Conditions Générales

Conditions générales de vente des services de récupération de données fournis par Ontrack

1. CONDITIONS GÉNÉRALES DE VENTE

1.1 Les présentes conditions générales de vente (“CGV”) régissent la prestation, par KLDiscovery Ontrack SARL, société à responsabilité limitée au capital de 15.200 euros dont le siège social est sis 2, impasse de la Noisette, 91371 Verrières-le-Buisson, immatriculée au Registre du Commerce et des Sociétés d’Evry sous le numéro B 418 131 546 (ci-après dénommée « Ontrack » ou « Nous »), de Services de Récupération de Données. Nous vous invitons à lire attentivement ces CGV avant de Nous passer Commande. Les présentes CGV ont pour objet de Nous présenter et de décrire les conditions selon lesquelles Nous vous fournirons les Services, les modalités selon lesquelles vous pourrez, et Nous pourrons, modifier ou mettre fin au Contrat (tel que défini ci-après), la procédure à suivre en cas de problème et d’autres informations importantes.

1.2 Le Client reconnaît qu'Ontrack dispose de laboratoires et exerce ses activités dans toute l'Europe. En cas de nécessité, le Client consent à ce qu'Ontrack accède aux données contenues dans ses supports de stockage depuis n'importe quel laboratoire d'Ontrack situé en Europe, y compris au Royaume-Uni, afin de permettre à Ontrack de fournir les Services.

2. CONTACT

2.1 Pour Nous contacter. Vous pouvez joindre notre service clients par téléphone au 01 69 53 66 99, ou bien envoyer un courrier postal à notre siège social ou un courriel à l’adresse info@ontrack.fr, voire contacter l’un de nos collaborateurs par le biais de la plateforme « Live Chat » disponible sur notre Site.

3. INTERPRÉTATION

3.1 Aux fins des présentes CGV, les définitions suivantes s’appliquent :

(a) « Client Professionnel » désigne tout client personne physique ou morale agissant pour le compte de son entreprise, son commerce ou sa profession, y compris, sans que cela soit limitatif, toute auto-entreprise, tout partenariat, toute société privée ou tout organisme public ;

(b) « Informations Confidentielles » signifie l’ensemble des informations de nature confidentielle (quelle que soit la manière dont elles sont enregistrées ou conservées) divulguées par l’une des parties à l’autre partie dans le cadre des Services, y compris, sans que cela soit limitatif, vos Données, nos Données ainsi que toutes informations susceptibles d’être considérées comme confidentielles par l’une ou l’autre partie ; 

(c) « Client Consommateur » désigne tout client personne physique n’agissant pas pour le compte d’une entreprise, d’un commerce ou d’une profession (à l’exclusion, pour éviter toute ambiguïté, de tout Client Professionnel) ;

(d) « Contrat » a la signification qui lui est attribuée à l’article 4.4 ;

(e) « Données » signifie toutes données électroniques, quelles qu’en soit la nature, y compris les données à caractère personnel, telles que définies par le Règlement Général sur la Protection des Données UE 2016/679 ;

(f) « Honoraires » signifie la rémunération dont vous êtes redevable au titre des Services, telle que visée dans le Devis concerné ; 

(g) « Matériel(s) » signifie tous supports tels que les disques durs, clés USB, ordinateurs portables, ordinateurs de bureau ou autres dispositifs ;  

(h) « Commande » a la signification qui lui est attribuée à l’article 4.3 ;

(i) « Devis » a la signification qui lui est attribuée à l’article 4.1 ;

(j) « Description des Services » désigne les processus spécifiques mis en œuvre par Ontrack tels que décrits plus précisément sur la page accessible à l’adresse suivante www.ontrack.com/fr-fr/recuperation-donnees/cgv#description, sur laquelle sont présentés, entre autres informations, les limitations, les niveaux et les objectifs des Services ;

(k) « Services » signifie les services de récupération de données que Nous sommes susceptibles de vous fournir, tels que décrits aux articles 4 (Modalités de Commande) et 5 (Services) de ces CGV ; 

(l) « Site » signifie notre site internet à l’adresse www.ontrack.com/fr-fr ou tout autre site que Nous utiliserions pour exercer notre activité, le cas échéant. 

4. MODALITÉS DE COMMANDE

4.1 En ce qui concerne les services standard de récupération de données, à la suite d’un premier entretien téléphonique et après Nous avoir fait parvenir un formulaire en ligne via notre Site ou par courriel, vous Nous enverrez votre Matériel pour notre évaluation. Nous fournirons alors les Services conformément à la Description des Services. A l’exclusion de toute Évaluation Gratuite (telle que définie dans la Description des Services), Nous ferons tous efforts raisonnables à l’effet (a) d’examiner le Matériel pour déterminer : (i) si des Données sont accessibles sur le Matériel, (ii) la cause des dommages occasionnés au Matériel et/ou aux Données enregistrés sur le Matériel ; (iii) la quantité de Données susceptible d’être récupérée (le cas échéant) sur le Matériel (« l’Évaluation Gratuite ») et (b) de vous communiquer les résultats de notre Évaluation Gratuite. Nous vous adresserons un devis établissant le périmètre des Services et les Honoraires applicables (le « Devis »).

4.2 En ce qui concerne les autres Services, tels que la récupération de données à distance (« RDD »), pour laquelle il n’est pas nécessaire de Nous faire parvenir de Matériel, ou encore l'effacement de données par démagnétisation, le Devis portera sur les prestations prévisibles d’Ontrack afin de fournir les Services. 

4.3 A réception de notre Devis, vous pourrez, à votre discrétion : (i) accepter et signer la demande de services ou le cahier des charges afin de passer une commande pour nos Services (la « Commande ») ; ou (ii) Nous demander de vous retourner votre Matériel (le cas échéant), les frais de livraison restant alors à votre charge ; ou (iii) Nous demander de détruire votre Matériel, auquel cas Nous serons autorisés à détruire votre Matériel sur le champ. A défaut de recevoir une Commande ou une demande pour le retour de votre Matériel dans un délai de 90 (quatre-vingt-dix) jours calendaires à compter de la date du Devis, Nous procèderons à la destruction de votre Matériel conformément aux lois en vigueur. 

4.4 Notre acceptation de votre Commande sera matérialisée par l’envoi d’un courriel vous confirmant notre acceptation ; dès lors, un contrat juridiquement contraignant sera établi entre vous et Nous, lequel sera régi par les présentes CGV (le « Contrat »). Nous affecterons un numéro à votre Commande. Afin de faciliter nos échanges, Nous vous remercions de bien vouloir Nous communiquer le numéro de commande lorsque vous Nous contactez. 

5. NOS SERVICES

5.1 En contrepartie du paiement de nos Honoraires, Nous exécuterons les Services conformément aux présentes CGV avec toute la diligence et les compétences requises. Dans le cadre d’une Commande, Nous ferons tous efforts raisonnables à l’effet (i) d’extraire, dupliquer, reconstruire, rendre accessibles, convertir, récupérer et vous retourner les Données ainsi récupérées sur un disque dur ou une clé USB chiffré(e) (ou tout autre disque dur fourni par vos soins) ; (ii) le cas échéant, exécuter tout autre service que Nous aurions accepté par écrit de vous fournir, comme la démagnétisation ou la RDD. Au moment de la réception du disque dur ou de la clef USB contenant les données récupérées par Ontrack, vous devez immédiatement vérifier le support afin de vous assurer de son bon fonctionnement. En cas de dysfonctionnement dudit support, Ontrack ne pourra procéder au remplacement des données récupérées que pendant la période de conservation des données à caractère personnel, conformément à l'Accord relatif au traitement de données soumis par Ontrack.

5.2 Récupération de Données à Distance. Dans l’hypothèse où vous souhaiteriez qu’Ontrack réalise des prestations de récupération de données sans qu’il soit nécessaire de nous faire parvenir un Matériel, Ontrack pourra procéder à une récupération de données à distance. Vous devrez alors télécharger et installer le logiciel client Ontrack RDD par le biais d’un lien de téléchargement fourni par Ontrack. Une fois installé, le logiciel permet à l’utilisateur de se connecter aux serveurs d’Ontrack par le biais d’une connexion à internet chiffrée. La connexion RDD est utilisée par Ontrack aux seules fins de contrôler les outils de récupération de données d’Ontrack qui se trouvent directement sur la machine du Client. Vos Données ne sont pas transmises à Ontrack durant ce processus.

5.3 Effacement de Données par démagnétisation. Ontrack placera votre Matériel dans une unité de démagnétisation, laquelle consiste en une machine qui brouille de manière efficace et sécurisée les données magnétiques contenues sur le Matériel. A la suite du processus de démagnétisation, les Données ne sont plus lisibles et auront été détruites de manière sécurisée. 

5.4 Vous serez informé de la date prévue de réalisation des Services lors de la Commande. Les frais de retour du Matériel seront ceux définis dans le Devis concerné. 

5.5 Pour les besoins de certains Services, certaines informations peuvent Nous être nécessaires, telles que des noms d’utilisateur, des mots de passe et/ou des codes d’accès. A défaut de fournir ces informations dans un délai raisonnable à compter de notre demande, ou si vous fournissez des informations incomplètes ou inexactes, Nous pourrons vous facturer un supplément d'honoraires d’un montant raisonnable afin de Nous dédommager pour les éventuels travaux supplémentaires qui se seront révélés nécessaires en conséquence. Nous déclinons toute responsabilité en cas de retard dans l’exécution des Services ou d’inexécution d’une partie de ceux-ci découlant de l’absence de fourniture pure et simple ou dans les délais des informations qui Nous sont nécessaires. 

