la conformité de Bentley avec ses obligations de protection des données. L'Abonné accepte d'exercer tout droit d'audit et d'inspection qu'il peut avoir uniquement en demandant et en examinant ce rapport d'audit. Une fois que l’Abonné a examiné ce qui précède, dans le cas où des informations supplémentaires sont nécessaires pour démontrer la conformité aux obligations de Bentley en matière de protection des données, l’Abonné doit en informer Bentley par écrit, en identifiant spécifiquement l’obligation à laquelle le rapport ne démontre pas la conformité, la lacune dans le rapport d’audit et les domaines pour lesquels des informations supplémentaires sont demandées. Après examen, Bentley peut informer son auditeur indépendant des défaillances identifiées pour inclusion dans ses procédures d’audit. À la discrétion de Bentley, Bentley déploiera des efforts raisonnables pour se conformer et fournir à l’Abonné (lui-même ou à un auditeur accrédité enregistré agissant au nom de l’Abonné, sous réserve des obligations de confidentialité) un accès à des politiques, procédures, processus et/ou preuves supplémentaires démontrant le fonctionnement des contrôles. L’Abonné doit donner à Bentley un préavis d’au moins 30 jours, ne sera pas autorisé à conserver des copies de documents supplémentaires ou à en faire des copies, et ne perturbera pas de manière déraisonnable les activités commerciales de Bentley. L’Abonné est responsable de tous les coûts d’un tel audit, et des frais supplémentaires peuvent s’appliquer pour compenser les coûts encourus par Bentley.

8. GESTION ET NOTIFICATION D'UNE VIOLATION DE DONNÉES

Bentley accepte d'informer l'Abonné sans retard injustifié de la découverte d'une Violation de données. Dans le cadre de la notification à l'Abonné, Bentley fournira à l'Abonné, dans la mesure du possible, des informations suffisantes pour que l'Abonné effectue toute notification requise dans le délai requis par les Lois et règlements sur la protection des données. Ces informations peuvent inclure, mais ne sont pas nécessairement limitées à : (i) la nature de la Violation de données, ainsi que les catégories et le nombre approximatif de Personnes concernées et d'enregistrements de Données personnelles concernés, (ii) les conséquences probables de la Violation des données, dans la mesure où les conséquences peuvent être déterminées, et (iii) toute mesure prise pour résoudre ou atténuer la Violation de données.

9. RESTITUTION ET SUPPRESSION DES DONNÉES À CARACTÈRE PERSONNEL

Bentley conservera les Données à caractère personnel reçues de l'Abonné ou créées au nom de l'Abonné uniquement le temps nécessaire pour exécuter les services en vertu du Contrat ou dans le cadre de toute autre obligation en vertu de la loi applicable. À la demande de l’Abonné, Bentley accepte de restituer ou de détruire les Données à caractère personnel reçues ou créées conformément au Contrat, dans la mesure permise par la loi applicable.

10. LIMITATION DE LA RESPONSABILITÉ

 La responsabilité totale de chacun des Abonnés et de Bentley (ainsi que leurs employés, directeurs, dirigeants, affiliés, successeurs et ayants droit), découlant de ou liée au présent DPA, qu'elle soit contractuelle, délictuelle, ou résultant d'une autre théorie de responsabilité, est sujette à la section « Limitation de la Responsabilité » du Contrat, et toute référence dans cette section à la responsabilité d'une partie signifie la responsabilité globale de cette partie et de tous ses Affiliés en vertu du Contrat et des DPA.

11. DISPOSITIONS SPÉCIFIQUES À L'EUROPE

 11.1. RGPD. Bentley traitera les Données à caractère personnel conformément aux exigences du RGPD directement applicables à la fourniture des Services par Bentley.

11.2. Évaluation des répercussions sur la protection des données. Bentley fournira une assistance raisonnable à l'Abonné en ce qui concerne toute évaluation des répercussions sur la protection des données et/ou des consultations préalables pouvant être exigées en cas de traitement effectué en vertu du Contrat, dans la mesure requise en vertu du RGPD.

11.3. Notification d'inspection. Bentley accepte d’informer l’Abonné de toute inspection ou audit effectués par une Autorité de contrôle concernant le respect des Lois et règlements sur la protection des données dans la mesure liée aux Services fournis dans le cadre du Contrat. Bentley coopérera avec les Autorités de contrôle compétentes à la demande de l’Abonné dans une mesure raisonnable.

