Addendum Relatif au Traitement des Données

CONTEXTE

FCM Travel Solutions fait partie du Flight Centre Travel Group (« FCTG »), l'une des agences de voyage les plus importantes au monde.

Le Client et FCTG (ensemble, les « Parties ») ont signé un accord de fourniture de voyages et de services de gestion d'événements qui seront offerts par FCTG au Client et, si applicable, aux Sociétés affiliées du client (« le Contrat de gestion de voyage »).

Dans le cadre de ses obligations aux termes du Contrat de gestion de voyage, FCTG traite les Données à caractère personnel au nom du Client selon les dispositions contenues dans les présentes et le Contrat de gestion des voyages (« Traitement des données contractuelles »).  Les Parties conviennent que, en lien avec le Traitement des données contractuelles, FCTG sera le Responsable du traitement et le Client sera le Contrôleur.

Cet Addendum relatif au Traitement des données (« ATD ») fait partie du Contrat de gestion des voyages et précise les droits et obligations des Parties en termes de Traitement des données contractuelles. Cet ATD ne remplace pas les droits comparables ou complémentaires relatifs au traitement des Données personnelles contenues dans un Contrat de gestion des voyages (notamment tout contrat de traitement des données existant qui a pu être conclu entre le Client et FCTG).

En acceptant le Contrat de gestion des voyages, le Client conclut cet ATD en son propre nom et, dans la limite des dispositions des lois applicables sur la protection des données, au nom de ses Sociétés affiliées, si et dans la mesure où FCTG serait amené à traiter les Données à caractère personnel pour lesquelles lesdites Sociétés affiliées sont qualifiées en tant que Contrôleur des données.

En contrepartie des droits et obligations mutuels des Parties définis dans le Contrat de gestion des voyages et dans le présent ATD, les Parties conviennent de ce qui suit :

1. DÉFINITIONS

Les termes commençant par une lettre majuscule utilisés dans les présentes auront la signification qui leur est attribuée dans le Contrat de gestion des voyages ou dans la Section 15 (Liste des définitions) ci-dessous.  Sauf définition contraire dans les présentes, les définitions du Règlement général sur la protection des données UE 2016/679 (« RGPD »), en particulier les termes « Contrôleur », « Personne concernée », « État membre », « Données à caractère personnel », « Violation des données à caractère personnel », « Responsable du traitement », « Traitement » et « Autorité de contrôle » s'appliqueront.

2. OBJET DE L'ATD

2.1 FCTG devra traiter les Données à caractère personnel du Client dans le but de fournir les services décrits dans le Contrat de gestion des voyages (les « Services contractuels ») et tout service complémentaire aux termes du présent ATD (les « Services de traitement ») au Client (« But admissible »).  Les Parties conviennent et reconnaissent que le Client sera qualifié comme Contrôleur et FCTG sera qualifié comme Responsable du traitement lors du traitement des données à caractère personnel du Client prévu dans les présentes.

2.2 L’Annexe 2.2 stipule en détail

(a) Les buts du Traitement ;
(b) La durée du Traitement ;
(c) Les catégories de Données à caractère personnel du Client ;
(d) Les catégories de personnes concernées par le Traitement.

2.3 En cas de traitement de Données à caractère personnel du Client à l'extérieur du territoire de l'Union européenne ou de l'EEE, ou d'actions ou de pratiques concernant les Données à caractère personnel du Client lorsque cette action ou pratique est soumise à des lois sur la protection des données dans des juridictions situées en dehors de l'Union européenne ou de l'EEE, FCTG respectera ces lois applicables sur la protection des données, et en particulier fournira des dispositifs de sécurité afin d'assurer un niveau de protection des données adéquat conformément à l'Art. 44 et suiv. du RGPD.

2.4 FCTG traitera les Données à caractère personnel du Client uniquement au nom du Client et dans le strict respect des instructions écrites du Client, notamment en ce qui concerne le transfert des Données à caractère personnel vers un Pays tiers ou une organisation internationale, à moins d'y être contraint par la législation de l'Union ou d'un État membre à laquelle FCTG est soumis.  Dans un tel cas, FCTG informera le Client de cette exigence légale avant ledit Traitement, à moins que la loi n'interdise une telle information, pour des motifs importants d'intérêt public.  Afin de lever toute ambiguïté, lorsque le présent ATD ou le Contrat de gestion des voyages inclut des dispositions relatives au Traitement des données à caractère personnel du Client (p. ex. une obligation d'anonymiser certaines données à caractère personnel du Client) ledit Traitement sera considéré comme une instruction du Contrôleur aux termes du présent ATD.

2.5 Le Traitement devra à tout moment être mené d'une manière professionnelle et en conformité avec les principes du traitement approprié des données, les dispositions du Contrat de gestion des voyages, le présent ATD et la législation applicable.

