Search
Menu
Stats Perform
 

Contrôleur-Contrôleur DPA

ADDENDUM DE CONTRÔLEUR À CONTRÔLEUR À L'ACCORD DE LICENCE PRINCIPAL

 

INTRODUCTION

Le présent addendum sur la protection des données ("DPA") est incorporé aux termes et fait partie de l'accord de licence principal ("MLA") entre STATS Perform (tel qu'identifié sur tout ordre de travail exécuté par les parties) et le titulaire de licence (tel qu'identifié sur tout ordre de travail exécuté par les parties). En cas de conflit entre le MLA et le présent DPA ou entre un ordre de travail et le présent DPA, le DPA prévaut. Tous les termes en majuscules qui ne sont pas définis dans le présent document ont la signification qui leur est donnée dans l'AML.

APPLICABILITÉ

Le présent DPA s'applique dans le cas où STATS Perform, ou l'une de ses sociétés affiliées, à partir de l'EEE ou du Royaume-Uni, transfère ou met à la disposition du Licencié des données à caractère personnel en vue de leur traitement dans une juridiction située en dehors de l'EEE, et que cette juridiction n'est pas couverte par une décision d'"adéquation" prise par la Commission européenne ou soumise à un autre mécanisme de transfert légal qui satisfait aux exigences de la législation sur la protection des données (aux fins du présent DPA, un "transfert de données pertinent"). Le présent DPA définit et intègre les clauses contractuelles types ("CCN") conformément à la décision de la Commission européenne du 27 décembre 2004 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des pays tiers n'assurant pas un niveau adéquat de protection des données.

Les CSC ne peuvent pas être modifiées, ne sont pas négociables et sont requises par la législation sur la protection des données pour tout transfert de données pertinent.

En conséquence, les parties concluent le présent DPA afin de garantir que les transferts de données pertinents sont conformes à la législation sur la protection des données.

Il est donc convenu ce qui suit ::

  • Clauses contractuelles types entre contrôleurs

Clauses contractuelles types pour le transfert de données à caractère personnel de la Communauté vers des pays tiers (transferts de responsable de traitement à responsable de traitement)

Accord de transfert de données

entre

STATS Exécuter (comme indiqué dans l'ordre de travail)

L'adresse et le pays d'établissement de STATS Perform, tels qu'ils figurent dans l'ordre de travail.

 

ci-après dénommé "exportateur de données"

et

Le titulaire de la licence (tel qu'il est identifié sur l'ordre de travail)

L'adresse et le pays d'établissement du licencié, tels qu'ils figurent dans l'ordre de travail.

ci-après "l'importateur de données"

chacun étant une "partie" ; ensemble, "les parties".

DÉFINITIONS

Aux fins des clauses :

  • données à caractère personnel, catégories particulières de données/données sensibles, traitement/traitement, responsable du traitement, sous-traitant, personne concernée et autorité/autorité de contrôle ont la même signification que dans la directive 95/46/CE du 24 octobre 1995 ou dans toute loi applicable en matière de protection des données (l'"autorité" étant l'autorité compétente en matière de protection des données sur le territoire où l'exportateur de données est établi) ;
  • l'exportateur de données est le responsable du traitement qui transfère les données à caractère personnel ;
  • l'importateur de données est le responsable du traitement qui accepte de recevoir de l'exportateur de données des données à caractère personnel en vue de leur traitement ultérieur conformément aux présentes clauses et qui n'est pas soumis au système d'un pays tiers assurant une protection adéquate ;
  • clauses : les présentes clauses contractuelles, qui constituent un document autonome n'incorporant pas les conditions commerciales établies par les parties dans le cadre d'accords commerciaux distincts.

Les détails du transfert (ainsi que les données à caractère personnel concernées) sont précisés à l'annexe 2, qui fait partie intégrante des clauses.

1 OBLIGATIONS DE L'EXPORTATEUR DE DONNÉES

L'exportateur de données garantit et s'engage à ce que :