5.6 Nous pourrons être contraints de suspendre la prestation des Services afin (i) de régler des problèmes techniques ou y apporter des modifications techniques ; (ii) de mettre les Services à jour afin de tenir compte d’évolutions dans les lois et les règlements applicables ; (iii) d’apporter des modifications aux Services à votre demande ou (iv) de faire face à un cas de force majeure en application de l’article 1218 du Code Civil (ce qui peut également Nous amener à mettre fin à ces CGV). Nous pourrons également suspendre la prestation des Services en cas de défaut de paiement. 

5.7 Notre prestation des Services ne saurait en aucun cas constituer une garantie de la réussite des Services, de la récupération ou de l’exploitabilité de la totalité de vos Données, ou de l’atteinte d’un résultat spécifique par nos soins.

5.8 Ontrack pourra, le cas échéant, fournir les Services par l’intermédiaire d’un des laboratoires de son groupe. Dans cette éventualité, Nous vous en informerons par avance. 

5.9 Ontrack garantit que le logiciel client de RDD : (a) est exempt de tout code informatique ou d’instructions de programmation qui auraient été intentionnellement conçus pour perturber, désactiver, porter atteinte, interférer avec ou, de quelque autre manière que ce soit, affecter les programmes informatiques, les fichiers de données ou les opérations ; et (b) ne contient aucun code malicieux ou dommageable qui serait typiquement décrit comme un virus ou, selon des termes similaires, comme un cheval de Troie, un ver ou une porte dérobée. 

6. DROITS DE PROPRIÉTÉ 

6.1 Votre Matériel et vos Données demeurent votre propriété exclusive en toute circonstance et Nous ne saurions prétendre à un quelconque droit, titre ou intérêt sur ceux-ci (à l’exception du droit de détenir et d’exploiter votre Matériel et vos Données aux fins de la prestation des Services).

6.2 Nous nous réservons tout droit, titre et intérêt sur la prestation des Services, y compris sur les logiciels utilisés pour la prestation des Services ainsi que les améliorations apportées aux Services. 

7. DROIT DE RÉSILIATION DU CONTRAT (CLIENTS CONSOMMATEURS) 

7.1 Le présent article 7 s’applique exclusivement à nos Contrats avec des Clients Consommateurs. Lorsqu’une Commande est passée en ligne ou entre des parties à distance, la loi vous accorde le droit de changer d’avis. Ces droits, tels que visés à l’article L. 221-18 du Code de la Consommation, sont détaillés ci-dessous. 

7.2 Pendant la durée de l’Evaluation Gratuite, vous pouvez tout annuler à tout moment. Si vous passez une Commande, vous pouvez l’annuler dans un délai de 14 (quatorze) jours à compter de la date d’envoi de notre courriel de confirmation de notre acceptation de votre Commande. Cependant, dès lors que Nous aurons réalisé les Services, vous ne pourrez changer d’avis, même si le délai de rétractation est toujours en cours. En passant Commande, vous Nous autorisez de manière expresse à exécuter immédiatement les Services. Si vous annulez votre Commande après l’exécution des Services, vous serez redevable du coût des Services fournis jusqu’au moment où vous Nous avez informés que vous avez changé d’avis. Nous vous informerons du montant des Honoraires dus à la suite de la demande d’annulation. 

7.3 Aux fins de l’annulation de la Commande, vous pouvez utiliser l’un des moyens suivants, en communiquant votre numéro de Commande, votre nom, votre adresse et votre demande d’annulation :

(a) Téléphone ou e-mail : Contactez le service clients au 01 69 53 66 99 ou envoyez-Nous un courriel à l’adresse evaluation@ontrack.fr ; ou

(b) Courrier postal : écrivez-Nous à l’adresse KLDiscovery Ontrack Sarl, 2 impasse de la Noisette 91370 Verrières-le-Buisson ; ou

(c) Formulaire d’annulation : complétez et retournez-Nous un formulaire d’annulation rédigé selon le Modèle de Formulaire d’Annulation joint en Annexe aux présentes CGV.

8. DROIT DE RÉSILIATION DU CONTRAT (CLIENTS PROFESSIONNELS)

8.1 Le présent article 8 s’applique exclusivement à nos Contrats avec des Clients Professionnels. Après avoir passé une Commande, vous ne pourrez résilier les Services que dans les cas visés à l’article 9 ci-après. 

9. DROITS DE RÉSILIATION COMMUNS

9.1 Sans préjudice des autres droits et recours à la disposition de l’une ou de l’autre Partie, chaque Partie pourra résilier le Contrat avec effet immédiat, moyennant un préavis écrit, dans les cas suivants :  

(a) un manquement par l’une ou l’autre Partie à l’une quelconque des conditions essentielles du Contrat, lorsque ce manquement est irréparable ou (dans le cas où il peut être réparé) n’a pas été réparé dans un délai de 7 (sept) jours à compter d’une mise en demeure délivrée par écrit, ou un manquement répété à ces CGV. Tout défaut de paiement est constitutif d’un tel manquement ; ou

(b) sauf disposition légale impérative contraire, la cessation (ou menace de cessation) de l’activité de l’une ou de l’autre Partie, en totalité ou en partie ; la nomination d’un mandataire-liquidateur, d’un séquestre ou d’un administrateur judiciaire auprès de l’une ou de l’autre Partie ou en rapport avec une partie de son activité ou de ses actifs, ou l’adoption d’une résolution de dissolution (autrement qu’aux fins d’un plan établi de bonne foi en vue de la fusion ou de la restructuration de sociétés solvables, avec la reprise par l’entité ainsi créée de l’ensemble de son passif) ; ou la délivrance d’une ordonnance par un tribunal compétent à l’effet de son administration judiciaire ou sa liquidation judiciaire, ou ordonnance similaire ; ou la conclusion d’un accord amiable avec ses créanciers ; ou la cessation de paiements ; ou, s’agissant d’une personne physique, son insolvabilité.

9.2 Nous pourrons résilier le Contrat si, en exécutant le Contrat, Nous sommes susceptibles d’enfreindre les lois applicables en matière d’exportation et de sanctions qui régissent les relations avec certaines entreprises et certains individus, telles qu’établies par la Commission Européenne ou d’autres autorités nationales, notamment les États-Unis. 

9.3 A compter de la résiliation, vous serez redevable de toutes les sommes qui Nous sont dues, qui deviendront exigibles immédiatement. 

10. DÉCLARATIONS ET GARANTIES DU CLIENT

10.1 Vous déclarez et garantissez que: (i) vous disposez de la capacité juridique pour conclure des contrats ayant force obligatoire ; (ii) vous disposez de l’autorité, des pouvoirs et de la capacité d’accepter les présentes CGV et, s’agissant des Clients Professionnels, vous êtes juridiquement habilité à conclure le Contrat ; (iii) toutes les informations que vous Nous fournissez dans le cadre de votre Commande sont sincères, exactes, exhaustives et conformes à la réalité ; (iv) vous êtes le propriétaire du Matériel et/ou vous avez obtenu l’accord du propriétaire du Matériel pour que Nous exécutions les Services ; (v) la fourniture de votre Matériel et/ou de vos Données ne porte pas atteinte aux droits et obligations de tiers ; (vi) la fourniture de votre Matériel et/ou de vos Données n’est contraire à aucune loi applicable ; (vii) vous êtes juridiquement habilité à autoriser l’accès aux Données ; (viii) votre Matériel ne contient aucun élément (notamment des Données) susceptible de violer les Droits de Propriété Intellectuelle de tiers ; et (ix) votre Matériel ne contient aucun élément susceptible de violer la loi. Nous réservons le droit d’exiger des justificatifs de vos droits de propriété ou de votre capacité juridique à autoriser les Services, et de suspendre ou de retarder la prestation des Services jusqu’à réception desdits justificatifs. 

10.2 Vous reconnaissez par les présentes que votre Matériel et/ou vos Données peuvent avoir subi des dommages avant que Nous ne les recevions, et que nos efforts pour exécuter les Services peuvent causer la destruction de ou des dommages supplémentaires à votre Matériel et/ou vos Données, rendant le Matériel inutilisable. Nous exécuterons les Services avec toute la diligence requise mais, sous réserve des stipulations de l’article 12 de ces CGV, nous déclinons toute responsabilité pour les dommages existants ou les dommages supplémentaires éventuellement occasionnés à votre Matériel et/ou vos Données dans le cadre de la prestation de nos Services. 

11. PRIX ET MODALITÉS DE PAIEMENT

11.1 Le prix des Services est constitué des Honoraires figurant dans le Devis correspondant. La TVA est facturée en sus, au taux légal applicable et est due, le cas échéant, par le Client. 

11.2 Modalités de paiement. Le paiement peut être effectué par carte de crédit, virement ou prélèvement bancaire, ou encore espèces. Certains services, tels que les listes de fichiers (voir la description du service), sont payables avant le début des services. Pour les autres services, une fois la commande passée, le paiement doit être effectué auprès d'Ontrack avant le retour des données récupérées. Les clients professionnels qui demandent des conditions de crédit doivent payer leur facture dans les conditions convenues, sous réserve de fournir à Ontrack une acceptation signée de notre commande ou un bon de commande valide.