11.4. Mécanismes de transfert pour les transferts de données. Bentley met à disposition le mécanisme de transfert mentionné à l’Annexe 1, qui s’appliquera à tout transfert de Données à caractère personnel en vertu du présent DPA depuis l’Union européenne, l’Espace économique européen et/ou leurs États membres, la Suisse et le Royaume-Uni vers des pays qui n’assurent pas un niveau adéquat de protection des données au sens des Lois et règlements sur la protection des données pour les territoires susmentionnés, dans la mesure où ces transferts sont soumis à ces Lois et règlements sur la protection des données. De plus, l'Annexe 1 contient des conditions supplémentaires sur l'application des mécanismes de transfert qui y sont énoncés.

12. DIVERS

12.1. Effet juridique. Ce DPA peut être signé en plusieurs exemplaires, chacun étant considéré comme un original, mais ensemble, tous les exemplaires seront considérés comme un seul et même Contrat. Une copie signée du présent DPA livrée par fac-similé, par courrier électronique ou par tout autre moyen de transmission électronique (auquel est jointe une copie PDF signée) sera réputée avoir le même effet juridique que la remise d’une copie originale signée du présent DPA.

12.2. Condition spécifique à la juridiction. Dans la mesure où Bentley traite des Données à caractère personnel provenant de l’une des juridictions énumérées à l’Annexe 5 (Conditions spécifiques à la juridiction) du présent DPA et protégées par les Lois et règlements sur la protection des données de l'une de ces juridictions, les conditions spécifiées dans l’Annexe 5 en ce qui concerne la ou les juridiction(s) applicable(s) s’appliquent en plus des conditions du présent DPA.

 12.3. Conflits. En cas de conflit ou d’incohérence entre le corps du présent DPA (y compris l’une de ses Annexes et ses Appendices, autres que ceux des Clauses contractuelles types de l’UE) et les Clauses contractuelles types de l’UE, les Clauses contractuelles types de l’UE prévaudront.

Liste des Annexes

Annexe 1 : Mécanismes de transfert et conditions supplémentaires pour les Transferts de données européennes

Annexe 2 : Détails sur le Traitement et le Transfert des Données à caractère personnel

Annexe 3 : SSC-Matrix

Annexe 4 : Coordonnées des parties et Identification de l’Autorité de contrôle compétente

Annexe 5 : Conditions spécifiques à la juridiction

ANNEXE 1 – MÉCANISMES DE TRANSFERT ET CONDITIONS SUPPLÉMENTAIRES POUR LES TRANSFERTS DE DONNÉES EUROPÉENNES

La présente Annexe 1 définit les mécanismes de transfert de Données à caractère personnel de l’Abonné en vertu des lois applicables en matière de protection des données dans l’Union européenne, l’Espace économique européen et/ou leurs États membres, la Suisse et le Royaume-Uni à Bentley Systems, Incorporated en tant que point de contact (« Transferts de données européennes ») ainsi que les conditions supplémentaires sur la portée et l’application de ce mécanisme de transfert lors de l’utilisation des Services fournis par Bentley.

Transferts de données européennes

Cette section s'applique au transfert des Données à caractère personnel de l'Abonné à Bentley Systems, Incorporated lors de l'utilisation des Services de Bentley, à condition que le transfert de ces Données à caractère personnel soit soumis au RGPD.

1.1. Application des Clauses contractuelles types de l'UE

Si les Données à caractère personnel de l’Abonné soumises au RGPD sont transférées à Bentley Systems, Incorporated, ce transfert est soumis aux Clauses contractuelles types de l’UE. Les Clauses contractuelles types de l’UE fournissent plusieurs modules qui s’appliquent en fonction de l’entité qui exporte et importe les Données à caractère personnel de l’Abonné.

