Skip to main content

ANNEXE COMPLÉMENTAIRE RELATIVE À LA PROTECTION DES DONNÉES POUR LES SERVICES DE DOCUSIGN

Version en date du 1er décembre 2022

La présente Annexe relative à la Protection des Données pour les Services de Docusign (« DPA ») fait partie intégrante du Contrat. Sauf s’ils sont définis autrement dans le présent DPA, les termes qui commencent par une majuscule ont la signification qui leur est attribuée dans le Contrat. En cas de divergence entre ces documents, l’ordre de priorité suivant s’applique (par ordre décroissant) : (a) les Règles d’Entreprise Contraignantes (BCRs), (b) les Clauses Contractuelles Types telles que prévues aux présentes, (c) le corps du DPA, (d) tout document joint au DPA et (e) le Contrat.

1. DÉFINITIONS. Aux fins du présent DPA :

« Règles d’Entreprise Contraignantes (BCR) » désigne les Règles d’Entreprise Contraignantes (Binding Corporate Rules en anglais) de Docusign pour les Sous-traitants (Processors en anglais), dont la version la plus récente est disponible sur le site internet de Docusign à l’adresse : https://trust.docusign.com/en-us/trust-certifications/gdpr/bcr-p-processor-privacy-code/.

« Responsable du Traitement », « Business », « Sous-Traitant » et « Prestataire de services » (ou termes équivalents) ont les significations qui leur sont attribuées dans les Lois sur la Protection des Données.

« Violation de Données » désigne toute acquisition, destruction, perte, altération ou divulgation accidentelle ou illégale, ou toute consultation non autorisée, de Données à caractère personnel gérées par Docusign.

« Lois sur la Protection des Données » désigne toutes les lois, réglementations et autres exigences juridiquement contraignantes applicables dans toute juridiction en matière de confidentialité, protection des données, sécurité des données, notification de violations, qui s’appliquent au Traitement de  Données à caractère personnel par Docusign, y compris mais sans s’y limiter et dans la mesure où ils sont applicable : le California Consumer Privacy Act, z Cal. Civ. Code § 1798.100 et seq. ainsi que toutes les réglementations et tous les amendements associés, en ce compris lorsqu’il s’applique, le California Privacy Rights Act amendments (“CCPA”) sur la protection de la vie privée des consommateurs ; le Règlement Général sur la Protection des Données, Règlement (UE) 2016/679 (« RGPD ») ; la Loi fédérale suisse sur la Protection des Données (Federal Act on Data Protection (« FADP ») ; le United Kingdom Data Protection Act britannique de 2018 sur la Protection des Données (« UK GDPR »); l’Australian Privacy Act (n° 119, 1988) (telle qu’amendé) australien  (« Privacy Act ») ; la Loi canadienne sur la Protection des Renseignements Personnels et les Documents Électroniques (« PIPEDA »); la loi brésilienne n° 13.709 du 14 août 2018 :  Loi Générale sur la Protection des Données à caractère Personnel (telle qu’amendée par la Loi n° 13.853 du 8 juillet 2019) (« LGPD »), et le Singapore Personal Data Protection Act de 2012 (n° 26 de 2012) singapourien (« PDPA »). 

« Personne Concernée » désigne une personne physique identifiée ou identifiable à laquelle se rapportent les Données Personnelles (ou tout terme équivalent en vertu des Lois sur la Protection des Données). 

« CCT de l’UE » désigne les Clauses Contractuelles Types émises en vertu de la Décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers en vertu du Règlement (UE) 2016/679 du Parlement européen et du Conseil, disponibles à l’adresse http://data.europa.eu/eli/dec_impl/2021/914/oj, et complétées comme indiqué à l’Article 7 ci-dessous.