11.3 En cas de défaut de paiement de toute somme qui Nous est due au titre de ces CGV, Nous pourrons conserver le Matériel et les Données jusqu’à ce que vous en régliez l’intégralité. A défaut d’en régler l’intégralité dans un délai de 90 (quatre-vingt-dix) jours calendaires à compter de la date d’exigibilité, Nous pourrons, sans que notre responsabilité soit engagée et sans autre formalité, procéder à la destruction de votre Matériel et/ou vos Données conformément aux lois en vigueur. Nous facturerons également des intérêts de retard à hauteur de 3 (trois) fois le taux d’intérêt légal en vigueur. En outre, en application des dispositions de l’article D.441-5 du Code de Commerce, une pénalité fixée à 40 (quarante) euros sera due par tout Client Professionnel. 

12. NOTRE RESPONSABILITÉ AU TITRE DES PERTES OU DÉGÂTS SUBIS PAR VOUS

12.1 Nous déclinons toute responsabilité en cas de corruption, de dégâts physiques ou d’autres dégâts causés, ou de destruction de votre Matériel, de vos Données ou de tout autre Matériel, ou en cas d’invalidation d’une quelconque garantie relative à votre Matériel ou à tout autre Matériel (i) préalablement à la réception par nos soins de votre Matériel, de vos Données ou d’autres Matériels ; ou (ii) lorsque ces dégâts, cette destruction, cette corruption ou cette invalidation découlent de l’exécution de nos Services dans le respect des présentes CGV. 

12.2 Si nous fournissons tous les efforts raisonnables pour prendre soin de votre Matériel ou de vos Données pendant que Nous les détenons en notre possession, Nous déclinons toute responsabilité en cas de perte, de destruction, de corruption ou d’autres dommages causés à votre Matériel ou à vos Données du fait de l’usure normale. 

12.3 Nous ne saurions exclure ou limiter notre responsabilité à votre égard lorsque la loi l’interdit. Cela s’applique notamment en cas de décès ou de dommages corporels causés par notre négligence ou la négligence de nos employés, de nos représentants ou de nos sous-traitants ; en cas de fraude ou de déclaration frauduleuse ; et s’agissant de Clients Consommateurs, en cas de violation des droits qui vous sont conférés par la loi.

12.4 Sous réserve des stipulations du présent article 12, notre responsabilité à votre égard, qu’elle soit engagée à titre contractuel, délictuel (notamment en cas de négligence) ou au titre de la violation d’une obligation légale ou autrement, ce dans le cadre de ou en relation avec un Contrat, est limitée (i) en matière de violation d’une obligation de confidentialité, de protection des données ou de propriété intellectuelle, au montant le plus élevé entre 10.000 (dix mille) euros ou la valeur des Honoraires dus au titre du Contrat concerné ; ou (ii) dans les autres cas, la valeur des Honoraires dus au titre du Contrat. 

12.5 La responsabilité d’une partie ne saurait être engagée envers l’autre, que ce soit à titre contractuel, délictuel (notamment en cas de négligence) ou au titre de la violation d’une obligation légale ou autrement, ce dans le cadre de ou en relation avec ces CGV ou tout Contrat, en cas de perte indirecte ou consécutive, perte de bénéfice, perte de chiffre d’affaires ou préjudice commercial. 

12.6 Recours à des services de transport. Aux fins de la collecte de votre Matériel préalablement à l’exécution des Services, ou de la livraison des Données récupérées et/ou de votre Matériel d’origine, Nous externalisons ce service auprès de sociétés de transport reconnues sur le plan national. En acceptant que nous y ayons recours aux fins de la prestation des Services, vous acceptez que la perte ou l’endommagement de votre Matériel ou des Données seront expressément soumis aux conditions générales de vente de la société de messagerie concernée, notamment en matière de limitation de responsabilité et de plafonds d’indemnisation. Vous renoncez par les présentes à tout droit de réclamation à l’encontre d’Ontrack au titre de la perte ou de l’endommagement des Données ou de votre Matériel découlant d’un manquement et/ou d’une rupture de contrat par la société de transport, au-delà de tout régime d’indemnisation de celle-ci. 

13. INDEMNISATION

13.1 Vous devrez Nous indemniser pleinement et Nous garantir contre toute réclamation, tous frais et dommages-intérêts, toute responsabilité, toutes dépenses (notamment tous frais de justice), toutes demandes et toutes décisions de justice formulées à notre encontre ou encourus ou payés par Nous et découlant de ou en relation avec toute action, inaction et/ou omission de votre part dans le cadre du Contrat et de ces CGV. 

14. MODALITÉS D’EXPLOITATION DE VOS DONNÉES A CARACTÈRE PERSONNEL (CLIENTS CONSOMMATEURS ET DONNÉES DE CONTACT DES CLIENTS PROFESSIONNELS)

14.1 Nous exploitons les données à caractère personnel que vous Nous communiquez aux fins de la prestation de nos Services auprès de vous et de la gestion de votre règlement pour les Services. Vous communiquez vos données à caractère personnel de manière volontaire ; cependant, Ontrack ne pourra vous fournir les Services si vous décidez de ne pas communiquer vos données à caractère personnel or si vous retirez votre consentement, le cas échéant. Nous collectons vos données à caractère personnel (i) lorsque vous Nous contactez par courriel, par téléphone ou par tout autre moyen et (ii) dans le cours normal de nos relations avec vous lors de la prestation des Services (notamment les données à caractère personnel que Nous collectons dans le cadre de la gestion de vos paiements). 

14.2 Nous traitons vos données à caractère personnel aux fins, notamment (i) de la prestation des Services et de l’exécution de votre Commande ; (ii) de la collecte de votre avis sur nos Services, et (iii) du marketing direct, selon les autorisations figurant dans la loi. 

14.3 Nous pourrons divulguer vos données à caractère personnel auprès d’autres entités du groupe KLDiscovery (auquel appartient Ontrack), dont la liste complète figure dans notre Charte de Confidentialité, ainsi qu’auprès (i) des autorités judiciaires et administratives afin de dénoncer toute violation constatée ou supposée des lois et règlements en vigueur ; (ii) de nos comptables, commissaires aux comptes, conseils et autres consultants externes ; (iii) de tiers Sous-traitants (tels que prestataires de services de paiement, sociétés de transport/messagerie, fournisseurs de technologies, sous-traitants fournissant des services de mise en conformité). La divulgation auprès d’autres entités a pour finalité le respect de nos obligations contractuelles envers vous ou l’exercice légitime de notre activité, selon les lois en vigueur. Nous avons mis en œuvre les mesures de sécurité décrites dans notre Charte de Confidentialité et chacune des entités a l’obligation de mettre en œuvre des mesures de sécurité assurant un haut niveau de protection.  

14.4 Sans préjudice des droits qui vous sont conférés par la loi, vous disposez à tout moment du droit (i) d’accéder à et obtenir des informations sur la nature, le traitement et la divulgation de vos données à caractère personnel ; (ii) de rectifier vos données à caractère personnel ; (iii) de demander, pour des motifs légitimes, la suppression ou la restriction du traitement de vos données à caractère personnel ; (iv) de vous opposer, pour des motifs légitimes, au traitement de vos données à caractère personnel ; (v) de demander le transfert de vos données à caractère personnel auprès d’un autre responsable de traitement ; (vi) de retirer votre consentement au traitement de vos données à caractère personnel ; et (vii) de déposer une plainte auprès de l’Autorité de Protection des Données compétente. 

14.5 Par votre acceptation des présentes CGV, vous acceptez également que vos données à caractère personnel soient conservées et exploitées conformément aux stipulations de notre Charte de Confidentialité, que vous pouvez consulter à l’adresse suivante : www.ontrack.com/fr-fr/confidentialite.

15. CONDITIONS DE TRAITEMENT DES DONNÉES A CARACTÈRE PERSONNEL (DONNÉES RÉCUPÉRÉES)

15.1 Par leur acceptation des présentes CGV, et en ce qui concerne toutes Données récupérées, nos Clients acceptent également que leurs données à caractère personnel soient conservées et exploitées selon les conditions de notre Accord relatif au Traitement des Données, que vous pouvez consulter à l’adresse suivante :  www.ontrack.com/fr-fr/recuperation-donnees/cgv#dpa.

16. INFORMATIONS CONFIDENTIELLES

16.1 Chacune des parties s’engage à ne pas divulguer des Informations Confidentielles de l’autre partie auprès d’un tiers sans l’accord préalable écrit de la partie divulguant les Informations Confidentielles, et (i) de n’utiliser lesdites Informations Confidentielles qu’aux seules fins de l’exécution de ses obligations issues du présent Contrat ; (ii) de protéger lesdites Informations Confidentielles contre toute divulgation par les mêmes méthodes et avec le même degré de diligence qu’elle réserve à ses propres Informations Confidentielles et, dans tous les cas, avec un degré de diligence raisonnable ; et (iii) de ne divulguer des Informations Confidentielles qu’à ceux de ses employés et aux tiers autorisés ayant besoin d’en connaître, sous réserve que les personnes concernées soient liées par des obligations de confidentialité au moins aussi strictes que celles visées au présent Contrat.  

16.2 Ces obligations de confidentialité ne s’appliquent pas aux Informations Confidentielles (i) qui sont tombées dans le domaine public sans qu’il y ait eu faute de la part de la partie réceptrice ; (ii) dont la partie réceptrice avait connaissance préalablement à leur communication par l’autre partie ; (iii) qui ont été divulguées auprès de la partie réceptrice par un tiers (autre que les employés ou les représentants de l’une et de l’autre partie) des circonstances telles que ladite divulgation ne s’est pas faite en violation d’une quelconque obligation de confidentialité envers la partie divulguant les Informations Confidentielles ; ou (v) qui ont été développées indépendamment par la partie réceptrice sans avoir recours aux Informations Confidentielles. 