  • Lorsque la partie contractuelle du présent DPA est Bentley Systems International Limited, le Module 3 des Clauses contractuelles types de l'UE (de sous-traitant à sous-traitant) s'applique à et entre Bentley Systems International Limited en tant qu'« Exportateur de donnée » et Bentley Systems, Incorporated en tant qu'« Importateur de données » quant au transfert des Données à caractère personnel de l'Abonné à Bentley Systems, Incorporated. Bentley fournira à l'Abonné une copie des Clauses contractuelles types de l'UE conclues entre Bentley Systems International Limited et Bentley Systems, Incorporated sur demande.
  • Lorsque la partie contractuelle du présent DPA est Bentley Systems, Incorporated, le Module 2 des Clauses contractuelles types de l'UE (de responsable de traitement à sous-traitant) s'applique à et entre l'Abonné en tant qu'« Exportateur de données » et Bentley Systems, Incorporated, en tant qu'« Importateur de données » concernant le transfert de Données à caractère personnel de l'Abonné à Bentley Systems, Incorporated. Dans ce cas, l'Abonné doit se conformer au processus d'exécution défini à la Section 1.2. de la présente Annexe 1.

1.2. Processus d’exécution du Module 2 des Clauses contractuelles types de l’UE

Si le Module 2 des Clauses contractuelles types de l'UE s'applique comme défini à la Section 1.1 de la présente Annexe 1, l'Abonné doit se conformer au processus d'exécution suivant :

L’annexe 3 contient une matrice (« SCC-Matrix ») qui précise quelles options prévues dans le Module 2 des Clauses contractuelles types de l’UE sont applicables et où les informations concernant le transfert de données à caractère personnel requises dans les Annexes des Clauses contractuelles types de l’UE sont définies dans le DPA.

1.3. Mesures complémentaires

Bentley prévoit les mesures complémentaires suivantes pour assurer un niveau de protection adéquat conformément à l'Article 44 et suivants du RGPD pour les Données à caractère personnel des Abonnés transférées à Bentley Systems, Incorporated à condition que Bentley ne soit pas empêché en vertu de la loi applicable de se conformer aux mesures complémentaires suivantes :

  • Si une autorité publique demande l’accès aux Données à caractère personnel de l’Abonné, Bentley en informera l’Abonné sans retard injustifié. Si Bentley devait être empêché d'informer l'Abonné d'une situation en raison de la loi applicable, Bentley devra s'assurer sans retard injustifié que le transfert de Données à caractère personnel vers le pays qui lui a demandé l'accès a été interrompu et avertir l'Abonné de la situation. Les Parties engageront des discussions sur les moyens d’atténuer la situation.
  • Bentley exercera sans retard injustifié tout recours juridique disponible contre toute demande d’accès aux données par les autorités publiques et ne divulguera aucune Donnée à caractère personnel jusqu’à ce qu’une décision de justice définitive et contraignante ne l’ordonne.
  • Bentley aidera l’Abonné en lui fournissant toute information dans la mesure du raisonnable dans le cas où l’Abonné décide d’informer les Personnes concernées si leurs Données à caractère personnel sont concernées par une demande d’accès aux données par une autorité publique.
  • Bentley fournira régulièrement à l’Abonné un rapport de transparence sur les demandes d’accès aux Données à caractère personnel reçues des autorités publiques sous une forme agrégée, comprenant au moins des informations sur le nombre de demandes de données, le type de données demandées, l’autorité publique requérante et la mesure dans laquelle Bentley a divulgué des données à caractère personnel à ces autorités publiques.
  • Bentley surveillera en permanence les évolutions juridiques ou de politique susceptibles d’entraîner son incapacité à se conformer aux obligations découlant des Clauses contractuelles types de l’UE et informera sans retard injustifié l’Abonné de ces changements et développements.
  • Bentley confirme par la présente ne pas avoir délibérément créé de portes dérobées ou de programmes similaires qui pourraient être utilisés pour accéder aux systèmes de Bentley et/ou aux données à caractère personnel de l’Abonné qui y sont stockées.

De plus amples informations sur les garanties complémentaires sont disponibles sur demande.

ANNEXE 2 – DÉTAILS SUR LE TRAITEMENT ET LE TRANSFERT DES DONNÉES À CARACTÈRE PERSONNEL

La présente Annexe 2 précise les informations sur le Traitement et le transfert de Données à caractère personnel conformément à la Section 2.5 du DPA.

Description des Activités de traitement et rôles des Parties

L’utilisation des Services Bentley par l’Abonné implique le Traitement de Données à caractère personnel par Bentley pour le compte de l’Abonné. Tout Traitement de Données à caractère personnel appartenant à l'Abonné est effectué par Bentley agissant en tant que Sous-traitant, tandis que l'Abonné agit en tant que Responsable de traitement.