« Données Personnelles » désigne les « données personnelles », les « données à caractère personnel », les « informations à caractère personnel », les « informations permettant d’identifier une personne (« personnally identifiable information » ou « PII» en anglais) » ou tous termes équivalents, qui sont Traitées par Docusign dans le cadre de la fourniture des Services de Docusign en vertu du Contrat, et ces termes auront la même signification que celle qui leur est attribuée par les Lois sur la Protection des Données. 

« Traiter » et « Traitement » ont la signification qui leur est attribuée en application des Lois sur la Protection des Données et de l’Annexe relative à la Sécurité des Services de Docusign, et comprennent toute opération ou tout ensemble d’opérations effectuées sur les Données Personnelles ou sur des ensembles de Données Personnelles, que ce soit ou non par des moyens automatisés, telles que la collecte, l’enregistrement, l’organisation, la création, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou d’autre forme de mise à disposition, le rapprochement, ou l’interconnexion, la limitation, l’effacement ou la destruction.

 2. PORTÉE ET FINALITÉS DU TRAITEMENT. 

2.1 Selon les Lois sur la Protection des Données, le Client est le Responsable du Traitement ou l’Entreprise (Business en anglais), et Docusign est le Sous-Traitant ou le le Prestataire de services (Service Provider en anglais) en ce qui concerne le Traitement des Données Personnelles par Docusign pour fournir les Services de Docusign en application du Contrat. Le présent DPA s’applique au Traitement par Docusign des Données Personnelles pour le compte du Client ou d’une Société Affiliée du Client (le cas échéant) pour la fourniture des Services de Docusign tels que prévus au Contrat. 

2.2 La portée, la nature, les finalités et la durée du traitement, les types de Données Personnelles Traitées et les Personnes Concernées sont indiqués dans le présent  DPA, y compris dans son Annexe A. Les détails fournis dans l’Annexe A sont réputés satisfaire à toute exigence de fourniture de ces détails en vertu des Lois sur la Protection des Données.

2.3 Docusign Traitera les Données Personnelles uniquement : (a) pour remplir ses obligations envers le Client en application du Contrat, y compris le présent DPA, (b) pour le compte du Client conformément aux instructions du Client, et (c) conformément aux Lois sur la Protection des Données. Docusign ne « vendra » pas de Données Personnelles (tel que ce terme entre guillemets - « sell» en anglais - est défini dans les Lois sur la Protection des Données), ne « partagera » pas ni ne Traitera les Données Personnelles à des fins de « publicité comportementale » ou de « publicité ciblée » tel que ces termes - en anglais « share », « cross-context behavorial advertising » et « targeted advertising » - sont définis dans les Lois sur la Protection des Données), ni ne Traitera les Données Personnelles à toute fin autre que pour les finalités spécifiques énoncées aux présentes ou en dehors de la relation commerciale directe avec le Client. Docusign ne tentera pas de relier, d’identifier ou de créer autrement une relation entre les Données Personnelles et les données à caractère non personnel, ou toute autre donnée, sans l’autorisation expresse du Client.

2.4 Le Client veillera à : (a) ce que toutes les notifications aient été données et que toutes les autorisations aient été obtenues, comme l’exigent les Lois sur la Protection des Données, pour que Docusign (et ses Sociétés Affiliées et Sous-traitants ultérieurs) puisse Traiter les Données Personnelles comme prévu au Contrat et au présent DPA, (b) toujours se conformer à toutes les Lois sur la Protection des Données, et (c) à toujours disposer du droit de transmettre les Données Personnelles à Docusign, ou d’y donner accès, pour leur Traitement conformément aux dispositions du Contrat et du présent DPA. 

2.5 Sauf indication contraire dans le Contrat, le Client s’engage à ne pas fournir à Docusign de données sensibles ou de catégories particulières de Données Personnelles qui imposeraient à Docusign des obligations spécifiques en matière de sécurité ou de protection des données qui s’ajouteraient à  celles spécifiées au présent DPA (y compris toute annexe au DPA) ou dans le Contrat, ou qui en diffèreraient.