17. STIPULATIONS DIVERSES

17.1 Le présent Contrat est conclu entre vous et Nous. Aucune autre personne n’est en droit d’en faire appliquer les termes. Chaque paragraphe de ces CGV s’applique de manière autonome. Dans l’éventualité où l’un d’entre eux serait déclaré illégal et/ou inopposable par un tribunal ou une autorité compétent(e), les autres paragraphes demeureront pleinement applicables. Le fait pour Nous de ne pas prendre de mesures à votre encontre en cas de violation du présent Contrat ne saurait Nous empêcher de prendre des mesures à votre encontre ultérieurement. 

17.2 Les Services sont susceptibles de modification aux fins de la prise en compte d’évolutions législatives et réglementaires et de la mise en œuvre d’adaptations et d’améliorations techniques, par exemple pour faire face aux menaces de sécurité. Ces modifications n’affecteront aucunement votre utilisation des Services. En outre, Nous pourrons apporter des modifications de nature plus importante à ces CGV ou aux Services, mais dans ce cas Nous vous en informerons et vous pourrez alors Nous contacter pour mettre fin au Contrat avant que les modifications ne prennent effet et obtenir le remboursement des Services éventuellement payés mais non reçus. 

17.3 POUR LES CLIENTS CONSOMMATEURS : en cas de différend persistant et sous réserve des conditions de recevabilité prévues par la loi, en particulier les dispositions des articles L.611 à L.616 et R.612 à R.616 du Code de la consommation, vous pouvez vous adresser gratuitement au Médiateur de la consommation auquel Ontrack a adhéré, qui tentera de rapprocher les Parties en vue d’une solution amiable : CM2C - 14 rue Saint Jean, 75017 Paris - Tél. 01 89 47 00 14 - www.cm2c.net - ou bien de tout autre organisme de médiation ou de résolution alternative des différends de votre choix.

Outre les droits dont vous disposez selon la loi et la réglementation, si vous résidez au sein de l’Union Européenne, vous avez éventuellement la possibilité de déposer une plainte sur la plateforme de règlement en ligne des litiges de l’Union Européenne (la « Plateforme »), qui facilite le règlement en ligne des litiges. Pour de plus amples renseignements, vous pouvez consultez la Plateforme à l’adresse https://webgate.ec.europa.eu/odr/. Ontrack n’entend pas utiliser la Plateforme pour régler des litiges et vous acceptez qu’Ontrack n’est aucunement dans l’obligation d’utiliser la Plateforme pour régler des litiges.

17.4 Les CGV ainsi que toute question relative à la prestation de nos Services sont régies par la loi française. POUR LES CLIENTS PROFESSIONNELS : En cas de litige, compétence exclusive est attribuée au TRIBUNAL DE COMMERCE DE PARIS, y compris en cas de pluralité de défendeurs ou de recours en garantie, même pour les procédures d’urgence ou les procédures conservatoires, que ce soit en référé ou par requête. 

ANNEXE

MODÈLE DE FORMULAIRE D’ANNULATION

(Complétez et retournez-nous ce formulaire si vous souhaitez annuler le contrat)

A l’attention de [NOM DE L’ENTREPRISE, ADRESSE, NUMERO DE TELEPHONE ET, EVENTUELLEMENT, NUMERO DE TELECOPIE ET ADRESSE ELECTRONIQUE, A COMPLETER PAR L’ENTREPRISE]

Je / Nous [*] vous informe / informons par la présente que je / nous souhaite / souhaitons annuler mon / notre contrat de vente relatif aux produits suivants [*] / à la fourniture des services suivants [*],

Commandés le [*] /reçus le [*],

Nom du (des) consommateur(s),

Adresse du (des) consommateur(s),

Signature du (des) consommateur(s) (uniquement lorsque le formulaire est imprimé sur papier),

Date

[*] Rayez la mention inutile

Date de prise d'effet : le 1er mai 2021

Accord relatif au Traitement de Données

Les Parties sont convenues de l'application du présent Accord relatif au Traitement de Données à tout Traitement de Données Personnelles (tels que définis ci-dessous) rendu nécessaire à la fourniture des Services par Ontrack au profit du Client.

DÉFINITIONS

Au sein du présent Accord relatif au Traitement de Données :

Tout autre terme défini et utilisé au sein du présent Accord relatif au Traitement des Données a le sens qui lui est conféré dans les Conditions.

STIPULATIONS RELATIVES AU TRAITEMENT DES DONNÉES

1. Sous-Traitant et Responsable de Traitement

1.1 Les Parties conviennent que, s'agissant des Données Personnelle, le Client est Responsable du Traitement, tandis que Ontrack est Sous-Traitant. Il est entendu que le Client est seul responsable de l'exactitude, la qualité, l'intégrité et la fiabilité des Données Personnelle, ainsi que des moyens par lesquels lesdites Données Personnelle ont été collectées.

1.2 Le Client convient de, garantit et s'engage à : (i) ce que toute Donnée Client utilisée dans le cadre des Services en vertu des Conditions soit conforme à tous égards aux Lois sur la Protection des Données; (ii) à ce que toutes les instructions données à Ontrack relativement aux Données Personnelle soient de tous temps conformes aux Lois sur la Protection des Données ; (iii) à ce qu'il ait obtenu tous les consentements nécessaires ou toute autre autorisation légale émanant de toute Personne Concernée dont les Données Personnelles figurent parmi les Données Personnelle et/ou à ce qu'il bénéficie de toute autorisation légale appropriée lui permettant de fournir les Données Personnelle à Ontrack ; et (iv) à se conformer aux termes du présent Accord relatif au Traitement de Données.

1.3 Ontrack convient de, garantit et s'engage à (i) traiter les Données Personnelle pour les seuls besoins de la fourniture des Services ; (ii) traiter les Données Personnelle en conformité avec les instructions écrites du Client et en vertu des exigences des Lois sur la Protection des Données ; (iii) informer rapidement le Client dans l'hypothèse où Ontrack devait considérer, d'une manière raisonnable, que les instructions du Client contreviennent aux Lois sur la Protection des Données, ou si Ontrack devenait incapable de se conformer aux instructions du Client relativement au traitement des Données Personnelle (que cela résulte d'une modification d'une loi applicable ou d'un changement dans les instructions du Client) ; et (iv) se conformer aux termes du présent Accord relatif au Traitement de Données.

2. Instructions et détails du traitement

2.1 Le Traitement des Données Personnelle à réaliser par Ontrack en vertu de cet Accord relatif au Traitement de Données comprend le Traitement rendu nécessaire par la fourniture des Services.

3. Mesures techniques et organisationnelles

3.1 Ontrack s'engage à mettre en place et à maintenir, à ses propres frais, les mesures techniques et organisationnelles appropriées relatives au traitement et à la sécurité des Données Personnelle, conformément aux Lois sur la Protection des Données et en particulier aux articles 32 à 34 du RGPD (ou leurs équivalents nationaux, selon le cas). Ontrack s'assurera que de telles mesures techniques et organisationnelles sont appropriées au regard des risques particuliers engendrés par ses activités de Traitement, ce afin de protéger les Données Personnelle contre toute destruction, perte, altération, divulgation non autorisée, ou encore tout accès, de nature accidentelle ou illégale.

4. Recours au Personnel et aux Sous-Traitant Ultérieurs

4.1 Sous réserve des stipulations de l'article 4.2, Ontrack s'interdit de recourir aux services d'un Sous-Traitant Ultérieur pour les besoins du Traitement des Données Personnelle sans l'autorisation préalable et écrite du Client relative spécifiquement à ce Sous-Traitant Ultérieur (une telle autorisation ne pourra pas être retenue ou retardée de manière déraisonnable).

4.2 Une liste des Sous-Traitant Ultérieurs approuvés au jour du présent Accord relatif au Traitement de Données figure en Annexe 1.

4.3 En cas de recours à tout Sous-Traitant Ultérieur, Ontrack : (i) s'engage à recourir audit Sous-Traitant Ultérieur en vertu d'un contrat écrit, lequel comprendra des clauses au moins aussi protectrices des Données Personnelles que le présent Accord relatif au Traitement de Données ; (ii) restera pleinement responsable, vis-à-vis du Client, au titre de l'exécution de chacune des obligations du Sous-Traitant Ultérieur considéré ; (iii) et informera le Client de tout changement envisagé consistant dans l'ajout ou le remplacement de tel Sous-Traitant Ultérieur, et laissera au Client la possibilité raisonnable de s'opposer, pour des motifs raisonnables, à un tel ajout ou remplacement.

4.4 Ontrack s'engage à assurer la fiabilité des membres de son Personnel ayant accès aux Données Personnelle et s'assurera qu'il ne traite lesdites Données Personnelle que de la manière strictement nécessaire à la fourniture des Services, qu'il a parfaitement conscience des mesures à mettre en place et des précautions à prendre dans le cadre du traitement de Données à caractère personnel au regard des Lois sur la Protection des Données, et que les membres de son Personnel se sont eux-mêmes engagés à protéger la confidentialité des Données Personnelle, y compris par le biais d'une obligation de confidentialité appropriée (par contrat écrit ou autre) relativement aux Données Personnelle.