Le Traitement des Données à caractère personnel de l'Abonné par Bentley implique la collecte, le transfert, le stockage et d'autres activités de traitement nécessaires pour fournir, maintenir et mettre à jour les Services fournis par Bentley à l'Abonné via les systèmes de Bentley. Toutes les Données à caractère personnel traitées dans les systèmes de Bentley lors de l’utilisation des Services fournis par Bentley sont transférées et stockées sur des serveurs situés aux États-Unis et exploités par Bentley Systems, Incorporated.

Nature et finalité du traitement

Bentley traitera les Données à caractère personnel dans la mesure nécessaire pour exécuter les Services conformément au Contrat, tel que spécifié dans la documentation et comme indiqué par l'Abonné dans son utilisation des Services.

Durée du traitement

Sous réserve de l’article 9 du DPA, Bentley traitera les Données à caractère personnel pendant la durée du Contrat, sauf accord contraire par écrit.

 Catégories de Personnes concernées 

L’Abonné peut soumettre des Données à caractère personnel aux Services, dont l’étendue est déterminée et contrôlée par l’Abonné à sa seule discrétion, et qui peuvent inclure, mais sans s’y limiter, les Données à caractère personnel relatives aux catégories suivantes de personnes concernées :

  • Partenaires commerciaux et vendeurs de l'Abonné (qui sont des personnes physiques) ;
  • Employés, agents, conseillers, freelances de l'Abonné (qui sont des personnes physiques) ;
  • Utilisateurs de l'Abonné autorisés par l'Abonné à utiliser les Services (qui sont des personnes physiques).

Catégories de Données à caractère personnel

L'Abonné peut soumettre des Données à caractère personnel aux Services, dont l'étendue est déterminée et contrôlée par l'Abonné à sa seule discrétion, et qui peuvent inclure, sans s'y limiter, les catégories de Données à caractère personnel suivantes :

  • Données de localisation, Données ID de l'Abonné ;
  • Prénom et nom ;
  • Coordonnées (société, e-mail, numéro de téléphone, adresse professionnelle physique) ;
  • Toutes les Données à caractère personnel stockées par l'Abonné dans l'environnement cloud de Bentley ;
  • Données personnelles de l’Abonné téléversées sur les services dans le cadre du Contrat.

Catégories spéciales de données (le cas échéant)

Sans objet.

Fréquence du transfert

L’utilisation des Services Bentley par l’Abonné pendant la durée de l’abonnement implique le transfert continu de Données à caractère personnel.

Périodes de conservation

Bentley conserve les Données à caractère personnel de l’Abonné pendant la durée de l’abonnement de l’Abonné. En cas de fin de l’abonnement de l’Abonné, Bentley cesse de transférer et de traiter les Données à caractère personnel de l’Abonné et restitue ou supprime ces Données à caractère personnel conformément aux dispositions énoncées dans le présent DPA.

Transferts à des sous-traitants (ultérieurs) 

Bentley fait appel à certains Sous-traitants (ultérieurs) pour fournir ses Services à l’Abonné. À cette fin, ces Sous-traitants (ultérieurs) peuvent également traiter les Données à caractère personnel de l’Abonné. Vous trouverez de plus amples informations sur la fonction de ces Sous-traitants (ultérieurs) ainsi que sur le sujet, la nature et la durée du Traitement effectué par ces Sous-traitants (ultérieurs) dans le Centre de confidentialité de Bentley.

Mesures techniques et organisationnelles

Bentley conservera des garanties administratives, physiques et techniques pour la protection de la sécurité, de la confidentialité et de l'intégrité des Données à caractère personnel traitées dans le cadre de la fourniture des Services, comme indiqué dans le Centre de confidentialité de Bentley ou rendu raisonnablement disponible via tout autre moyen par Bentley.

ANNEXE 3 – SSC-MATRIX

La présente Annexe 3 ne s’applique que si Bentley Systems, Incorporated est la partie contractuelle du présent DPA et que le Module 2 des Clauses contractuelles types de l’UE s’applique à et entre l’Abonné et Bentley Systems, Incorporated, tel que défini à la Section 1.1 de l’Annexe 1. L’Annexe 3 ne s’applique pas si Bentley Systems International Limited est la partie contractuelle du présent DPA.