3. MESURES TECHNIQUES ET ORGANISATIONNELLES REQUISES

3.1 FCTG exercera tous ses efforts raisonnables pour assurer la confidentialité, l'intégrité, la disponibilité et la résilience permanente des systèmes et services de traitement, ainsi que la possibilité de restaurer la disponibilité et l'accès aux Données à caractère personnel du Client promptement dans le cas d'un incident physique ou technique, selon ce qui est approprié pour le Traitement des Données à caractère personnel du Client aux termes des présentes et tel qu'exigé par la législation applicable. En tenant compte des développements technologiques, du coût de mise en œuvre de ces mesures et de la nature, de la portée et des objectifs du Traitement, de même que des risques de probabilité et gravité diverses menaçant les droits et les libertés des individus, FCTG mettra en œuvre les mesures techniques et organisationnelles appropriées pour :

(a) Prévenir (i) le traitement non autorisé ou illégal des Données à caractère personnel du Client ; et (ii) la perte ou destruction accidentelle, ou la détérioration des Données à caractère personnel du Client ; et

(b) Assurer un niveau de sécurité adapté (i) aux dommages qui pourraient résulter d'un traitement non autorisé ou illégal ou d'une perte, destruction ou détérioration accidentelle ; et (ii) à la nature des Données à caractère personnel du Client à protéger,

Y compris, si applicable, les mesures mentionnées dans l'Article 32 du RGPD (« Normes relatives à la sécurité des données »).

3.2 Sans préjudice de la généralité de ce qui précède, les Normes relatives à la sécurité des données que le FCTG mettra en œuvre et maintiendra sont définies dans l'Annexe 3.2.

3.3 Reconnaissant que les Normes relatives à la sécurité des données sont susceptibles de progrès techniques et de développement, les Parties conviennent que FCTG pourra mettre en œuvre des mesures techniques et organisationnelles alternatives adéquates, sous réserve que lesdites mesures ne soient pas inférieures au niveau de sécurité prévu par les Normes relatives à la sécurité des données et soient conformes aux exigences des lois applicables.

4. DROITS DE LA PERSONNE CONCERNÉE

4.1 FCTG corrigera, supprimera, bloquera ou traitera autrement les Données à caractère personnel du Client et prendra toute autre mesure en lien avec les demandes des Personnes concernées en ce qui a trait à leurs droits aux termes des lois applicables (« Demandes des Personnes concernées ») dans le strict respect des instructions écrites du Client.  FCTG fournira rapidement les informations requises et s'efforcera au mieux d'aider le Client dans toute demande émanant des Personnes concernées.

4.2 Le Client sera seul responsable du traitement des Demandes des Personnes concernées.  FCTG devra notifier rapidement le Client de toute Demande des Personnes concernées ou d'autres questions liées au présent ATD sans répondre auxdites demandes ou questions sauf instructions expresses du Client.

5. AUTRES OBLIGATIONS DE FCTG

5.1 FCTG maintiendra un registre écrit de toutes les catégories d'activités de traitement menées au nom d'un Client conformément à l'Art. 30 par. 2 du RGPD.

5.2 FCTG devra raisonnablement aider le Client en ce qui concerne :

(a) La tenue du registre des activités de traitement conformément à l'Art. 30 du RGPD en lien avec le Traitement aux termes du présent ATD et devra immédiatement, sur demande, fournir au Client toute information requise dans ce but dans un format raisonnablement spécifié par le Client ;

(b) Les Analyses d'impact sur la protection des données (DPIA) conformément à l'Art. 35 du RGPD ; et

(c) Toutes demandes ou consultations avec l'Autorité de contrôle concernée.

5.3 FCTG s'assurera que tout agent qui entreprend un Traitement, ou est impliqué dans celui-ci, aux termes du présent ATD est proprement qualifié et formé, et qu'il s'est engagé à maintenir la confidentialité des Données à caractère personnel du Client ou est soumis à une obligation de confidentialité réglementaire appropriée conformément à la législation applicable, qui survivra à la résiliation du présent ATD.

5.4 FCTG a nommé un Responsable de la protection des données. La personne nommée peut être contactée à Data.Protection@uk.fcm.travel.

6. SOUS-TRAITANCE

6.1 FCTG pourra engager d'autres Responsables du traitement en lien avec le Traitement des données contractuelles (« Sous-traitant ») uniquement en conformité avec et dans les limites permises par la législation applicable.

6.2 Tout recours à un Sous-traitant requiert le consentement préalable écrit du Client, qui ne pourra être refusé sans motif raisonnable.  Le Client consent par les présentes à ce que FCTG fasse appel à toute Société affiliée et à tout Sous-traitant déjà engagé par FCTG à la date de cet Addendum (une liste complète est disponible sur demande ou en contactant le Responsable de la protection des données de FCTG).  Le Client devra promptement prendre toute mesure raisonnable requise ou appropriée pour faciliter ou permettre le transfert des Données à caractère personnel du Client aux Sous-traitants approuvés (p. ex. en mettant à jour les registres avec les Autorités de contrôle). 