3. EXIGENCES RELATIVES AU TRAITEMENT DE DONNÉES PERSONNELLES. Docusign doit : 

(a) S’assurer que les personnes qu’elle autorise à Traiter les Données Personnelles sont soumises à des obligations de confidentialité concernant cette activité ou à une obligation statutaire de confidentialité adaptée.

(b) Informer rapidement le Client de : (i) toute réclamation d’un tiers ou d’une Personne Concernée relative au Traitement de Données Personnelles, ou de (ii) toute demande émanant d’une autorité publique relative à l'accès à des Données Personnelles ou à des informations portant sur sur Traitement par Docusign de Données Personnelles pour le compte du Client, à moins que les lois applicables l’interdisent. Docusign fournira au Client une coopération et une assistance commercialement raisonnables dans le cadre d’une telle demande. Si les lois applicables interdisent à Docusign de divulguer au Client les détails d’une demande émanant d’une autorité publique, Docusign fera usage de tous les mécanismes légaux disponibles pour contester toute exigence d’accès aux données au moyen de la procédure applicable à la demande d’une autorité publique reçue, ainsi que de toutes les dispositions de non-divulgation jointes et contenues dans les Directives de Docusign relatives à la mise en application des lois (Law Enforcement Guidelines en anglais), disponibles à l’adresse: https://www.docusign.com/legal/law-enforcement.

(c) Fournir une assistance raisonnable et coopérer avec le Client pour permettre à celui-ci de réaliser une analyse de l’impact sur la protection des données du Traitement ou du Traitement proposé des Données Personnelles, lorsque les Lois sur la Protection des Données l’exigent.

(d) Fournir une assistance commercialement raisonnable et coopérer avec le Client pour permettre à celui-ci de consulter les autorités réglementaires en ce qui concerne le Traitement ou le Traitement proposé des Données Personnelles, y compris pour se conformer à toute obligation applicable à Docusign en vertu des Lois sur la Protection des Données de consulter une autorité de contrôle au titre du Traitement ou du Traitement proposé des Données Personnelles par Docusign.

(e) Se conformer aux restrictions du CCPA en application de l’article 1798.140 (e)(6) concernant la combinaison des Données Personnelles avec les données personnelles reçues d’une ou plusieurs autre(s)  personne(s) ou pour le compte de celle(s)-ci, aux fins énumérées par le CCPA. En ce qui concerne ses obligations en vertu du CCPA, Docusign certifie qu’elle les respecte en application du présent DPA (y compris, à titre non limitatif, les restrictions en application des Articles 2 et 3).

(f) Informer promptement le Client si elle estime que : (i) elle ne peut plus remplir ses obligations en application du présent DPA ou des Lois sur la Protection des Données, ou si (ii) à son avis, une instruction du Client enfreint les Lois sur la Protection des Données.

4. DEMANDES FORMULÉES PAR LES PERSONNES CONCERNÉES.

4.1 Si Docusign reçoit une demande directement d’une Personne Concernée concernant ses droits en vertu des Lois sur la Protection des Données, Docusign transmettra promptement la demande au Client si la Personne Concernée a identifié le Client comme étant le Responsable du Traitement des Données Personnelles faisant l’objet de la demande, et pourra informer la Personne Concernée qu’elle l’a fait. Docusign fournira une assistance raisonnable au Client dans l’exécution de ses obligations, en vertu des Lois sur la Protection des Données, de répondre aux demandes des Personnes Concernées, mais le Client comprend et convient que, en tant que Responsable du Traitement, le Client est seul tenu de répondre aux demandes des Personnes concernées et que Docusign n’est nullement tenue de répondre à une Personne Concernée pour le Client ou en son nom. 