  • Les données personnelles ont été collectées, traitées et transférées conformément aux lois applicables à l'exportateur de données.
  • Elle a déployé des efforts raisonnables pour déterminer que l'importateur de données est en mesure de satisfaire à ses obligations légales en vertu de ces clauses.
  • Il fournira à l'importateur de données, à sa demande, des copies des lois pertinentes sur la protection des données ou des références à ces lois (le cas échéant, à l'exclusion des conseils juridiques) du pays dans lequel l'exportateur de données est établi.
  • Il répondra aux demandes des personnes concernées et de l'autorité concernant le traitement des données à caractère personnel par l'importateur de données, à moins que les parties n'aient convenu que l'importateur de données répondra, auquel cas l'exportateur de données répondra quand même dans la mesure du possible et avec les informations dont il dispose raisonnablement si l'importateur de données ne veut pas ou ne peut pas répondre. Les réponses seront apportées dans un délai raisonnable.
  • Il met, sur demande, une copie des clauses à la disposition des personnes concernées qui sont des tiers bénéficiaires au sens de la clause 3, à moins que les clauses ne contiennent des informations confidentielles, auquel cas il peut retirer ces informations. Lorsque des informations sont retirées, l'exportateur de données informe par écrit les personnes concernées du motif du retrait et de leur droit d'attirer l'attention de l'autorité sur le retrait. Toutefois, l'exportateur de données se conforme à une décision de l'autorité concernant l'accès des personnes concernées au texte intégral des clauses, pour autant que les personnes concernées aient accepté de respecter la confidentialité des informations confidentielles supprimées. L'exportateur de données fournit également une copie des clauses à l'autorité si celle-ci le demande.

2 OBLIGATIONS DE L'IMPORTATEUR DE DONNÉES

L'importateur de données garantit et s'engage à ce que :

  • Il met en place les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, et qui assurent un niveau de sécurité approprié au risque présenté par le traitement et à la nature des données à protéger.
  • Il mettra en place des procédures pour que tout tiers qu'il autorise à accéder aux données à caractère personnel, y compris les sous-traitants, respecte et maintienne la confidentialité et la sécurité des données à caractère personnel. Toute personne agissant sous l'autorité de l'importateur de données, y compris un sous-traitant, est tenue de traiter les données à caractère personnel uniquement sur instruction de l'importateur de données. Cette provision ne s'applique pas aux personnes autorisées ou tenues par la loi ou la réglementation d'avoir accès aux données à caractère personnel.
  • Il n'a aucune raison de croire, au moment de la conclusion des présentes clauses, à l'existence de lois locales qui auraient un effet négatif important sur les garanties prévues par les présentes clauses, et il informera l'exportateur de données (qui transmettra cette notification à l'autorité compétente, le cas échéant) s'il a connaissance de l'existence de telles lois.
  • Il traitera les données à caractère personnel aux fins décrites à l'annexe 2 et dispose de l'autorité légale pour donner les garanties et remplir les engagements énoncés dans ces clauses.
  • Il indiquera à l'exportateur de données un point de contact au sein de son organisation autorisé à répondre aux demandes concernant le traitement des données à caractère personnel et coopérera de bonne foi avec l'exportateur de données, la personne concernée et l'autorité concernant toutes ces demandes dans un délai raisonnable. En cas de dissolution juridique de l'exportateur de données, ou si les parties en ont convenu, l'importateur de données assumera la responsabilité du respect des dispositions de la clause 1, point e).
  • À la demande de l'exportateur de données, il lui fournira la preuve qu'il dispose de ressources financières suffisantes pour s'acquitter de ses responsabilités au titre de la clause 3 (ce qui peut inclure une couverture d'assurance).
  • Sur demande raisonnable de l'exportateur de données, il soumettra ses installations de traitement des données, ses fichiers de données et la documentation nécessaire au traitement à l'examen, à l'audit et/ou à la certification de l'exportateur de données (ou de tout agent d'inspection ou auditeur indépendant ou impartial, choisi par l'exportateur de données et auquel l'importateur de données ne s'oppose pas raisonnablement) afin de s'assurer du respect des garanties et des engagements énoncés dans les présentes clauses, moyennant un préavis raisonnable et pendant les heures normales de bureau. La demande sera soumise à tout consentement ou approbation nécessaire de la part d'une autorité de réglementation ou de contrôle dans le pays de l'importateur de données, consentement ou approbation que l'importateur de données s'efforcera d'obtenir en temps utile.
  • Il traitera les données à caractère personnel, à sa discrétion, conformément aux principes de traitement des données énoncés à l'annexe 1. Chacun des importateurs de données suivants indique par ses initiales ci-dessous qu'il accepte de se conformer à ces principes :

          Les parties conviennent qu'en signant et en datant l'ordre de travail, elles paraphent, conviennent et acceptent la présente clause 2(h).