6.3 FCTG devra fournir un mécanisme à https://www.fr.fcm.travel/trust-and-compliance pour s'abonner aux notifications des nouveaux Sous-traitants, auxquelles le Client devra s'abonner, et si le Client s'abonne, FCTG fournira une notification de tout nouveau Sous-traitant.  Si, dans les deux semaines à compter de la réception de ladite notification, le Client fait part à FCTG par écrit d'une objection quelconque à la nomination proposée pour des motifs légitimes, FCTG coopérera avec le Client de bonne foi pour prendre des mesures raisonnables afin de tenir compte des objections mentionnées par le Client, et si lesdites mesures ne peuvent faire l'objet d'un accord dans les trois semaines à compter de la réception par FCTG de la notification du Client, nonobstant toute disposition du Contrat de gestion des voyages, le Client pourra, au moyen d'une notification écrite envoyée à FCTG, mettre immédiatement fin au Contrat de gestion des voyages dans la mesure où il est lié au Services contractuels qui requièrent l'utilisation du Sous-traitant proposé.  Les « Raisons légitimes » seront réputées données si des faits objectifs justifient raisonnablement l'affirmation selon laquelle l'emploi du Sous-traitant viole la législation applicable ou le présent ATD.

6.4 Lorsque FCTG engage un Sous-traitant pour mener des activités de traitement spécifiques au nom du Client, FCTG signera un contrat écrit avec le Sous-traitant incluant des conditions qui offrent au minimum le même niveau de protection des Données à caractère personnel du Client que celles stipulées dans le présent ATD et qui respectent les exigences de l'Art. 28 par. 3 du RGPD.  Le contrat avec le Sous-traitant inclura un droit d'audit direct pour le Client ou d'autres mécanismes d'audit appropriés (p. ex. des audits de tiers ou des audits effectués par FCTG au nom du Client).

6.5 FCTG effectuera des audits réguliers selon les exigences requises par la législation applicable pour s'assurer que le Sous-traitant respecte les Normes relatives à la sécurité des données, la législation applicable et ses autres obligations contractuelles.

6.6 En cas de non-respect par le Sous-traitant de ses obligations contractuelles relatives aux Données à caractère personnel du Client, FCTG restera pleinement responsable envers le Client pour tout dommage causé par ledit non-respect et devra dédommager le Client et dégager la responsabilité de celui-ci à l'égard de toute plainte ou dommage lié(e) à ou résultant de l'utilisation du Sous-traitant.

7. TRANSFERTS RESTREINTS

7.1 Les Parties devront immédiatement, sur demande raisonnable de l'une des Parties, et avant le commencement de tout Transfert restreint (i) signer les clauses standard stipulées dans la Décision de la Commission datée du 5 février 2010 (2010/87/EU) et/ou (ii) conclure ou établir tout autre instrument ou engagement approprié aux termes de la législation applicable pour mettre à exécution ledit Transfert restreint sans enfreindre lesdites lois applicables.  Si la législation applicable le requiert, FCTG devra faire en sorte que tout Sous-traitant signe lesdits instruments ou engagements directement avec le Client, ou il devra conclure lui-même lesdits instruments ou engagements directement avec le Client, ou il conclura lesdits instruments ou engagements avec le Sous-traitant au nom du Client, sous réserve d'une Procuration appropriée que le Client devra signer rapidement sur demande de FCTG.

7.2 Le terme « Transfert restreint » désigne tout transfert des données à caractère personnel du Client par ou vers l'une des Parties ou un Sous-traitant qui serait interdit par la législation applicable en l'absence d'instruments ou d'engagements mentionnés dans la Section 7.1 ci-dessus.

7.3 En cas de traitement de Données à caractère personnel du Client à l'extérieur du territoire de l'Union européenne ou de l'EEE, ou d'actions ou de pratiques concernant les Données à caractère personnel du Client lorsque cette action ou pratique est soumise à des lois sur la protection des données dans des juridictions situées en dehors de l'Union européenne ou de l'EEE, FCTG respectera ces lois sur la protection des données, et en particulier fournira des dispositifs de sécurité afin d'assurer un niveau de protection des données adéquat conformément à l'Art. 44 et suiv. du RGPD.

8. INSPECTIONS ET AUDITS

8.1 FCTG devra mettre à la disposition du Client sur demande toutes les informations nécessaires pour démontrer le respect du présent ATD, et devra permettre et assister les audits en lien avec le Traitement des Données à caractère personnel du Client, y compris les inspections des installations de traitement des données de FCTG, par le Client ou un vérificateur mandaté par le Client, dans les limites requises par la législation applicable et conformément à la présente Section 8. 