4.2 Si le Client reçoit une requête ou une demande de renseignements d’une Personne Concernée relative à des Données Personnelles Traitées par Docusign, le Client peut soit : (a) accéder aux Services de Docusign contenant les Données Personnelles pour répondre à la requête ou à la demande de renseignement, soit (b) dans la mesure où le Client ne disposerait pas d’un cet accès, contacter l’assistance clientèle de Docusign pour solliciter une aide supplémentaire permettant au Client de répondre à la requête ou à la demande de renseignement.

5. SÉCURITÉ DES DONNÉES

5.1 Docusign met en œuvre des mesures administratives, techniques, matérielles et organisationnelles appropriées pour protéger les Données Personnelles. Les détails concernant les mesures de sécurité spécifiques qui s’appliquent aux Services de Docusign sont tels que décrits dans les Règles d’Entreprise Contraignantes (BCR), le Contrat et dans l’Annexe relative à la sécurité des Services de Docusign. Le Client reconnaît que les mesures de sécurité de Docusign sont susceptibles de faire l’objet de progrès et de développements techniques et que Docusign peut mettre à jour ou modifier les Mesures de Sécurité à tout moment, dès lors que ces mises à jour et modifications n’entraînent pas une dégradation de la sécurité globale des Services de Docusign achetés par le Client.


5.2 Le Client est responsable de la mise en œuvre adéquate des contrôles d’accès, de l’utilisation et de la configuration de certaines fonctions et fonctionnalités des Services de Docusign que le Client peut choisir d’utiliser, et il s’engage à les utiliser conformément au présent DPA et au Contrat, de la manière qu’il juge adéquate, y compris, à titre non limitatif, pour maintenir la sécurité, la protection, l’effacement et la sauvegarde appropriés de ses propres Données Personnelles.

6. VIOLATION DE DONNÉES. Docusign informera le Client sans délai injustifié après avoir pris connaissance d’une Violation de Données, et aidera le Client à se conformer à ses obligations liées à la Violation de Données, y compris, à titre non limitatif, en :

(a) prenant des mesures commercialement raisonnables pour atténuer les effets de la Violation de Données et réduire le risque pour les Personnes Concernées dont les Données Personnelles ont été affectées, et en

(b) fournissant au Client les informations suivantes, dans la mesure de ses connaissances : 

(i) La nature de la Violation de Données, y compris, dans la mesure du possible, la manière dont la Violation de Données s’est produite, les catégories potentielles et le nombre approximatif de Personnes Concernées affectées, ainsi que les catégories et la quantité approximative d’enregistrement de Données Personnelles concernées,

(ii) Les conséquences probables de la Violation de Données, et

(iii) Les mesures prises ou proposées par Docusign pour remédier à la Violation de Données, y compris, le cas échéant, les mesures pour en atténuer les éventuels effets négatifs et causes.

(c) L’obligation de Docusign de signaler une Violation de Données en vertu du  présent DPA ne constitue pas et ne sera pas interprétée comme une reconnaissance par Docusign d’une faute ou d’une responsabilité de Docusign au regard de cette Violation de Données. Le Client est seul responsable de déterminer s’il doit informer les Personnes Concernées impactées et de la réalisation d’une telle communication, ainsi que de déterminer si les autorités de contrôle compétentes doivent être informées d’une Violation de Données, dans la mesure où cela peut être requis pour les propres affaires et activités du Client. Nonobstant ce qui précède, le Client accepte de se coordonner de manière raisonnable avec Docusign sur le contenu des déclarations publiques prévues par le Client et/ou les notifications requises pour les Personnes Concernées affectées et/ou les notifications aux autorités de contrôle compétentes concernant la Violation de Données.