  • Il ne divulguera ni ne transférera les données à caractère personnel à un contrôleur de données tiers situé en dehors de l'Espace économique européen (EEE), à moins qu'il ne notifie l'exportateur de données au sujet du transfert et que
    • le responsable du traitement tiers traite les données à caractère personnel conformément à une décision de la Commission constatant qu'un pays tiers assure une protection adéquate, ou
    • le responsable du traitement des données du tiers devient signataire de ces clauses ou d'un autre accord de transfert de données approuvé par une autorité compétente de l'UE, ou
    • les personnes concernées ont eu la possibilité de s'y opposer, après avoir été informées des finalités du transfert, des catégories de destinataires et du fait que les pays vers lesquels les données sont exportées peuvent avoir des normes différentes en matière de protection des données, ou
    • en ce qui concerne les transferts ultérieurs de données sensibles, les personnes concernées ont donné leur consentement sans équivoque au transfert ultérieur

3 RESPONSABILITÉ ET DROITS DES TIERS

    • Chaque partie est responsable envers les autres parties des dommages qu'elle cause par toute violation des présentes clauses. La responsabilité entre les parties est limitée aux dommages réels subis. Les dommages-intérêts punitifs (c'est-à-dire les dommages-intérêts destinés à punir une partie pour son comportement scandaleux) sont expressément exclus. Chaque partie est responsable envers les personnes concernées des dommages qu'elle cause par toute violation des droits d'un tiers en vertu des présentes clauses. Cela n'affecte pas la responsabilité de l'exportateur de données en vertu de sa loi sur la protection des données.
    • Les parties conviennent qu'une personne concernée a le droit de faire appliquer, en tant que tiers bénéficiaire, la présente clause et les clauses 1(b), 1(d), 1(e), 2(a), 2(c), 2(d), 2(e), 2(h), 2(i), 3(a), 5, 6(d) et 7 à l'encontre de l'importateur de données ou de l'exportateur de données, pour leur manquement respectif à leurs obligations contractuelles, en ce qui concerne ses données à caractère personnel, et acceptent la compétence à cette fin dans le pays d'établissement de l'exportateur de données. En cas d'allégations de violation par l'importateur de données, la personne concernée doit d'abord demander à l'exportateur de données de prendre les mesures appropriées pour faire valoir ses droits auprès de l'importateur de données ; si l'exportateur de données ne prend pas ces mesures dans un délai raisonnable (qui, dans des circonstances normales, est d'un mois), la personne concernée peut alors faire valoir ses droits directement auprès de l'importateur de données. Une personne concernée a le droit d'agir directement contre un exportateur de données qui n'a pas déployé d'efforts raisonnables pour déterminer que l'importateur de données est en mesure de satisfaire à ses obligations légales en vertu des présentes clauses (il incombe à l'exportateur de données de prouver qu'il a déployé des efforts raisonnables).

4 DROIT APPLICABLE AUX CLAUSES

Les présentes clauses sont régies par le droit du pays dans lequel l'exportateur de données est établi, à l'exception des lois et réglementations relatives au traitement des données à caractère personnel par l'importateur de données en vertu de la clause 2, point h), qui ne s'appliquent que si l'importateur de données en a fait le choix en vertu de cette clause.

5 RÉSOLUTION DES LITIGES AVEC LES PERSONNES CONCERNÉES OU L'AUTORITÉ

    • En cas de litige ou de plainte déposée par une personne concernée ou par l'autorité concernant le traitement des données à caractère personnel contre l'une ou l'autre des parties ou les deux, les parties s'informent mutuellement de ces litiges ou plaintes et coopèrent en vue de les régler à l'amiable en temps utile.
    • Les parties acceptent de répondre à toute procédure de médiation non contraignante généralement disponible, engagée par une personne concernée ou par l'autorité. Si elles participent à la procédure, les parties peuvent choisir de le faire à distance (par exemple par téléphone ou par d'autres moyens électroniques). Les parties conviennent également d'envisager de participer à toute autre procédure d'arbitrage, de médiation ou de règlement des litiges mise en place pour les litiges relatifs à la protection des données.
    • Chaque partie se conforme à la décision d'un tribunal compétent du pays d'établissement de l'exportateur de données ou de l'autorité, qui est définitive et contre laquelle aucun recours n'est possible.