8.2 FCTG devra, sur demande écrite du Client, fournir au Client un récapitulatif des résultats de son dernier audit interne de la sécurité des données.  De plus, sur demande du Client et sans excéder une fois par an, FCTG devra participer à un processus de questionnaire écrit concernant la sécurité des informations du Client destiné à évaluer le respect par FCTG des Normes relatives à la sécurité des données. 

8.3 Les droits du Client relatifs à l'information et à un audit aux termes de la Section 8.1 ne prendront naissance que si, et dans la limite où, (i) le Contrat de gestion des voyages ne prévoit pas autrement des droits d'information et d'audit satisfaisant aux exigences correspondantes de la législation applicable (y compris l'Art. 28 par. 3(h) du RGPD) et (ii) les informations fournies dans la Section 8.2 ne sont pas suffisantes pour que le Client puisse respecter ses obligations d'inspection et d'audit aux termes de la législation applicable.

8.4 Le Client devra octroyer à FCTG un préavis d'au moins trois (3) semaines pour tout audit et inspection programmé et devra éviter de causer des dommages, des blessures ou une perturbation des locaux, de l'équipement, du personnel et de l'entreprise de FCTG.  FCTG n'est pas tenu de donner accès à ses locaux aux fins desdits audit ou inspection :

(a) À un individu à moins qu'il ne produise une preuve raisonnable de son identité et autorité ;

(b) Pour les besoins de plus d'un audit ou inspection dans une année calendaire quelconque, sauf pour des audits ou inspections exceptionnel(le)s que le Client est tenu d'effectuer par une Autorité de contrôle ou toute autorité de régulation responsable similaire chargée de l'application de la loi.

8.5 Au cas où le Client identifie des déficiences ou des irrégularités liées au Traitement des Données à caractère personnel du Client, FCTG examinera lesdites conclusions avec le Client et les Parties collaboreront pour développer un plan de remédiation mutuellement acceptable.  Si, et dans les limites où la législation applicable exige, ou exigera, que des modifications des droits précédents ou complémentaires soient accordés au Client, le présent ATD sera interprété et/ou modifié de façon à satisfaire lesdites exigences supplémentaires.  FCTG devra immédiatement informer le Client si, à son avis, une instruction concernant la présente Section enfreint l'une des lois européennes sur la protection des données ou toute autre disposition sur la protection des données de l'Europe ou d'un État membre (Art. 28 par. 3 du RGPD).

8.6 Aucune documentation ou information ne peut être copiée, partagée, transmise ou supprimée des locaux de FCTG, sauf accord mutuel ou si cela est exigé par la législation applicable.  Toute documentation et information non publique divulguée au Client au titre de la présente Section sera réputée comme une information exclusive et confidentielle de FCTG.  Le Client ne pourra divulguer ladite documentation ou information à un tiers ni l'utiliser pour un but autre que l'évaluation de la conformité de FCTG avec les Normes relatives à la sécurité des données.

9. VIOLATIONS ET INCIDENTS RELATIFS AUX DONNÉES À CARACTÈRE PERSONNEL

9.1 Les Parties sont conscientes que la législation applicable peut imposer au Client le devoir d'informer l'Autorité de contrôle compétente et la Personne concernée en cas de violation des Données à caractère personnel affectant les données à caractère personnel du Client.  De tels incidents doivent par conséquent être notifiés au Client, indépendamment de leur origine.  FCTG devra promptement notifier le Client de tout incident technique, organisationnel ou autre (y compris les incidents chez les Sous-traitants), qui ont résulté ou pourraient résulter en une violation des Données à caractère personnel au sens de l'Art. 33 par. 1 du RGPD affectant les Données à caractère personnel du Client (« Incidents de sécurité des données »).  Les Incidents de sécurité des données incluent, en particulier, mais sans limitation, ce qui suit :

(a) Tout(e) accès, divulgation, perte, téléchargement, vol, blocage, cryptage ou suppression par un logiciel malveillant non autorisé(e), effectif(ve) ou suspecté(e), ou toute autre action non autorisée liée aux données à caractère personnel du Client par des tiers non autorisés ;

(b) Tous les incidents opérationnels effectifs ou suspectés qui ont un impact sur le Traitement des données à caractère personnel du Client ;

(c) Toute violation effective ou suspectée du présent ATD ou de la législation applicable par FCTG, ses employés ou agents dans la mesure où ladite violation affecte l'intégrité et la sécurité des Données à caractère personnel du Client ou ont un impact adverse sur les obligations de FTCG aux termes du présent ATD ;

(d) Toute demande contraignante de divulgation ou de saisie des Données à caractère personnel du Client par une autorité publique d'application de la loi ou autre, à moins que FCTG n'ait l'interdiction par la législation/réglementation de notifier ledit incident au Client.