La présente Annexe 3 spécifie les options sélectionnables ainsi que les informations nécessaires sur le transfert vers un pays tiers requises en vertu des Clauses contractuelles types de l'UE.

Module 2 des Clauses contractuelles types de l'UE

(de Responsable de traitement à Sous-traitant)

Spécification 
Clause 7 (Clause d'adhésion) : Sélection des options disponiblesL'Exportateur de données et l'Importateur de données conviennent par la présente que toute entité qui n'est pas partie aux Clauses contractuelles types de l'UE ne peut y adhérer soit en tant qu'Exportateur de données soit en tant qu'Importateur de données conformément à la Section I, Clause 7 de la Clause contractuelle type de l’UE (« Clause d'adhésion ») que sur confirmation explicite de l'Exportateur de données et de l'Importateur de données. Une telle confirmation doit être faite par écrit.
Clause 9 (a) (recours à des sous-traitants ultérieurs) : Sélection des options disponiblesL’Exportateur de données et l’Importateur de données conviennent par la présente que l’option 2 de la Section II, Clause 9.a des Clauses contractuelles types de l’UE s’applique (autorisation générale de recruter des sous-traitants ultérieurs). À cette fin, la Section 5 du DPA s'applique en conséquence.
Clause 11 (Recours) : Choix des options disponiblesL’Exportateur de données et l'Importateur de données conviennent par la présente que l’option de recours énoncée à la Section II, Clause 11 des Clauses contractuelles types de l'UE ne s’applique pas.
Clause 13 (Contrôle), Annexe I.C. : Détermination de l’autorité de contrôle compétenteVoir les renseignements à l’Annexe 4.
Clause 17 (Droit applicable) : sélection des options disponiblesL'Exportateur de données et l'Importateur de données conviennent par la présente que les dispositions de l'Option 1 de la Section III, Clause 17 des Clauses contractuelles types de l'UE s'appliqueront et que les Clauses contractuelles types de l'UE sont régies par les lois d'Irlande.

Clause 18 (Élection de for et juridiction) :

Sélection des options disponibles

L'Exportateur de données et l'Importateur de données conviennent par la présente, conformément à la Section III, Clause 18 des Clauses contractuelles types de l'UE, que tout litige découlant des Clauses contractuelles types de l'UE sera soumis aux tribunaux de Dublin, en Irlande.
Annexe I.A. : Informations sur le nom, l’adresse, le rôle et les activités de l’Exportateur de données en rapport avec les données transférées, le nom, la fonction et les coordonnées de la personne de contactVoir les informations aux Annexes 2 et 4.
Annexe I.A. : Date et signature de l'Exportateur de donnéesLa signature du Contrat sera réputée comme la signature des Clauses contractuelles types de l'UE et de son ou de ses Appendice(s), comme décrit à la Section 1.2. de l'Annexe 1.
Annexe I.A. : Informations sur le nom, l’adresse, le rôle et les activités de l’Importateur de données en rapport avec les données transférées, le nom, la fonction et les coordonnées de la personne de contactVoir les informations aux Annexes 2 et 4.
Annexe I.A. : Date et signature de l'importateur de donnéesLa signature du Contrat sera considérée comme la signature des Clauses contractuelles types de l'UE et de ses Appendices, tel que décrit à la Section 1.2. de l'Annexe 1.
Annexe I.B. : catégories de personnes concernées dont les données à caractère personnel sont transféréesVoir les renseignements à l'Annexe 2.
Annexe I.B. : catégories de données à caractère personnel transféréesVoir les renseignements à l'Annexe 2.
Annexe I.B. : Données sensibles transférées (le cas échéant) et restrictions ou garanties appliquéesVoir les renseignements à l'Annexe 2.
Annexe I.B. : Fréquence du transfertVoir les renseignements à l'Annexe 2.
Annexe I.B. : Nature du traitementVoir les renseignements à l'Annexe 2.
Annexe I.B. : Finalité du transfert des données et traitement ultérieurVoir les renseignements à l'Annexe 2.
Annexe I.B. : Période pendant laquelle les données à caractère personnel seront conservées ou, si cela n’est pas possible, critères utilisés pour déterminer cette périodeVoir l’information à l'Annexe 3.
Annexe I.B. : Pour le transfert à un sous-traitant (ultérieur) : objet, nature et durée du traitementVoir les renseignements à l'Annexe 2.
Annexe I.C. : Identité de l’autorité ou des autorités de contrôle compétente(s) conformément à la Clause 13Voir les renseignements à l’Annexe 4.
Annexe II : Mesures techniques et organisationnellesVoir les renseignements à l'Annexe 2.
Annexe III : Informations sur les sous-traitants ultérieurs, y compris le nom et l’adresse, ainsi que le nom, la fonction et les coordonnées de la personne de contact, la description du traitementNon requis, car l’Option 2 de la Clause 9.a de la Clause contractuelle type de l’UE s’applique, comme spécifié dans la présente Annexe 3.