5. Assistance à la conformité du Client et à l'exercice des droits des Personnes Concernées

5.1 Ontrack transmettra sans délai au Client toute demande d'accès qu'elle recevrait d'une Personne Concernée. Sur demande raisonnable du Client, Ontrack fournira au Client son assistance raisonnable (tenant compte de la nature du Traitement et de l'information à la disposition d'Ontrack) afin d'assurer la conformité du Client aux obligations qui sont les siennes en vertu des Lois sur la Protection des Données relativement : (i) à la sécurité du Traitement ; (ii) aux études d'impact sur la protection des données (selon la définition résultant des Lois sur la Protection des Données) ; (iii) avant toute consultation d'une Autorité de Supervision au regard des Traitements à haut risque ; et (iv) aux notifications de l'Autorité de Supervision et/ou à l'information des Personnes Concernées en réponse à toute Violation de Données Personnelles, à condition que le Client règle à Ontrack une rémunération en contrepartie de ladite assistance dans l'hypothèse où celle-ci serait disproportionnée au regard du temps et des ressources à la disposition d'Ontrack.

6. Transferts internationaux de données

6.1 Les Données Personnelles sont hébergées et traitées par Ontrack au sein du Royaume-Uni et de l'Espace Économique Européen ("EEE"). Ontrack s'interdit de transférer des Données Personnelles en dehors de l'EEE en l'absence d'accord préalable et écrit du Client. Le Client reconnaît qu'à la date du présent Accord relatif au Traitement de Données, Ontrack procède au traitement de Données Personnelles soumises au RGPD au Royaume-Uni sur la base de l'Accord de Commerce et de Coopération conclu entre le Royaume-Uni et l'Union européenne (l'"Accord de Commerce"). Conformément aux termes de l'Accord de Commerce, dans l'hypothèse où le Royaume-Uni se verrait accorder une décision d'adéquation conformément à l'article 45 du RGPD, alors tout Traitement de Donnée Personnelle mis en œuvre par Ontrack au Royaume-Uni serait soumis aux dispositions spécifiques de la décision d'adéquation ainsi qu'aux articles associés du RGPD.

6.2 Dans l'hypothèse où la désignation du Royaume-Uni en tant que "pays tiers" en vertu de l'Accord de Commerce serait remise en cause et/ou aucune décision d'adéquation ne serait rendue par l'Union européenne dans le délai prévu à l'Accord de Commerce, les Parties conviendront des Clauses Contractuelles Types de l'Union européenne (de Responsable de Traitement à Sous-Traitant) qui seront alors en vigueur afin d'assurer de la conformité du Traitement de Données Personnelles par Ontrack au Royaume-Uni.

7. Enregistrements, information et audit

7.1 Ontrack s'engage à : (i) créer ; (ii) maintenir à jour ; et (iii) conserver des registres complets et pertinents relativement à tout traitement de Données Personnelle.

7.2 Ontrack s'engage à accorder au Client un droit d'audit, dans la limite d'une fois par année calendaire et selon un préavis écrit minimal de 30 (trente) jours, pendant les heures normales de bureau et sous réserve d'engagements raisonnables portant sur la confidentialité, permettant au Client d'accéder aux registres relatifs au Traitement des Données Personnelle et à prendre copie desdits registres. Ontrack s'engage également à fournir toute assistance raisonnable au Client dans l'exercice de ses droits d'audit. Un tel audit ne pourra pas porter sur des centres informatiques de tiers ni sur des équipements et serveurs de tiers, pour lesquels seule une inspection visuelle et accompagnée est autorisée.

7.3 Ontrack s'engage, à la demande et aux frais du Client, à fournir sans délai à ce dernier toutes les informations nécessaires lui permettant de démontrer sa conformité aux obligations qui sont les siennes en vertu des Lois sur la Protection des Données, dans la mesure où Ontrack est capable de fournir de telles informations.

8. Notification de Violation

8.1 En cas de Violation de Données Personnelles, Ontrack s'engage, sans retard injustifié : (i) à notifier au Client l'existence de la Violation de Données Personnelles ; et (ii) fournir au Client tous les détails relatifs à la Violation de Données Personnelles.

9. Effacement, restitution des Données Personnelles, copies

9.1 À la demande écrite du Client, Ontrack pourra, soit effacer, soit restituer au Client toute les Données Personnelle sous la forme correspondant à la demande raisonnable du Client, dans un délai raisonnable après le premier des événements suivants : (i) la fin de la fourniture des Services concernés relatifs au Traitement ; ou (ii) une fois que le Traitement des Données Personnelle par Ontrack n'est plus nécessaire pour l'exécution des obligations d'Ontrack en vertu du présent Accord relatif au Traitement des Données. Ontrack effacera alors les copies existantes (à moins que le stockage de Données Personnelle soit exigé par toute loi applicable, ce dont Ontrack informera alors le Client). Ontrack fera en sorte que ses Sous-Traitant Ultérieurs mettent en œuvre les mêmes actions vis-à-vis des Données Personnelle.

9.2 Dans l'hypothèse où des Données Personnelle resteraient en possession ou sous le contrôle d'Ontrack au terme d'une période supérieures à 12 (douze) mois, en l'absence d'instructions expresses du Client, Ontrack procèdera à l'effacement desdites Données Personnelle.

10. Indemnité

10.1 Chacune des Parties (la “Partie indemnisatrice”) s'engage à indemniser et à relever l'autre Partie (la “Partie indemnisée”) indemne de toute perte subie ou générée par, ou de toute indemnisation mise à sa charge par condamnation ou transaction, en relation avec la non-conformité de la Partie indemnisatrice au regard des Lois sur la Protection des Données.

11. Responsabilité

11.1 Le montant total des responsabilités d'une Partie en vertu de cet Accord relatif au Traitement de Données ne pourra en aucun cas excéder les limites posées et convenues en vertu des Conditions.

12. Durée et Clause résolutoire

12.1 Sauf résiliation d'un commun accord par les Parties, le présent Accord relatif au Traitement de Données prendra effet au jour où une commande de Services est passée et restera en vigueur tant qu'Ontrack continuera de fournir les Services.

13. Loi Applicable

13.1 Cet Accord relatif au Traitement de Données est régi par la loi visée dans les Conditions.

Date : 1^er juillet 2021

ANNEXE 1  : SOUS-TRAITANTS ULTERIEURS APPROUVES ET TRANSFERTS INTERNATIONAUX

Data Processing Agreement 6.3
Standard Contractual Clauses

 (Controller to Processor (Module Two)

SECTION I

Clause 1

Purpose and scope

(a) The purpose of these standard contractual clauses is to ensure compliance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) for the transfer of personal data to a third country.

(b) The Parties:

(i) the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter “entity/ies”) transferring the personal data, as listed in Annex I.A. (hereinafter each “data exporter”), and

(ii)   the entity/ies in a third country receiving the personal data from the data exporter, directly or indirectly via another entity also Party to these Clauses, as listed in Annex I.A. (hereinafter each “data importer”)

have agreed to these standard contractual clauses (hereinafter: “Clauses”).

(c) These Clauses apply with respect to the transfer of personal data as specified in Annex I.B.

(d) The Appendix to these Clauses containing the Annexes referred to therein forms an integral part of these Clauses.

Clause 2

Effect and invariability of the Clauses

(a)  These Clauses set out appropriate safeguards, including enforceable data subject rights and effective legal remedies, pursuant to Article 46(1) and Article 46 (2)(c) of Regulation (EU) 2016/679 and, with respect to data transfers from controllers to processors and/or processors to processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679, provided they are not modified, except select the appropriate Module(s) or to add or update information in the Appendix. This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a wider contract and/or to add other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, these Clauses or prejudice the fundamental rights or freedoms of data subjects.

(b) These Clauses are without prejudice to obligations to which the data exporter is subject by virtue of Regulation (EU) 2016/679.

Clause 3

Third-party beneficiaries

(a)   Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions:

(i) Clause 1, Clause 2, Clause 3, Clause 6, Clause 7;

(ii) Clause 8.1(b), 8.9(a), (c), (d) and (e);

(iii) Clause 9(a), (c), (d) and (e);

(iv) Clause 12(a), (d) and (f);

(v) Clause 13;

(vi) Clause 15.1(c), (d) and (e);

(vii) Clause 16(e);

(viii) Clause 18(a) and (b).

(b)   Paragraph (a) is without prejudice to rights of data subjects under Regulation (EU) 2016/679.

Clause 4

Interpretation

(a)   Where these Clauses use terms that are defined in Regulation (EU) 2016/679, those terms shall have the same meaning as in that Regulation.

(b) These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679.

(c)   These Clauses shall not be interpreted in a way that conflicts with rights and obligations provided for in Regulation (EU) 2016/679.

Clause 5

Hierarchy

In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail.

Clause 6

Description of the transfer(s)

The details of the transfer(s), and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred, are specified in Annex I.B.

Clause 7

Docking clause

(a)   An entity that is not a Party to these Clauses may, with the agreement of the Parties, accede to these Clauses at any time, either as a data exporter or as a data importer, by completing the Appendix and signing Annex I.A.

(b) Once it has completed the Appendix and signed Annex I.A, the acceding entity shall become a Party to these Clauses and have the rights and obligations of a data exporter or data importer in accordance with its designation in Annex I.A.

(c)   The acceding entity shall have no rights or obligations arising under these Clauses from the period prior to becoming a Party.

SECTION II – OBLIGATIONS OF THE PARTIES

Clause 8

Data protection safeguards

The data exporter warrants that it has used reasonable efforts to determine that the data importer is able, through the implementation of appropriate technical and organisational measures, to satisfy its obligations under these Clauses.

8.1 Instructions

(a) The data importer shall process the personal data only on documented instructions from the data exporter. The data exporter may give such instructions throughout the duration of the contract.

(b) The data importer shall immediately inform the data exporter if it is unable to follow those instructions.

8.2 Purpose limitation

The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B, unless on further instructions from the data exporter.