6 RÉSILIATION

    • Si l'importateur de données ne respecte pas les obligations qui lui incombent en vertu des présentes clauses, l'exportateur de données peut suspendre temporairement le transfert de données à caractère personnel à l'importateur de données jusqu'à ce que la violation soit réparée ou que le contrat soit résilié.
    • Dans le cas où :
      • le transfert de données à caractère personnel à l'importateur de données a été temporairement suspendu par l'exportateur de données pendant plus d'un mois conformément au paragraphe a) ;
      • le respect de ces clauses par l'importateur de données le mettrait en infraction avec ses obligations légales ou réglementaires dans le pays d'importation ;
      • l'importateur de données enfreint de manière substantielle ou persistante les garanties ou les engagements qu'il a pris en vertu des présentes clauses ;
      • une décision définitive et sans appel d'un tribunal compétent du pays d'établissement de l'exportateur de données ou de l'autorité constate qu'il y a eu violation des clauses par l'importateur ou l'exportateur de données ; ou
      • une pétition est présentée pour l'administration ou la liquidation de l'importateur de données, que ce soit à titre personnel ou professionnel, pétition qui n'est pas rejetée dans le délai applicable à un tel rejet en vertu de la loi applicable ; une ordonnance de liquidation est rendue ; un administrateur judiciaire est nommé sur l'un de ses actifs ; un syndic de faillite est nommé, si l'importateur de données est une personne physique ; un arrangement volontaire d'entreprise est entamé par l'importateur de données ; ou tout autre événement équivalent dans toute juridiction se produit

l'exportateur de données, sans préjudice de tout autre droit qu'il peut avoir à l'encontre de l'importateur de données, a le droit de résilier les présentes clauses, auquel cas l'autorité est informée si nécessaire. Dans les cas visés aux points i), ii) ou iv) ci-dessus, l'importateur de données peut également résilier les présentes clauses.

  • L'une ou l'autre des parties peut mettre fin à ces clauses si :
    • toute décision positive d'adéquation de la Commission en vertu de l'article 25, paragraphe 6, de la directive 95/46/CE (ou de tout texte la remplaçant) est émise à l'égard du pays (ou d'un secteur de celui-ci) vers lequel les données sont transférées et traitées par l'importateur de données, ou
    • La directive 95/46/CE (ou tout texte la remplaçant) devient directement applicable dans ce pays.
  • Les parties conviennent que la résiliation des présentes clauses à tout moment, en toutes circonstances et pour quelque raison que ce soit (à l'exception de la résiliation en vertu de la clause 6(c)) ne les dispense pas des obligations et/ou conditions prévues par les clauses en ce qui concerne le traitement des données à caractère personnel transférées.

7 VARIATION DE CES CLAUSES

Les parties ne peuvent pas modifier ces clauses, sauf pour mettre à jour les informations figurant à l'annexe 2, auquel cas elles en informeront l'autorité si nécessaire. Cela n'empêche pas les parties d'ajouter des clauses commerciales supplémentaires si nécessaire.

8 DESCRIPTION DU TRANSFERT

Les détails du transfert et des données à caractère personnel sont précisés à l'annexe 2. Les parties conviennent que l'annexe 2 peut contenir des informations commerciales confidentielles qu'elles ne divulgueront pas à des tiers, sauf si la loi l'exige ou en réponse à une agence réglementaire ou gouvernementale compétente, ou si la clause 1(e) l'exige. Les parties peuvent signer des annexes supplémentaires pour couvrir des transferts additionnels, qui seront soumis à l'autorité si nécessaire. L'annexe 2 peut, à titre subsidiaire, être rédigée de manière à couvrir des transferts multiples.

Les parties conviennent qu'en signant et en datant l'ordre de travail, elles acceptent d'être liées par les CCAP, notamment par les éléments suivants l'annexe 1 et l'annexe 2.