ANNEXE 4 – COORDONNÉES DES PARTIES ET IDENTIFICATION DE L’AUTORITÉ DE CONTRÔLE COMPÉTENTE

La présente Annexe 4 ne s'applique que si Bentley Systems, Incorporated est la partie contractuelle du présent DPA, et si le Module 2 des Clauses contractuelles types de l'UE s'applique à et entre l'Abonné et Bentley Systems, Incorporated, tel que décrit dans la Section 1.1 de l'Annexe 1. L'Annexe 4 ne s'applique pas si Bentley Systems International Limited est la partie contractuelle de ce DPA.

La présente Annexe 4 définit les coordonnées de l'Exportateur de données et de l'Importateur de données, tel que requis par l'Annexe I des Clauses contractuelles types de l'UE, dans la mesure où ces informations ne sont pas déjà précisées dans le présent DPA et les autres Annexes 1 à 3, ainsi que l'identité de l'autorité de contrôle compétente conformément à l'Article 13 des Clauses contractuelles types de l'UE.

Contacter Bentley Systems, Incorporated  

Data Protection Officer : dpo@bentley.com

Personne(s) de contact de l'Abonné et/ou Data Protection Officer (le cas échéant)

Nom : tel que spécifié dans le Contrat

Poste, Titre : tels que spécifiés dans le Contrat

Coordonnées : telles que spécifiées dans le Contrat

Représentant de l'Abonné au sein de l'UE (le cas échéant)

Nom : tel que spécifié dans le Contrat

Coordonnées : telles que spécifiées dans le Contrat

Identification des autorités de contrôle compétentes conformément à la Clause 13

Nom : autorité de contrôle compétente dans la juridiction où l’exportation de données est établie, tel que défini plus en détail dans le Contrat.

ANNEXE 5 – CONDITIONS PROPRES À LA JURIDICTION

Australie :

  • La définition des « Lois et règlements sur la protection des données » comprend les Australian Privacy Principles et l'Australian Privacy Act (1988).
  • La définition des « Données à caractère personnel » comprend les « Informations à caractère personnel » telles que définies par les Lois et règlements sur la protection des données.

Brésil :

  • La définition de « Lois et réglementations sur la protection des données » comprend la Lei Geral de Proteção de Dados (« LGPD »).
  • La définition de « sous-traitant » inclut « opérateur » tel que défini dans la LGPD.

Canada :

  • La définition des « Lois et règlements sur la protection des données » comprend la Loi fédérale sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »).
  • Les sous-traitants ultérieurs de Bentley, comme décrit à la Section 5 (Sous-traitants ultérieurs) du présent DPA, sont des tiers en vertu de la LPRPDE, avec lesquels Bentley a conclu un contrat écrit qui inclut des termes substantiellement analogues à ceux de ce DPA. Bentley a fait preuve de la diligence raisonnable appropriée concernant ses sous-traitants ultérieurs.

Israël :

  • La définition des « Lois et règlements sur la protection des données » inclut la Loi sur la protection de la vie privée (« PPL »).
  • La définition de « Responsable du traitement » (Controller) inclut le « Propriétaire de la base de données » (Database Owner), tel que défini dans la PPL.
  • La définition de « Sous-traitant » (Processor) comprend le « Détenteur » (Holder) tel que défini dans la PPL.

Japon :

  • La définition des « Lois et règlements sur la protection des données » inclut la Loi sur la protection des informations personnelles (« APPI »).
  • La définition de « Données à caractère personnel » inclut les « informations personnelles » telles que définies dans l’APPI.
  • La définition de « Responsable de traitement » inclut « Opérateur commercial » (Business Operator) tel que défini dans l'APPI. En tant qu’Opérateur commercial, Bentley est responsable du traitement des données à caractère personnel en sa possession.
  • La définition de « Sous-traitant » (Processor) comprend un opérateur commercial à qui l'Opérateur commercial a confié la gestion des données à caractère personnel en tout ou en partie (également un « administrateur », trustee), tel que décrit dans l'APPI. En tant qu'administrateur, Bentley veillera à ce que l’utilisation des données à caractère personnel qui lui sont confiées soit contrôlée de manière sécurisée.