9.2 La notification par FCTG d'un Incident de sécurité des données doit être complète et inclure tout détail particulier requis aux termes de l'Art. 33 par. 3 du RGPD et/ou exigé par la législation applicable.

9.3 La notification doit être délivrée par e-mail au contact spécifié dans le Contrat de gestion des voyages et, lorsque le Client a fourni à FCTG les références correspondantes, au Responsable de la protection des données du Client.

9.4 Au cas où FCTG est tenu, au regard de la législation applicable, de notifier un Incident de sécurité des données à une Autorité de contrôle ou à autre instance, les Personnes concernées ou tout autre tiers (p. ex. si l'Incident de sécurité des données résulte en une Violation des données à caractère personnel pour laquelle FCTG est responsable en tant que Contrôleur), FCTG devra, dans les limites permises par la législation applicable et selon les possibilités raisonnables, coordonner avec le Client avant d'envoyer lesdites notifications.  Les Parties devront s'efforcer au mieux de convenir d'une approche conjointe dans le but d'éviter l'envoi de notifications contradictoires ou peu concluantes.  Ceci inclut la communication mutuelle des détails de toute notification, ainsi que de la date et de l'heure à laquelle la notification a été remise.

9.5 En cas d'Incident de sécurité des données, FCTG devra rapidement prendre toute mesure requise et appropriée aux termes de la législation applicable et des normes techniques afin de restaurer la confidentialité, l'intégrité et la disponibilité des Données à caractère personnel du Client et la résilience des systèmes et services de traitement, et d'atténuer le risque de dommage et/ou de conséquences nuisibles pour les Personnes concernées affectées ou potentiellement affectées par l'Incident de sécurité des données.

9.6 Les Parties devront s'efforcer au mieux de s'assister mutuellement en cas d'audits, de questions, d'investigations ou d'autres procédures initiées par une Autorité de contrôle ou tout autre instance publique en lien avec le Traitement des données contractuelles.  Dans les limites permises par la législation applicable, chaque Partie devra immédiatement notifier l'autre Partie desdites procédures.

10. COÛT DES SERVICES DE TRAITEMENT

10.1 Sauf indication contraire fournie dans les présentes ou dans le Contrat de gestion des voyages, le Client devra promptement, lors de la facturation de FCTG, rémunérer FCTG pour les coûts et dépenses raisonnablement contractés et requis dans la prestation des Services de traitement aux termes des présentes (c.-à-d. les services qui excèdent la portée des Services contractuels et qui ne sont pas basés sur des obligations réglementaires de FCTG).

10.2 Ce qui précède ne s'appliquera pas à des coûts immatériels non récurrents que les Parties peuvent raisonnablement considérer couverts par les frais et charges payables aux termes du Contrat de gestion des voyages.  Afin de lever toute ambiguïté, ceci n'inclut aucun Service de traitement fourni conformément aux Sections 4 - 8.

11. OBLIGATIONS DU CLIENT

11.1 Le Client devra promptement prendre toute action requise pour respecter ses propres obligations aux termes de la législation applicable en lien avec le Traitement des données à caractère personnel du Client couvert par les présentes (p. ex. prendre en compte toute notification requise des Personnes concernées).

11.2 Le Client garantit que (i) il a le droit d'impliquer et de fournir les Données à caractère personnel du Client à FCTG et que (ii) le Traitement des Données à caractère personnel du Client, sous réserve que FCTG respecte les lois applicables et les dispositions du présent ATD, n'enfreint pas les droits d'un tiers.

12. RETOUR ET SUPPRESSION DES DONNÉES À CARACTÈRE PERSONNEL DU CLIENT

12.1 Au terme du Contrat de gestion des voyages, ou à tout moment à la demande du Client, FCTG devra supprimer et organiser la suppression de toutes les copies des Données à caractère personnel du Client.  Si, et dans la limite ou la suppression n'est pas raisonnablement praticable, FCTG s'assurera que les Données à caractère personnel du Client concernées soient anonymisées ou bloquées définitivement et protégées contre tout accès, divulgation ou utilisation non autorisé(e).  Le Client peut, à son entière discrétion, requérir par notification écrite que FCTG retourne une copie complète de toutes les Données à caractère personnel du Client au Client au moyen d'un transfert de données sécurisé dans un format correspondant au format raisonnablement spécifié par le Client à FCTG.  FCTG devra respecter lesdites demandes écrites.

12.2 FCTG pourra conserver les Données à caractère personnel du Client dans les limites requises par la législation applicable et uniquement dans les limites et pour une période telles que requise par la loi applicable, et toujours sous réserve que FCTG s'assure que lesdites Données à caractère personnel du Client conservées soient (i) maintenues confidentielles et protégées contre tout accès, divulgation ou utilisation non autorisé(e), et (ii) uniquement Traitées selon les besoins pour le(s) but(s) spécifié(s) dans la législation applicable relative au stockage et pour aucun autre but.