8.3 Transparency

On request, the data exporter shall make a copy of these Clauses, including the Appendix as completed by the Parties, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including the measures described in Annex II and personal data, the data exporter may redact part of the text of the Appendix to these Clauses prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information. This Clause is without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679.

8.4 Accuracy

If the data importer becomes aware that the personal data it has received is inaccurate, or has become outdated, it shall inform the data exporter without undue delay. In this case, the data importer shall cooperate with the data exporter to erase or rectify the data.

8.5 Duration of processing and erasure or return of data

Processing by the data importer shall only take place for the duration specified in Annex I.B. After the end of the provision of the processing services, the data importer shall, at the choice of the data exporter, delete all personal data processed on behalf of the data exporter and certify to the data exporter that it has done so, or return to the data exporter all personal data processed on its behalf and delete existing copies. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit return or deletion of the personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process it to the extent and for as long as required under that local law. This is without prejudice to Clause 14, in particular the requirement for the data importer under Clause 14(e) to notify the data exporter throughout the duration of the contract if it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under Clause 14(a).

8.6 Security of processing

(a) The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access to that data (hereinafter “personal data breach”). In assessing the appropriate level of security, the Parties shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subjects. The Parties shall in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner. In case of pseudonymisation, the additional information for attributing the personal data to a specific data subject shall, where possible, remain under the exclusive control of the data exporter. In complying with its obligations under this paragraph, the data importer shall at least implement the technical and organisational measures specified in Annex II. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security.

(b) The data importer shall grant access to the personal data to members of its personnel only to the extent strictly necessary for the implementation, management and monitoring of the contract. It shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.

(c) In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the breach, including measures to mitigate its adverse effects. The data importer shall also notify the data exporter without undue delay after having become aware of the breach. Such notification shall contain the details of a contact point where more information can be obtained, a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned), its likely consequences and the measures taken or proposed to address the breach including, where appropriate, measures to mitigate its possible adverse effects. Where, and in so far as, it is not possible to provide all information at the same time, the initial notification shall contain the information then available and further information shall, as it becomes available, subsequently be provided without undue delay.

(d) The data importer shall cooperate with and assist the data exporter to enable the data exporter to comply with its obligations under Regulation (EU) 2016/679, in particular to notify the competent supervisory authority and the affected data subjects, taking into account the nature of processing and the information available to the data importer.

8.7 Sensitive data

Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions and offences (hereinafter “sensitive data”), the data importer shall apply the specific restrictions and/or additional safeguards described in Annex I.B.

8.8 Onward transfers

The data importer shall only disclose the personal data to a third party on documented instructions from the data exporter. In addition, the data may only be disclosed to a third party located outside the European Union (in the same country as the data importer or in another third country, hereinafter “onward transfer”) if the third party is or agrees to be bound by these Clauses, or if:

(i) the onward transfer is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU) 2016/679 that covers the onward transfer;

(ii)   the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 Regulation of (EU) 2016/679 with respect to the processing in question;

(iii) the onward transfer is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; or

(iv) the onward transfer is necessary in order to protect the vital interests of the data subject or of another natural person.

Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.

8.9 Documentation and compliance

(a)   The data importer shall promptly and adequately deal with enquiries from the data exporter that relate to the processing under these Clauses.

(b) The Parties shall be able to demonstrate compliance with these Clauses. In particular, the data importer shall keep appropriate documentation on the processing activities carried out on behalf of the data exporter.

(c)   The data importer shall make available to the data exporter all information necessary to demonstrate compliance with the obligations set out in these Clauses and at the data exporter’s request, allow for and contribute to audits of the processing activities covered by these Clauses, at reasonable intervals or if there are indications of non- compliance. In deciding on a review or audit, the data exporter may take into account relevant certifications held by the data importer.

(d) The data exporter may choose to conduct the audit by itself or mandate an independent auditor. Audits may include inspections at the premises or physical facilities of the data importer and shall, where appropriate, be carried out with reasonable notice.

(e)   The Parties shall make the information referred to in paragraphs (b) and (c), including the results of any audits, available to the competent supervisory authority on request.

Clause 9

Use of sub-processors

(a) GENERAL WRITTEN AUTHORISATION The data importer has the data exporter’s general authorisation for the engagement of sub-processor(s) from an agreed list. The data importer shall specifically inform the data exporter in writing of any intended changes to that list through the addition or replacement of sub- processors at least fourteen (14) days in advance, thereby giving the data exporter sufficient time to be able to object to such changes prior to the engagement of the sub-processor(s). The data importer shall provide the data exporter with the information necessary to enable the data exporter to exercise its right to object.

(b) Where the data importer engages a sub-processor to carry out specific processing activities (on behalf of the data exporter), it shall do so by way of a written contract that provides for, in substance, the same data protection obligations as those binding the data importer under these Clauses, including in terms of third-party beneficiary rights for data subjects. The Parties agree that, by complying with this Clause, the data importer fulfils its obligations under Clause 8.8. The data importer shall ensure that the sub-processor complies with the obligations to which the data importer is subject pursuant to these Clauses.

(c) The data importer shall provide, at the data exporter’s request, a copy of such a sub- processor agreement and any subsequent amendments to the data exporter. To the extent necessary to protect business secrets or other confidential information, including personal data, the data importer may redact the text of the agreement prior to sharing a copy.

(d) The data importer shall remain fully responsible to the data exporter for the performance of the sub-processor’s obligations under its contract with the data importer. The data importer shall notify the data exporter of any failure by the sub- processor to fulfil its obligations under that contract.

(e) The data importer shall agree a third-party beneficiary clause with the sub-processor whereby - in the event the data importer has factually disappeared, ceased to exist in law or has become insolvent - the data exporter shall have the right to terminate the sub-processor contract and to instruct the sub-processor to erase or return the personal data.

Clause 10

Data subject rights

(a)   The data importer shall promptly notify the data exporter of any request it has received from a data subject. It shall not respond to that request itself unless it has been authorised to do so by the data exporter.

(b) The data importer shall assist the data exporter in fulfilling its obligations to respond to data subjects’ requests for the exercise of their rights under Regulation (EU) 2016/679. In this regard, the Parties shall set out in Annex II the appropriate technical and organisational measures, taking into account the nature of the processing, by which the assistance shall be provided, as well as the scope and the extent of the assistance required.

(c)   In fulfilling its obligations under paragraphs (a) and (b), the data importer shall comply with the instructions from the data exporter.

Clause 11

Redress

(a) The data importer shall inform data subjects in a transparent and easily accessible format, through individual notice or on its website, of a contact point authorised to handle complaints. It shall deal promptly with any complaints it receives from a data subject.

(b) In case of a dispute between a data subject and one of the Parties as regards compliance with these Clauses, that Party shall use its best efforts to resolve the issue amicably in a timely fashion. The Parties shall keep each other informed about such disputes and, where appropriate, cooperate in resolving them.

(c) Where the data subject invokes a third-party beneficiary right pursuant to Clause 3, the data importer shall accept the decision of the data subject to:

(i) lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13;

(ii)   refer the dispute to the competent courts within the meaning of Clause 18.

(d) The Parties accept that the data subject may be represented by a not-for-profit body, organisation or association under the conditions set out in Article 80(1) of Regulation (EU) 2016/679.

(e) The data importer shall abide by a decision that is binding under the applicable EU or Member State law.

(f) The data importer agrees that the choice made by the data subject will not prejudice his/her substantive and procedural rights to seek remedies in accordance with applicable laws.

Clause 12

Liability

(a)   Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these Clauses.

(b) The data importer shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data importer or its sub-processor causes the data subject by breaching the third-party beneficiary rights under these Clauses.

(c)   Notwithstanding paragraph (b), the data exporter shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non-material damages the data exporter or the data importer (or its sub-processor) causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter and, where the data exporter is a processor acting on behalf of a controller, to the liability of the controller under Regulation (EU) 2016/679 or Regulation (EU) 2018/1725, as applicable.

(d) The Parties agree that if the data exporter is held liable under paragraph (c) for damages caused by the data importer (or its sub-processor), it shall be entitled to claim back from the data importer that part of the compensation corresponding to the data importer’s responsibility for the damage.

(e)   Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties.

(f) The Parties agree that if one Party is held liable under paragraph (e), it shall be entitled to claim back from the other Party/ies that part of the compensation corresponding to its / their responsibility for the damage.

(g) The data importer may not invoke the conduct of a sub-processor to avoid its own liability.

Clause 13

Supervision

(a) [This section applies where the data exporter listed in Annex 1.A. is established in an EU Member State:] The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority.

[This section applies where the data exporter listed in Annex 1.A. is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) and has appointed a representative pursuant to Article 27(1) of Regulation (EU) 2016/679:] The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I.C, shall act as competent supervisory authority.

[This section applies, where the data exporter listed in Annex 1.A. is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679:] The supervisory authority of one of the Member States in which the data subjects whose personal data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behaviour is monitored, are located, as indicated in Annex I.C, shall act as competent supervisory authority.

(b) The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries,

submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken.

SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES

Clause 14

Local laws and practices affecting compliance with the Clauses

(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)

(a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.

(b) The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements:

(i) the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;

(ii)   the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorising access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards;

(iii) any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing of the personal data in the country of destination.

(c) The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses.

(d) The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request.

(e) The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a).

(f) Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organisational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation. The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply.

Clause 15

Obligations of the data importer in case of access by public authorities

(where the EU processor combines the personal data received from the third country-controller with personal data collected by the processor in the EU)

15.1 Notification

(a) The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary with the help of the data exporter) if it:

(i) receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or

(ii) becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer.