  • (Principes du traitement des données)
    • Limitation de la finalité : Les données à caractère personnel ne peuvent être traitées, puis utilisées ou communiquées ultérieurement que pour les finalités décrites à l'annexe 2 ou autorisées ultérieurement par la personne concernée.
    • Qualité et proportionnalité des données : Les données à caractère personnel doivent être exactes et, si nécessaire, mises à jour. Les données à caractère personnel doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont transférées et traitées ultérieurement.
    • Transparence : Les personnes concernées doivent recevoir les informations nécessaires pour garantir un traitement équitable (telles que des informations sur les finalités du traitement et sur le transfert), à moins que ces informations n'aient déjà été fournies par l'exportateur de données.
    • Sécurité et confidentialité : Le responsable du traitement doit prendre des mesures de sécurité techniques et organisationnelles appropriées au regard des risques présentés par le traitement, tels que la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés. Toute personne agissant sous l'autorité du responsable du traitement, y compris un sous-traitant, ne doit traiter les données que sur instruction du responsable du traitement.
    • Droits d'accès, de rectification, d'effacement et d'opposition : Comme le prévoit l'article 12 de la directive 95/46/CE, les personnes concernées doivent recevoir, directement ou par l'intermédiaire d'un tiers, les informations personnelles qu'une organisation détient à leur sujet, à l'exception des demandes manifestement abusives, fondées sur des intervalles déraisonnables ou sur leur nombre ou leur caractère répétitif ou systématique, ou pour lesquelles l'accès ne doit pas être accordé en vertu de la législation du pays de l'exportateur de données. Pour autant que l'autorité ait donné son accord préalable, l'accès ne doit pas non plus être accordé lorsqu'il est susceptible de nuire gravement aux intérêts de l'importateur de données ou d'autres organisations traitant avec l'importateur de données et que ces intérêts ne sont pas supplantés par les intérêts des droits et libertés fondamentaux de la personne concernée. Il n'est pas nécessaire d'identifier les sources des données à caractère personnel lorsque cela n'est pas possible au prix d'efforts raisonnables ou lorsque les droits de personnes autres que la personne concernée seraient violés. Les personnes concernées doivent pouvoir faire rectifier, modifier ou supprimer les données à caractère personnel les concernant lorsqu'elles sont inexactes ou traitées en violation de ces principes. S'il existe des raisons impérieuses de douter de la légitimité de la demande, l'organisation peut exiger des justifications supplémentaires avant de procéder à la rectification, à la modification ou à l'effacement. Il n'est pas nécessaire de notifier toute rectification, modification ou suppression aux tiers auxquels les données ont été divulguées lorsque cela implique un effort disproportionné. Une personne concernée doit également pouvoir s'opposer au traitement des données à caractère personnel la concernant s'il existe des raisons impérieuses et légitimes tenant à sa situation particulière. La charge de la preuve de tout refus incombe à l'importateur de données et la personne concernée peut toujours contester un refus devant l'autorité.
    • Données sensibles : L'importateur de données prend les mesures supplémentaires (par exemple en matière de sécurité) qui sont nécessaires pour protéger ces données sensibles conformément à ses obligations au titre de la clause 2.
    • Données utilisées à des fins de marketing : Lorsque les données sont traitées à des fins de marketing direct, des procédures efficaces doivent permettre à la personne concernée de refuser à tout moment que ses données soient utilisées à de telles fins.
    • Décisions automatisées : Aux fins des présentes, on entend par "décision automatisée" une décision de l'exportateur de données ou de l'importateur de données qui produit des effets juridiques à l'égard d'une personne concernée ou qui l'affecte de manière significative et qui est fondée exclusivement sur un traitement automatisé de données à caractère personnel destiné à évaluer certains aspects de sa personnalité, tels que son rendement au travail, sa solvabilité, sa fiabilité, son comportement, etc. L'importateur de données ne prend pas de décisions automatisées concernant les personnes concernées, sauf dans les cas suivants :

(a) (i) ces décisions sont prises par l'importateur de données dans le cadre de la conclusion ou de l'exécution d'un contrat avec la personne concernée, et

(a) ii) la personne concernée a la possibilité de discuter des résultats d'une décision automatisée pertinente avec un représentant des parties qui prennent cette décision ou de présenter des observations à ces parties.

ou

(b) lorsque le droit de l'exportateur de données en dispose autrement.

ANNEXE 2 (Informations sur le traitement des données)

1 PERSONNES CONCERNÉES

Les données personnelles transférées concernent les catégories suivantes de personnes concernées :

Les données à caractère personnel contenues dans le matériel sous licence (tel que défini dans la LBA), qui comprennent les informations relatives aux joueurs de sport, aux athlètes et aux professionnels du sport.

2 OBJECTIFS DU (DES) TRANSFERT(S)

Les transferts sont effectués aux fins suivantes : utilisation des données à caractère personnel par l'importateur de données aux fins énoncées dans l'ordre de travail et la LBA.

3 CATÉGORIES DE DONNÉES

Les données à caractère personnel transférées concernent les catégories de données suivantes et d'autres catégories de temps à autre :

Catégorie de données (toutes liées au sport)
Données (y compris les données relatives à la performance et à l'événement du match)
Contenu vidéo et audio
Contenu éditorial

 

4 RECIPIENTS

Les données à caractère personnel transférées ne peuvent être divulguées qu'aux destinataires ou catégories de destinataires suivants :

Les destinataires, conformément à la commande de travail et/ou à l'AML.

5 INFORMATIONS RELATIVES À L'ENREGISTREMENT DE L'EXPORTATEUR DE DONNÉES EN MATIÈRE DE PROTECTION DES DONNÉES

Ils seront fournis sur demande.

6 INFORMATIONS UTILES SUPPLÉMENTAIRES

Aucun.

7 POINTS DE CONTACT POUR LES DEMANDES DE RENSEIGNEMENTS SUR LA PROTECTION DES DONNÉES

Voir l'ordre de travail pour les coordonnées.