7. SOUS-TRAITANTS ULTÉRIEURS

7.1 Le Client reconnaît et convient que Docusign peut utiliser les Sociétés Affiliées de Docusign et d’autres Sous-traitant ultérieurs (tels que définis dans la Loi sur la Protection des Données) pour Traiter les Données Personnelles conformément aux dispositions du présent DPA et aux Lois sur la Protection des Données. Lorsque Docusign sous-traite des droits ou des obligations concernant les Données Personnelles, y compris à une Société Affiliée, Docusign prend des mesures pour sélectionner et retenir des Sous-traitants ultérieurs capables de maintenir des mesures de confidentialité et de sécurité appropriées pour protéger les Données Personnelles conformément aux Lois sur la Protection des Données et au présent DPA, et Docusign demeurera responsable de l’exécution de toutes ses obligations en vertu du Contrat et du présent DPA, qu’elles soient ou non exécutées par Docusign, ses Sociétés Affiliées ou ses Sous-traitant ultérieurs.

7.2 La Liste des sous-traitants ultérieurs des Services de Docusign est disponible sur le site internet de Docusign à l’adresse https://www.docusign.com/trust/privacy/subprocessors-list (la « Liste des Sous-traitants ultérieurs »), et l’avis concernant les nouveaux sous-traitants ultérieurs des Services de Docusign est mis à disposition par le biais d’un système d’abonnement tel que décrit sur le site internet de Docusign. Le Client accepte de s’abonner à la Liste des Sous-traitants ultérieurs afin que Docusign l’informe des nouveaux Sous-traitants ultérieurs pour les Services de Docusign concernés. Docusign maintiendra à jour une liste de ses Sous-traitant ultérieurs, et informera le Client trente (30) jours avant qu’un nouveau Sous-traitant ultérieur soit ajouté à la liste. Si le Client oppose une objection commercialement raisonnable à la désignation d’un nouveau Sous-traitant ultérieur, Docusign déploiera des efforts raisonnables pour mettre à la disposition du Client une modification des Services de Docusign ou recommandera une modification commercialement raisonnable de l’utilisation des Services de Docusign par le Client afin d’éviter le Traitement des Données Personnelles par le Sous-traitant ultérieur visé par cette objection, sans que l’utilisation par le Client des Services de Docusign concernés  soit substantiellement modifiée. Le Client peut, à sa seule discrétion, résilier le Contrat si Docusign n’est pas en mesure de fournir une modification raisonnable afin de remédier à l’objection du Client sur le Sous-traitant ultérieur.

8. TRANSFERTS INTERNATIONAUX DE DONNÉES.

8.1 Docusign ne procédera à aucun Traitement transfrontalier de Données Personnelles, ni ne transmettra, directement ou indirectement, des Données Personnelles vers un pays en dehors du pays à partir duquel lesdites Données Personnelles ont été collectées, sans se conformer aux Lois sur la Protection des Données. Si Docusign procède à un transfert ultérieur de Données Personnelles, Docusign s’assurera qu’un mécanisme légal de transfert de données soit en place avant de transférer les Données Personnelles d’un pays à un autre. 

8.2 Dans la mesure où le Traitement transfrontalier des Données Personnelles par Docusign implique un transfert de Données Personnelles soumises à des obligations de transfert transfrontalier en vertu des Lois sur la Protection des Données, les Règles d’Entreprise Contraignantes (BCR) s’appliquent au Traitement des Données Personnelles par Docusign et/ou ses Sociétés Affiliées dans le cadre de la fourniture des Services de Docusign en application du Contrat. Les Règles d’Entreprise Contraignantes sont intégrées au présent DPA par renvoi, et Docusign consent à déployer des efforts commercialement raisonnables pour maintenir l’autorisation réglementaire des Règles d’Entreprise Contraignantes (BCR) ou d’autres garanties de transfert transfrontalier appropriées pendant la durée du Contrat. 