(b) If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter.

(c) Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.).

(d) The data importer agrees to preserve the information pursuant to paragraphs (a) to (c) for the duration of the contract and make it available to the competent supervisory authority on request.

(e) Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses.

15.2 Review of legality and data minimisation

(a)   The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e).

(b) The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request.

(c)   The data importer agrees to provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request.

SECTION IV – FINAL PROVISIONS

Clause 16

Non-compliance with the Clauses and termination

(a)   The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason.

(b) In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f).

(c)   The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where:

(i) the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension;

(ii) the data importer is in substantial or persistent breach of these Clauses; or

(iii) the data importer fails to comply with a binding decision of a competent court or supervisory authority regarding its obligations under these Clauses.

In these cases, it shall inform the competent supervisory authority of such non-compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise.

(d) Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data. The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law.

(e)   Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679.

Clause 17

Governing law

These Clauses shall be governed by the law of the EU Member State in which the data exporter is established. Where such law does not allow for third-party beneficiary rights, they shall be governed by the law of another EU Member State that does allow for third-party beneficiary rights. The Parties agree that this shall be the law of Ireland.

Clause 18

Choice of forum and jurisdiction

(a) Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State.

(b) The Parties agree that those shall be the courts of Ireland.

(c) A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.

(d) The Parties agree to submit themselves to the jurisdiction of such courts.

APPENDIX

EXPLANATORY NOTE:

It must be possible to clearly distinguish the information applicable to each transfer or category of transfers and, in this regard, to determine the respective role(s) of the Parties as data exporter(s) and/or data importer(s). This does not necessarily require completing and signing separate appendices for each transfer/category of transfers and/or contractual relationship, where this transparency can achieved through one appendix. However, where necessary to ensure sufficient clarity, separate appendices should be used.

ANNEX I 

LIST OF PARTIES

Data exporter(s): [Identity and contact details of the data exporter(s) and, where applicable, of its/their data protection officer and/or representative in the European Union]

1. Name: The customer that is stated in the Order is data exporter for the purpose of these SCC.

Address: Customer’s address stated in the Order

Contact person’s name, position and contact details: The customer that authorized the Order

Activities relevant to the data transferred under these Clauses: Processing and hosting of data for data recovery and related services as stated in the order…

Signature and date: as stated in the Order

Role (controller/processor): Controller

Data importer(s):

2. Name: KLDiscovery Ontrack, LLC

Address:  9023 Columbine Road, Eden Prairie, MN 55347, USA. 

Contact person’s name, position and contact details: Shannon Gaughan (Commercial Counsel) / Gideon Kaplan (Associate General Counsel): Shannon.guaghan@kldiscovery.com / Gideon.kaplan@kldiscovery.com

Activities relevant to the data transferred under these Clauses: Hosting and processing of Personal Data . 

Signature and date:  Data importer’s contact person stated above

Role (controller/processor): Processor

2. DESCRIPTION OF TRANSFER

Categories of data subjects whose personal data is transferred

Natural persons, such as Customers, Employees, Suppliers of Data Exporter or other data delivered by Data Exporter.

Categories of personal data transferred

Information relating to identified or identifiable natural persons, including pictures and photographs, contractual relationships and/or customer history, billing and payment data or other categories of data delivered by Data Exporter.

Sensitive data transferred (if applicable) and applied restrictions or safeguards that fully take into consideration the nature of the data and the risks involved, such as for instance strict purpose limitation, access restrictions (including access only for staff having followed specialised training), keeping a record of access to the data, restrictions for onward transfers or additional security measures.

If sensitive data should be transferred, it will be processed using the same processing methods as set out in these standard contractual clauses, using appropriate safeguards.

The frequency of the transfer (e.g. whether the data is transferred on a one-off or continuous basis).

One off, or as often as instructed by the data exporter.

Nature of the processing

The applicable Order content, mainly data recovery and connected services.

Purpose(s) of the data transfer and further processing

The purpose of the data transfer and processing results from the Service Terms and Service Description to the applicable Order, usually in connection with Data Recovery or related Services

The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period

The term required to complete the Order and, if applicable, after termination of the Order, provided, that any such processing is carried out in connection with the services provided under the Order.

For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing

./.

COMPETENT SUPERVISORY AUTHORITY

Identify the competent supervisory authority/ies in accordance with Clause 13

Supervisory Offices, depending on Data Exporter as defined in Clause 13:

https://ec.europa.eu/justice/article-29/structure/data-protection-authorities/index_en.htm

ANNEX II - TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA

EXPLANATORY NOTE:

The technical and organisational measures must be described in specific (and not generic) terms. See also the general comment on the first page of the Appendix, in particular on the need to clearly indicate which measures apply to each transfer/set of transfers.

Description of the technical and organisational measures implemented by the data importer(s) (including any relevant certifications) to ensure an appropriate level of security, taking into account the nature, scope, context and purpose of the processing, and the risks for the rights and freedoms of natural persons.

For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller and, for transfers from a processor to a sub-processor, to the data exporter.

The technical and organizational measures at Data Importer’s location will be shared upon request of the Data Exporter.

ANNEX III – LIST OF SUB-PROCESSORS

EXPLANATORY NOTE:

This Annex must be completed, in case of the specific authorisation of sub-processors (Clause 9(a), Option 1).

The controller has authorised the use of the following sub-processors:

1. Name:  None

Address: Not applicable.

Contact person’s name, position and contact details:  Not applicable

Description of processing (including a clear delimitation of responsibilities in case several sub-processors are authorized):  Not applicable. 

ANNEX IV TO THE STANDARD CONTRACTUAL CLAUSES – SUPPLEMENTARY PROTECTIONS

In addition to the provisions of the Controller-to-Processor Standard Contractual Clauses, the following supplementary protections shall apply:

Definitions

For the purposes of this Annex IV, the following definitions apply:

(i) “Back Door” means any technical or organisational measures or mechanisms designed to enable any public authorities, or other third parties, to gain access to any of the data importer’s systems, or to any Relevant Personal Data, including by circumventing the data importer’s security measures;

(ii) “Disclosure Order” means any legally binding demand for access to, or disclosure of, any Relevant Personal Data, made by any public authority, in any jurisdiction, to the data importer;

(iii) “Group” means any legal entity under common control with, controlled by, or control the data importer;

(iv) “Relevant Authority” means a public authority that makes a Disclosure Order; and

(v) “Relevant Personal Data” means any personal data (as defined in these Controller-to-Processor Standard Contractual Clauses) received by the data importer, or any of its sub-processors, under these Clauses.

Supplementary Protections

1. No back doors

The data importer hereby confirms that:

(i) it has not created any Back Doors in any infrastructure, technical environment, review platforms or other system used to host and/or process Personal Data of the data exporter;

(ii) it has not intentionally created or changed its business processes in a manner that facilitates access to its infrastructure, technical environment, review platforms or others systems or to any Relevant Personal Data; and

(iii) to the best of the data importer’s knowledge, applicable laws and government policies applicable to the data importer:

(A) do not require the data importer to create or maintain any Back Doors; and

(B) do not require the importer to be in possession of, or to disclose or provide, any encryption keys in relation to any Relevant Personal Data.

2. Enhanced audit rights

In addition to, and without prejudice to, the audit rights afforded to the data exporter under the auditing provisions of the Data Processing Agreement, and Clause 8.9(c) these Controller-to-Processor Contractual Clauses, to the extent permitted by applicable law, the data exporter, or its appointed representatives, shall be permitted, on no less than 48 hours’ written notice, to conduct an audit of the data importer’s relevant systems (and the systems of any sub-processors where such sub-processors within the data importer’s Group), whether in person or, to the extent practicable, by remote means, for the sole purpose of determining whether any Relevant Personal Data have been disclosed in response to any Disclosure Order. This additional right to audit shall be at the sole cost and expense of the data exporter who shall determine whether and if such audit shall take place.  The data importer shall, where requested by the data exporter, take reasonable steps to assist the data exporter in conducting such audits including the provision of technical personnel to assist the data exporter in conducting the audit, supervised and controlled access to data importer’s infrastructure, technical environment, review platforms or other systems (provided such access does not impact any other client of the data importer or require the disclosure of confidential information relating to such clients) and copies of relevant documents that may assist the data exporter in conducting and assessing the findings of such audit.

3. Notification and Transparency

To the extent permitted by applicable law, the data importer shall regularly (and at least once every 24 hours) publish a message via a secure URL, accessible at https://www.ontrack.com/en-gb/legal/transparency-report (“Transparency Page”) informing the data exporter that, as at the time of the published message, it has not received a Disclosure Order.  The data importer shall, for the term of processing of Relevant Personal Data under these Controller-to-Processor Contractual Clauses, continue to publish such information on the Transparency Page. 

4. Obligation to Challenge

In the event that the data importer receives a Disclosure Order, the data importer shall promptly review the validity and enforceability of such Disclosure Order under applicable law and if, after a careful assessment, the data importer concludes that there are plausible grounds for challenging the Disclosure Order, and that such a challenge has a reasonable likelihood of succeeding, the data importer shall use reasonable efforts to bring such a challenge (including, where appropriate, through interim proceedings). To the extent that, notwithstanding any challenge, the data importer is obliged to disclose any Relevant Personal Data to the Relevant Authority, the data importer shall take all reasonable measures to ensure that it discloses the minimum amount of Relevant Personal Data required by applicable law.