12.3 Sur demande écrite du Client, FCTG devra fournir une certification écrite au Client qu'il s'est complètement conformé à la présente Section.

13. VIOLATION DU PRÉSENT ATD

Dans le cas d'une violation du présent ATD, les dispositions correspondantes du Contrat de gestion des voyages s'appliqueront.

14. AVENANT RELATIF À LA CONFORMITÉ SUR LA PROTECTION DES DONNÉES

14.1 L'une ou l'autre des Parties peut, par un préavis d'au moins deux semaines remis à l'autre Partie, proposer de temps à autre des avenants au présent ATD que ladite Partie considère raisonnablement nécessaire pour satisfaire aux exigences de la législation applicable. Si l'une des Parties transmet un tel préavis, les Parties devront promptement coopérer (et veiller à ce que tout Sous-traitant affecté coopère promptement) afin de s'assurer que des avenants appropriés sont apportés pour traiter les exigences identifiées dans le préavis dès qu'il est raisonnablement possible de le faire.

14.2 En cas de modifications de la législation applicable ou des directives d'une Autorité de contrôle, ou d'instructions ou ordres spécifiques d'une Autorité de contrôle en lien avec le présent ATD, les Parties devront promptement modifier le présent ATD selon ce qui est raisonnablement requis et approprié pour garantir la conformité avec lesdites modifications des exigences légales.

15. LISTE DES DÉFINITIONS

« But admissible » aura la signification qui lui est attribuée dans la Section 2.1.

« Société affiliée » désigne une entité légale contrôlant directement ou indirectement l'entité spécifiée, ou sous le contrôle commun direct ou indirect de l'entité spécifiée. « Contrôle », dans le cadre de cette définition, désigne le pouvoir de diriger l’administration et les politiques de ladite entité, directement ou indirectement, que ce soit par le biais de la détention de titres donnant droit au vote, par contrat (y compris les franchises ou les contrats de licence de marque commerciale) ou autrement.

« Client » désigne l'entité qui a conclu un Contrat de gestion des voyages avec FCTG et, pour les besoins du présent ATD uniquement, et sauf indication contraire, inclut les Sociétés affiliées du Client.

« Données à caractère personnel du Client » désigne toute donnée à caractère personnel traitée par FCTG au nom du Client conformément ou relativement au Contrat de gestion des voyages.

« Traitement des données contractuelles » aura la signification qui est attribuée à ce terme dans la Section Contexte.

« Services contractuels » aura la signification qui est attribuée à ce terme dans la Section 2.1.

« Incident de sécurité des données » aura la signification qui est attribuée à ce terme dans la Section 9.1.

« Normes relatives à la sécurité des données » aura la signification qui est attribuée à ce terme dans la Section 3.1.

« Demandes de la Personne concernée » aura la signification qui est attribuée à ce terme dans la Section 4.1.

« ATD » aura la signification qui lui est attribuée dans la Section Contexte.

« EEE » désigne l'Espace économique européen.

« FCTG » désigne l'entité du Flight Centre Travel Group qui est une Partie du Contrat de gestion des voyages et du présent ATD, faisant partie de l'une ou de plusieurs des entités suivantes exerçant en tant que FCM Travel Solutions : Flight Centre (UK) Limited, Flight Centre Travel Group (Irlande) Limited, Flight Centre Travel Group (Allemagne) GmbH, Flight Centre Travel Group (Europe) AB, Flight Centre Travel Group (Pays-Bas) B.V., et, dans la mesure où une Société affiliée des entités susmentionnées traite des Données à caractère personnel au nom du Client sur le territoire de l'Union européenne de l'EEE, « FCTG » signifiera et inclura cette Société affiliée.

« RGPD » aura la signification qui est attribuée à ce terme dans la Section 1.

« Services de traitement » aura la signification qui est attribuée à ce terme dans la Section 2.1.

« Sous-traitant » aura la signification qui est attribuée à ce terme dans la Section 6.1.

« Pays tiers » désigne les pays qui ne sont pas membres de l'UE ou de l'EEE et qui n'ont pas été reconnus par la Commission européenne comme fournissant un niveau de protection des Données à caractère personnel adéquat. Les pays qui ont été reconnus comme tels incluent, à la date de novembre 2017, l'Andorre, l'Argentine, le Canada, les Îles Féroé, Guernesey, Israël, l'Île de Man, Jersey, la Nouvelle-Zélande, la Suisse et l'Uruguay.

« Contrat de gestion des voyages » aura la signification qui lui est attribuée dans la Section Contexte.

16. DISPOSITIONS FINALES

16.1 Ordre de précédence Le présent ATD modifie les termes du Contrat de gestion des voyages et les dispositions du présent ATD sont incorporées et font partie du Contrat de gestion des voyages comme si elles avaient été explicitement mentionnées dans le Contrat de gestion des voyages.  En cas de conflit ou d'incohérence, les dispositions du présent ATD prévaudront sur les dispositions du Contrat de gestion des voyages.  Autrement, les dispositions du Contrat de gestion des voyages resteront pleinement en vigueur.