8.3 Nonobstant l'article 8.2 ci-dessus, dans la mesure des exigences légales, en signant le présent DPA, le Client et Docusign sont réputés avoir signé les CCT de l’UE à titre de garantie supplémentaire, lesquelles font partie du présent DPA et (à l’exception de ce qui est décrit aux articles 8.3(d) et 8.3 (e) ci-dessous) seront réputées avoir été conclues comme suit : 

(a) le Module 2 des CCT de l’UE s’applique aux transferts de Données Personnelles du Client (en tant que Responsable du Traitement) à Docusign (en tant que Sous-Traitant) et le Module 3 s’applique aux transferts de Données Personnelles du Client (en tant que Sous-Traitant) à Docusign (en tant que Sous-Traitant ultérieur),

(b) La Clause 7 (clause d’adhésion), facultative, est incluse,

(c) En vertu de la Clause 9 (Recours à des Sous-traitants ultérieurs), les Parties choisissent l’Option 2 (Autorisation écrite générale),

(d) En vertu de la Clause 11 (Voies de recours), les dispositions optionnelles prévoyant que les Personnes Concernées soient autorisées à introduire une réclamation auprès d’un organe de  de règlement des litiges indépendant ne sont pas insérées,

(e) En vertu de la Clause 17 (Droit applicable), les Parties choisissent l’Option 1 (le droit d’un État membre de l’UE qui reconnaît des droits au tiers bénéficiaire). Les Parties choisissent le droit de la France,

(f) En vertu de la Clause 18 (Élection de for et juridiction), les Parties sélectionnent les juridictions de la France, 

(g) Les Annexes I(A) (Liste des Parties) et I(B) (Description du transfert)  sont complétées comme indiqué dans l'Addendum A, 

(h) En vertu de l’Annexe I(C) (Autorité de contrôle compétente), les Parties doivent suivre les règles d’identification de cette autorité en vertu de la Clause 13 (Contrôle) et, dans la mesure permise par la loi, sélectionner la Commission Nationale de l’Informatique et des Libertés (CNIL) française,

(i) L’Annexe II (Mesures techniques et organisationnelles) est complétée comme le prévoit l’Addendum A au présent DPA, et

(j) L’Annexe III (Liste des Sous-traitants ultérieurs) n’est pas applicable car les Parties ont choisi l’Autorisation générale en vertu de la Clause 9. Cependant, la liste des Sous-traitants ultérieurs de Docusign peut être consultée comme décrit ci-dessus à l'Article 7.

8.4 En ce qui concerne les Données Personnelles transférées depuis le Royaume-Uni, pour lesquelles le UK GDPR (et non le RGPD, ni le FADP) régit le caractère international du transfert, l’International Data Transfer Addendum to the EU Commission Standard Contractual Clauses (disponible à l’adresse: https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdf) (les « UK SCCs  ») fait partie du présent DPA et prévaut sur le reste du présent DPA comme stipulé dans les UK SCCs. Les termes commençant par une majuscule non définis et utilisés dans la présente clause désignent les définitions des UK SCCs. Les UK SCCs seront réputées remplies comme suit : (a) les coordonnées des Parties seront celles des Parties et de leurs Sociétés Affiliées dans la mesure où l’une d’entre elles est impliquée dans ce transfert, (b) les Personnes à Contacter seront les contacts indiqués dans le Contrat, (c) les CCT de l’UE Approuvées (Approved EU SCCs en anglais) référencées dans le Tableau 2 seront les CCT de l’UE telles que signées par les Parties, (d) l’une ou l’autre des Parties peut mettre fin au présent DPA tel qu’énoncé à l’Article 19 des UK SCCs, et (e) en concluant le présent DPA, les Parties sont réputées signer les UK SCCs.