Mexique :

  • La définition de « Lois et règlements sur la protection des données » inclut la Loi fédérale sur la protection des données à caractère personnel détenues par des particuliers et ses règlements (« FLPPIPPE »).

Singapour :

  • La définition de « Lois et règlements sur la protection des données » comprend la Loi sur la protection des données à caractère personnel de 2012 (« PDPA »). Bentley traitera les données à caractère personnel avec un niveau de protection conforme à la PDPA en mettant en œuvre les mesures techniques et organisationnelles adéquates telles que définies à la Section 6 (Sécurité) du présent DPA et en se conformant aux termes du Contrat.

Suisse :

  • La définition de « Lois et règlements sur la protection des données » inclut la Loi fédérale suisse sur la protection des données.
  • Lorsque Bentley engage un Sous-traitant ultérieur en vertu de la Section 5 (Sous-traitant ultérieur) du présent DPA, Bentley : (a) exigera de tout Sous-traitant ultérieur désigné qu’il protège les Données de l’Abonné conformément aux normes requises par les Lois et règlements en matière de protection des données, comme l’inclusion des mêmes obligations en matière de protection des données que celles visées à l’Article 28(3) du RGPD, en particulier la fourniture des garanties suffisantes de mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD, et (b) exigera de tout Sous-traitant ultérieur désigné qu’il (i) accepte par écrit de ne traiter les données à caractère personnel que dans un pays que l’Union européenne a déclaré avoir un niveau de protection « adéquat » ou (ii) ne traite les données à caractère personnel qu’à des conditions équivalentes aux Clauses contractuelles types de l’UE ou conformément à une approbation des Règles d’entreprise contraignantes (Binding Corporate Rules) accordée par les autorités compétentes en matière de protection des données de l’Union européenne.

Royaume-Uni :

  • Dans cette mesure, les références au RGPD dans le présent DPA seront réputées comme étant des références aux lois correspondantes du Royaume-Uni (y compris le RGPD du Royaume-Uni, UK GDPR, et la Loi de 2018 sur la Protection des données, Data Protection Act ).
  • Lorsque Bentley engage un Sous-traitant ultérieur en vertu de la Section 5 (Sous-traitant ultérieur) du présent DPA, Bentley : (a) exigera de tout Sous-traitant ultérieur désigné qu’il protège les Données de l’Abonné conformément aux normes requises par les Lois et règlements en matière de protection des données, telles que l’inclusion des mêmes obligations en matière de protection des données que celles visées à l’article 28(3) du RGPD, en particulier la fourniture des garanties suffisantes de mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD ; et (b) exigera de tout Sous-traitant ultérieur désigné qu’il (i) accepte par écrit de ne traiter les données à caractère personnel que dans un pays que le Royaume-Uni a déclaré avoir un niveau de protection « adéquat » ou (ii) ne traite les données à caractère personnel qu’à des conditions équivalentes aux Clauses contractuelles types de l’UE ou conformément à une approbation des Règles d’entreprise contraignantes (Binding Corporate Rules) accordée par les autorités compétentes du Royaume-Uni en matière de protection des données.
  • Nonobstant toute disposition contraire dans le présent DPA ou dans le Contrat (y compris, sans s'y limiter, les obligations d’indemnisation de l’une ou l’autre des parties), aucune des parties ne sera responsable des amendes émises ou prélevées en vertu de l’article 83 du RGPD du Royaume-Uni contre l’autre partie par une autorité de réglementation ou un organisme gouvernemental en relation avec la violation du RGPD du Royaume-Uni par cette autre partie.

20 % de réduction sur les logiciels Bentley

L'OFFRE PREND FIN VENDREDI

Utilisez le code « THANKS24 »

Célébrez l'excellence en matière d'infrastructure et de performance

Year in Infrastructure 2024 et Going Digital Awards

Présentez un projet pour les prix les plus prestigieux en matière d'infrastructure ! La nouvelle date limite d'inscription est le 29 avril.