16.2 Forme écrite. Aucune modification ou changement apporté(e) au présent ATD et à l'une de ses conditions ne sera valide et contraignant(e) à moins d'être rédigé(e) par écrit et sous réserve qu'il soit mentionné explicitement qu'il s'agit d'une modification ou d'un changement au présent ATD.  Ce qui précède s'appliquera également à l'exclusion de cette forme écrite obligatoire.

16.3 Séparation. Si l'une des dispositions du présent ATD s'avérait non valide ou non applicable, le reste de l'ATD restera valide et en vigueur. La disposition non valide ou inapplicable sera soit (i) modifiée si nécessaire pour s'assurer de sa validité et de son applicabilité, tout en préservant au maximum les intentions des parties, soit, si ce n'est pas possible, (ii) interprétée comme si la partie invalide ou inapplicable n'avait jamais été contenue dans les présentes.  Ceci s'appliquera également en cas de lacunes non intentionnelles.


Annexe 2.2

But du Traitement, durée du Traitement, Catégories des Données à caractère personnel du Client et Personnes concernées par le traitement

1. BUT DU TRAITEMENT

Tout Traitement aux termes des présentes sera effectué uniquement dans le but d'exécuter le Contrat de gestion des voyages (limitation du but admissible).

2. DURÉE DU TRAITEMENT

La durée du présent ATD est égale à la durée du Contrat de gestion des voyages et l'ATD prendra fin automatiquement lorsque le Contrat de gestion des voyages sera résilié, à l'exception des dispositions conçues pour survivre à la résiliation des présentes ou du Contrat de gestion des voyages.  Tout droit à résilier le présent ATD séparément avant ladite résiliation sera exclue dans les limites permises par la législation applicable.

3. CATÉGORIES DES DONNÉES À CARACTÈRE PERSONNEL DU CLIENT
  • Données du profil du voyageur. Nom, adresse résidentielle, numéro de téléphone, e-mail, titre du poste, emplacement du bureau, numéro d'employée, informations sur le passeport et les visas (y compris la date de naissance, la nationalité, le lieu de naissance, le numéro de passeport et sa date d'expiration), numéro et détails du permis de conduire, kilométrage et numéros des cartes de voyageur/d'invité fréquent.
  • Dossier passager (« données PNR »). Les Données du profil du voyageur en format PNR associées aux données de réservation, y compris les dates et itinéraires de vol, les numéros de vol, les réservations d'hôtel, les réservations de location de véhicule, les réservations de voyages ferroviaires, les informations relatives aux billets, les solutions d'autorisation et la gestion des risques du voyage.
  • Données de paiement. Détails des cartes de crédit/débit et informations bancaires (si requis selon les dispositions de paiement prévues dans le Contrat de gestion des voyages).
  • Informations sur l'assistance alimentaire et spéciale.   Fournies en lien avec l'organisation du voyage (telle que les demandes de repas ou les besoins d'assistance spéciale) qui concernent potentiellement la santé ou les croyances religieuses.
  • Coordonnées d'urgence. Nom et numéro de téléphone des contacts de secours/des conjoints des voyageurs.
4. CATÉGORIES DE PERSONNES CONCERNÉES
  • Employés, agents et sous-traitants (le « Personnel ») du Client et des Sociétés affiliées du Client.
  • Contacts d'urgence et/ou conjoints du Personnel du Client et du Personnel des Sociétés affiliées du Client.

Annexe 3.2

NORMES RELATIVES À LA SÉCURITÉ DES DONNÉES

1. Gouvernance de la sécurité des données

FCTG maintient des procédures organisationnelles et de gouvernance internes pour gérer les informations de façon appropriée pendant toute la durée de vie du cycle. FCTG teste et évalue régulièrement l'efficacité de ses Normes relatives à la sécurité des données.

2. Contrôle des accès physiques

FCTG utilise un éventail de mesures adaptées à la fonction du lieu pour empêcher un accès non autorisé aux locaux physiques où les Données à caractère personnel sont traitées. Ces mesures incluent :

  • La gestion centralisée des clés et des codes, les procédures de cartes d'accès
  • Les systèmes de cartes par lots comprenant des mécanismes d'enregistrement et d'alertes appropriés
  • Les systèmes de surveillance comprenant des alarmes et, si approprié, des caméras de surveillance
  • Les politiques concernant les réceptionnistes et les visiteurs
  • Le verrouillage des armoires de serveurs et des salles d'équipement sécurisées dans les centres de données
3. Contrôle des accès virtuels

FCTG met en œuvre des mesures appropriées pour empêcher que ses systèmes ne soient utilisés par des personnes non autorisées. Ceci est accompli par les mesures suivantes :