8.5 Pour les transferts de Données Personnelles qui sont soumis au FADP, les CCT de l’UE font partie du la présent DPA tel que stipulé à l'Article 8.3 du présent DPA, mais avec les différences suivantes, dans la mesure requise par le FADP : (a) les références au RGPD dans les CCT de l’UE doivent être comprises comme des références au FADP dans la mesure où les transferts de données sont soumis exclusivement au FADP et non au RGPD, (b) les références aux données personnelles dans les CCT de l’UE font également référence aux données concernant les entités juridiques identifiables jusqu’à l’entrée en vigueur des révisions du FADP qui écartent cette portée plus large, (c) l’expression « État Membre » dans les CCT de l’UE ne doit pas être interprétée de manière à exclure les Personnes Concernées en Suisse de la possibilité de faire valoir leurs droits en justice dans leur lieu de résidence habituelle (la Suisse) conformément à la Clause 18(c) des CCT de l’UE, et (d) l’autorité de contrôle compétente est le Préposé fédéral à la protection des données et à la transparence (pour les transferts soumis au FADP et non au RGPD), ou à la fois ledit Préposé suisse et l’autorité de contrôle identifiée dans les CCT de l’UE (lorsque le FADP et le RGPD s’appliquent, respectivement).

9. AUDITS. Dans la mesure requise par les Lois sur la Protection des Données, Docusign mettra à disposition les informations raisonnablement demandées par le Client pour confirmer la conformité de Docusign au présent DPA (par exemple : les rapports SOC, ISO, NIST, PCI DSS et rapports d’audit similaires émis par un auditeur tiers qualifié, « Rapport d’Audit »), ou à l’Annexe relative à la Sécurité des Services de Docusign. Sauf disposition contraire du Contrat ou l’Annexe relative à la Sécurité au sujet des audits, si le Client dispose d’un fondement raisonnable pour conclure qu’un Rapport d’Audit fourni par Docusign n’est pas suffisant pour confirmer cette conformité, le Client peut, à ses seuls frais et moyennant un préavis de trente (30) jours, demander un audit, pendant les heures ouvrables normales, des systèmes et enregistrements de Docusign concernés par le Traitement des Données Personnelles  par Docusign pour le compte du Client. Le Client devra limiter l’exercice de ses droits d’audit à une fois par période de douze (12) mois calendaires maximum.

10. RESTITUTION OU DESTRUCTION DES DONNÉES PERSONNELLES. Avant la résiliation ou l’expiration du Contrat, le Client peut récupérer les Données Personnelles Traitées par Docusign conformément aux conditions du Contrat et, à la demande du Client, Docusign supprimera rapidement toutes les Données Personnelles en sa possession ou sous son contrôle dès que cela sera raisonnablement possible. Néanmoins, cette exigence ne s’appliquera pas si Docusign est tenue par le droit applicable de conserver tout ou partie des Données Personnelles, ni aux Données Personnelles qu’elle a archivées sur des systèmes de sauvegarde et que Docusign isolera de manière sécurisée et protégera de tout traitement ultérieur, sauf dans la mesure requise par la loi applicable. Pour les Données Personnelles stockées dans l’environnement de service du Client, ou pour les Services de Docusign pour lesquels aucune fonctionnalité de récupération de données en masse n’est fournie par Docusign dans le cadre des Services de Docusign, le Client reconnaît qu’il est tenu de prendre les mesures appropriées pour sauvegarder ou autrement stocker séparément les Données Personnelles tant que l’environnement des Services de Docusign est toujours actif avant la fin du Contrat, et reconnaît que, si le Client choisit de se faire restituer ses Données Personnelles, le Client reconnaît que Docusign ne propose pas de récupération de données de masse dans le cadre des Services de Docusign et que le Client sera tenu d’engager les Services Professionnels de Docusign ou l’assistance clientèle à un prix raisonnable que le Client devra payer à Docusign. 

11. DISPOSITIONS DIVERSES.

11.1 Nonobstant toute autre clause contraire dans le Contrat, Docusign se réserve le droit d’apporter     toute modification au présent DPA qui pourrait être requise pour se conformer aux Lois sur la Protection des Données, tant que ladite modification ne dégrade aucune fonctionnalité de service ni la protection associée à la fourniture des Services de Docusign. 

11.2 Toute réclamation introduite en vertu du présent DPA sera soumise aux conditions du Contrat, en ce compris, mais à titre non limitatif, les exclusions et limitations stipulées au Contrat.