  • L'assignation individuelle, identifiable et en fonction des rôles des comptes utilisateur ; accès en fonction des rôles et protégé par mot de passe et procédures d'autorisation
  • La gestion des mots de passe et des politiques de mots de passe centralisées et normalisées (longueur/nombre de caractères minimum, changement des mots de passe)
  • Les comptes utilisateurs sont désactivés après un nombre excessif de tentatives de connexion échouées
  • La déconnexion automatique en cas d'inactivité
  • La gestion antivirus
4. Contrôle de l'accès aux données

Les personnes qui ont l'autorisation d'utiliser les systèmes de FCTG ne peuvent accéder qu'aux données auxquelles elles ont besoin d'accéder dans le cadre de leurs responsabilités et dans la limite couverte par leurs permissions d'accès respectives (autorisation) et lesdites données ne peuvent être lues, copiées, modifiées ou supprimées sans autorisation spécifique. Ceci est accompli par les mesures suivantes :

  • L'authentification au niveau du système d’exploitation
  • L'authentification séparée au niveau de l'application
  • L'authentification contrôlée par le système d'authentification à gestion centralisée
  • Les procédures de contrôle du changement qui régissent la gestion des changements (application ou système d'exploitation) au sein de l'environnement
  • L'accès à distance comprenant une autorisation et une authentification appropriées
  • L'enregistrement du système et des activités du réseau pour produire une piste d'audit en cas de mauvaise utilisation du système
  • La mise en œuvre de mesures de protection appropriées pour les données stockées en fonction du risque, y compris le cryptage, la pseudonymisation et les contrôles de mots de passe.
5. Contrôle de divulgation

FCTG met en œuvre des mesures appropriées pour empêcher les données d'être lues, copiées, altérées ou supprimées par des personnes non autorisées pendant la transmission électronique et le transport des supports de stockage des données. FCTG met également en œuvre des mesures appropriées pour vérifier à quelles entités les données sont transférées. Ceci est accompli par les mesures suivantes :

  • Des protocoles de transfert des données, y compris le cryptage pour le porteur/support des données
  • Le transfert de données selon le paramétrage du profil via des méthodes de transfert de fichiers sécurisées
  • Un VPN crypté
  • Aucun transfert physique des supports de sauvegarde
6. Contrôle de la saisie des données

FCTG met en œuvre des mesures appropriées pour surveiller si les données ont été saisies, modifiées ou supprimées (effacées), et par qui. Ceci est accompli par les mesures suivantes :

  • La documentation des activités d'administration (configuration du compte utilisateur, gestion du changement, procédures d'accès et d'autorisation)
  • L'archivage des requêtes de réinitialisation des mots de passe et d'accès
  • Des fichiers journaux du système activés par défaut
  • Le stockage des journaux d'audit à des fins d'analyse des pistes d'audit
7. Le contrôle des instructions

FCTG met en œuvre des mesures appropriées pour s'assurer que les données ne puissent être traitées qu'en accord avec les instructions du Client. Ces mesures incluent :

  • Les politiques et procédures obligatoires pour les employés de FCTG
  • Lorsque des sous-traitants sont engagés pour le traitement des données, l'inclusion de dispositions contractuelles appropriées dans les contrats avec les sous-traitants pour maintenir les droits de contrôle relatif aux instructions
8. Contrôle de la disponibilité

FCTG maintient des niveaux appropriés de redondance et de tolérance de faute en cas de destruction ou de perte de données accidentelles, y compris :

  • Des systèmes exhaustifs de sauvegarde et de gestion de la récupération
  • Des plans et des systèmes répertoriés de récupération après sinistre et de continuité de l'entreprise
  • Des politiques de stockage et d'archivage
  • Des systèmes antivirus, anti-spams et de pare-feux et leur gestion, comprenant des politiques
  • Les centres de données sont équipés de façon appropriée en fonction des risques, ce qui inclut des centres de données de sauvegarde physiquement séparés, une alimentation électrique ne pouvant être interrompue (y compris des générateurs de secours), des systèmes redondants de matériel et de réseaux en cas de panne et des systèmes de sécurité et d'alarme (fumée, incendie, eau)
  • Des technologies redondantes appropriées sur les systèmes de stockage de données
  • Tous les systèmes critiques disposent de sauvegardes et d'une redondance intégrées à l'environnement.
9. CONTRÔLE par la séparation

FCTG met en œuvre des mesures appropriées pour s'assurer que les données utilisées pour des buts différents soient traitées séparément. Ceci est accompli par les mesures suivantes :

  • Les demandes d'accès et les processus d'autorisation fournissent une séparation des données logique
  • Séparation des fonctions (production/tests)
  • La séparation des tâches et des autorisations entre les utilisateurs, les administrateurs et le développeur du système.