11.3 Le présent DPA restera en vigueur pendant toute la durée du Contrat, ou aussi longtemps que Docusign traitera les Données Personnelles soumises au présent DPA, la plus longue de ces deux durées étant retenue.

ADDENDUM A

ANNEXE I 

A. LISTE DES PARTIES

Exportateur(s) de données : 

L’exportateur (Responsable du Traitement) est le Client et les coordonnées du Client et sa signature figurent dans le Contrat et le DPA .

Importateur(s) de données : 

L’importateur (le Sous-Traitant) est Docusign et les coordonnées et la signature de Docusign figurent dans le Contrat et le DPA.

B. DESCRIPTION DU TRANSFERT

Catégories de personnes concernées dont les données à caractère personnel sont transférées : 

Les personnes concernées dont les Données Personnelles sont contenues dans les données de l’Exportateur de données utilisées dans le cadre des Services de Docusign, comme indiqué dans le Contrat  qui décrit la fourniture des Services de Docusign au Client, y compris l’Administrateur de Compte du Client, les Utilisateurs Autorisés, les représentants et les utilisateurs finaux, y compris, à titre non limitatif, les salariés,prestataires indépendants, partenaires, fournisseurs et clients du Client.

Catégories de données à caractère personnel transférées : 

Les Données Personnelles qui sont fournies par l’Exportateur de données à l’Importateur de données dans le cadre du Contrat et du DPA,comprennent, mais à titre non limitatif, les coordonnées telles que le nom, l’adresse, le numéro de téléphone ou de téléphone portable, l’adresse e-mail et les mots de passe. 

Données à caractère sensible transférées (le cas échéant) : Non-Applicable

La fréquence du transfert (indiquer, p. ex., si les données sont transférées de manière ponctuelle ou continue) : 

Sur une base continue, tel que nécessaire pour fournir les Services de Docusign au Client pendant la durée du Contrat.

Nature du traitement : 

La nature du Traitement est définie dans le Contrat entre les parties.

Finalité(s) du transfert et du traitement ultérieur des données : 

Les finalités du transfert de données sont de permettre à Docusign de fournir les Services de Docusign conformément au Contrat.

La durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée : 

Les données seront conservées pour la durée nécessaire à l’accomplissement des finalités du Traitement, sauf disposition légale applicable contraire.

Pour les transferts à des sous-traitants (ultérieurs), préciser également l’objet, la nature et la durée du traitement : 

Veuillez vous reporter à l’Article 7 pour des informations sur la manière d’accéder à une liste des Sous-traitants ultérieurs de Docusign et la nature des services qu’ils fournissent. Tous les transferts seront effectués pour la durée du Contrat entre les parties.

C. AUTORITÉ DE CONTRÔLE COMPÉTENTE

Indiquer la ou les autorité(s) de contrôle compétente(s) conformément à la Clause 13 : 

L’autorité de contrôle compétente de l’Exportateur de données sera déterminée conformément aux Lois sur la Protection des Données et, si possible, sera la Commission Nationale de l’Informatique et des Libertés (CNIL) française.

ANNEXE II - MESURES TECHNIQUES ET ORGANISATIONNELLES, Y COMPRIS LES MESURES TECHNIQUES ET ORGANISATIONNELLES VISANT À GARANTIR LA SÉCURITÉ DES DONNÉES

Description des mesures techniques et organisationnelles mises en œuvre par le ou les importateur(s) de données (y compris toute certification pertinente) pour garantir un niveau de sécurité approprié compte tenu de la nature, de la portée, du contexte et de la finalité du traitement, ainsi que des risques pour les droits et libertés des personnes physiques.

Voir les Règles d’Entreprise Contraignantes de Docusign (Docusign Binding Corporate Rules) et https://www.docusign.com/legal/terms-and-conditions/security-attachment-docusign-services/France