5. Obligation to Notify

In the event that the data importer receives a Disclosure Order, the data importer shall:

(i) to the extent that the Disclosure Order contradicts the requirements of these Controller-to-Processor Contractual Clauses, inform the Relevant Authority that the Disclosure Order is incompatible with its obligations under these Controller-to-Processor Contractual Clauses, and that the Disclosure Order therefore exposes the data importer to conflicting legal obligations;

(ii)   to the extent permitted by applicable law, notify the data exporter of the Disclosure Order; and

(iii) where the data importer is legally able to inform the data exporter of the Disclosure Order, provide all reasonable assistance to the data exporter to defend, challenge and/or limit the scope of the Disclosure Order and shall take all reasonable instructions from the data exporter regarding the Disclosure Order including choice of counsel by the data exporter.  Where the data importer is permitted to notify, and therefore take instructions from the data exporter regarding the Disclosure Order, the data exporter shall be responsible for any reasonable costs and expenses incurred by the data importer in carrying out the data exporter’s instructions.

6. Policies and procedures

The data importer shall implement and maintain adequate internal policies with clear allocation of responsibilities for data transfers, reporting channels and standard operating procedures for handling Disclosure Orders.

7. Disclosure of Records

The data importer shall create and maintain a written record of:

(i) each Disclosure Order; and

(ii) the response to each Disclosure Order, together with details of the analysis of the Disclosure Order, the reasons for any response to the Disclosure Order,

and shall make such records available to the data exporter on request, to the extent permitted by applicable law, subject to appropriate redactions.

8. Standards

The data importer shall adopt the security standards set out in Annex II, including but not limited to the ISO 27001 standard, and shall implement all appropriate security measures with due regard to the state of the art, in accordance with the levels of risk associated with the categories of Relevant Personal Data processed and the likelihood of Disclosure Orders in relation to such Relevant Personal Data.

9. Policy Review

The data importer shall implement a regular review of the measures it has taken to protect Relevant Personal Data, including its applicable policies and procedures, to assess the suitability of those measures, and identify and implement additional or alternative measures when reasonably necessary. 

10. Onward Transfers

Where the data exporter provides instructions to data importer for the onward transfer of Relevant Personal Data to a sub-processor, the data importer shall use commercially reasonable efforts to obtain, from that sub-processor, an agreement that provides an equivalent level of protection for Relevant Personal Data, as is set out in this Annex IV, prior to the onward transfer of Relevant Personal Data to that sub-processor.  Where the data importer is unable to obtain equivalent measures as those set out in this Annex IV, the data importer shall not transfer any Relevant Personal Data to the sub-processor without the prior written authorization of the data exporter.  It is acknowledged at all times that, where the data importer is unable to obtain equivalent measures as those set out in this Annex IV, any authorization by the data exporter shall be solely at the data exporter’s legal risk.

11. Compensation or other legal remedies

It is acknowledged and accepted by the data exporter and data importer that the decision to transfer any Relevant Personal Data shall be solely taken by the data exporter, or the data exporter’s end client, as the case may be, and nothing in this Annex IV or more generally following a data exporter decision to transfer Relevant Personal Data shall impose, or create, any liability on the data importer to any Data Subject or the data exporter arising from such a decision.

Provisions applicable in relation to transfers of Personal Data governed by the Data Protection Act 2018 (UK)

International Data Transfer Addendum to the EU Commission Standard Contractual Clauses

VERSION B1.0, in force 21 March 2022

ThisAddendum has been issued by the Information Commissioner for Parties making Restricted Transfers. The Information Commissioner considers that it provides Appropriate Safeguards for Restricted Transfers when it is entered into as a legally binding contract.

Part 1: Tables

Table 1: Parties 

Service de déblocage de téléphone

Les présentes conditions additionnelles applicables au service de déblocage de téléphone (les "Conditions Additionnelles de Déblocage") viennent en complément des Conditions Générales de Vente applicables aux Services de Récupération de Données d'Ontrack (www.ontrack.com/fr-fr/recuperation-donnees/cgv) (les "Conditions Générales") et vous sont remises à la suite d'une demande de déblocage d'un appareil de téléphonie mobile mentionné dans le bon de commande (l'"Appareil") afin de permettre l'extraction et/ou le décodage de données et d'informations contenues dans ledit Appareil (les "Données") (collectivement le "Service de Déblocage"). Ces Conditions Additionnelles de Déblocage s'appliquent exclusivement à une Commande de Service de Déblocage.

Vous déclarez et reconnaissez par les présentes que les engagements et déclarations qui figurent au sein de ces Conditions Additionnelles de Déblocage sont irrévocables et qu'Ontrack fournira le Service de Déblocage sur la base desdits engagements et déclarations ci-dessous.  

1. Les présentes Conditions Additionnelles de Déblocage entrent en vigueur conformément aux Conditions Générales applicables entre vous et Ontrack relativement à une Commande (telle que définie dans les Conditions Générales) de Service de Déblocage. En cas de contradiction ou d'incohérence entre ces Conditions Additionnelles de Déblocage et les Conditions Générales, priorité sera conférée aux présentes.
   

2. Ontrack mettra en œuvre le Service de Déblocage après réception du paiement du Coût Initial de Mise en Place (tel que mentionné dans la grille tarifaire de la Commande). Le Coût Initial de Mise en Place n'est pas remboursable et correspond au coût raisonnable exposé par Ontrack lors de la configuration et du paramétrage du Service de Déblocage. Après l'exécution du Service de Déblocage, les Frais de Traitement feront l'objet d'une facturation par Ontrack et seront payables sous 30 (trente) jours à compter de la date de la facture. Le code de déverrouillage de l'Appareil et l'accès aux Données ne seront pas fournis tant que la facture portant sur les Frais de Traitement n'aura pas été réglée. Si vous procédez à l'annulation de la Commande mais que des frais complémentaires restent dus (selon les articles 3 à 5 ci-dessous), les frais d'annulation seront payables sous 30 (trente) jours à compter de la date de la facture. L'Appareil ne sera pas restitué tant que les frais d'annulation n'auront pas été réglés. Si vous êtes un professionnel, Ontrack se réserve le droit de réclamer des intérêts de retard à hauteur de 3 (trois) fois le taux légal en vigueur en cas de retard de paiement, outre une indemnité forfaitaire de 40 (quarante) euros conformément aux dispositions de l'article D. 441-5 du Code de commerce. 
   

3. Annulation par un Client Consommateur. En cas d'acceptation de la Commande, vous autorisez expressément Ontrack à mettre en œuvre le Service de Déblocage de manière immédiate. Toutefois, si vous êtes un Client Consommateur, vous disposez d'un délai de 14 (quatorze) jours pour annuler la Commande. Dans cette hypothèse, Ontrack conservera le Coût Initial de Mise en Place que vous avez réglé et qui représente le coût raisonnable exposé par Ontrack au titre de la configuration et du paramétrage du Service de Déblocage. Après le délai de 14 (quatorze) jours, il est encore possible d'annuler la Commande mais, dans ce cas, des frais forfaitaires de 1.500 (mille cinq cents) euros seront dus. Nonobstant ce qui précède, l'annulation de la Commande n'est plus possible une fois que le Service de Déblocage a été finalisé. Dans ce cas, les Frais de Traitement deviennent exigibles.
   

4. Annulation par un Client Professionnel. Si vous êtes un Client Professionnel, les frais d'annulation sont de 1.450 (mille quatre cent cinquante) euros hors taxes. L'annulation de la Commande n'est plus possible une fois que le Déblocage a été réalisé. Dans cette hypothèse, les Frais de Traitement deviennent exigibles.
   

5. Tous les clients sont informés que, dans l'hypothèse où Ontrack ne parviendrait pas à finaliser le Service de Déblocage dans un délai de 120 (cent vingt) jours après la Commande, aucuns frais d'annulation ne seront dus. Toutefois, Ontrack conservera le Coût Initial de Mise en Place. Afin d'annuler la Commande, le client doit envoyer un e-mail ou contacter Ontrack par téléphone selon les coordonnées fournies ou bien utiliser le modèle de formulaire d'annulation sur notre site internet. 
   

6. Par les présentes, vous reconnaissez et garantissez à Ontrack que : (i) vous disposez de la capacité juridique vous permettant de prendre valablement des engagements contractuels ; (ii) vous disposez de tous pouvoirs, habilitations et autorisations vous permettant de consentir aux présentes Conditions Additionnelles de Déblocage et, si vous êtes un Client Professionnel, vous disposez des pouvoirs aux mêmes fins ; (iii) vous n'avez pas l'intention d'utiliser le Service de Déblocage dans le cadre de contentieux juridiques relatifs à un divorce, une succession ou un crime ; (iv) toutes les informations que vous fournissez à Ontrack relativement à une Commande sont vraies, exactes, complètes et non trompeuses ;  (v) vous êtes le propriétaire légitime de l'Appareil ou vous disposez de l'autorisation expresse du propriétaire légitime de l'Appareil afin de permettre à Ontrack de fournir le Service de Déblocage ; (vi) la détention des Données par Ontrack ne violera pas d'obligations ni les droits de tierces parties ; (vii) la remise de l'Appareil et/ou des Données ne violera pas toute loi applicable ; et (ix) votre Appareil ne contient aucune donnée de nature à violer toute loi applicable. Nous nous réservons le droit de demander une preuve de votre droit de propriété sur l'Appareil ou de votre pouvoir d'autoriser le Service de Déblocage, notamment (sans limitation) la facture d'achat de l'Appareil, tout testament valable ou encore tout certificat de décès. Nous nous réservons le droit de suspendre ou bien de ne pas débuter le Service de Déblocage tant que lesdits éléments ne nous auront pas été fournis.
   

7. Vous reconnaissez et acceptez que le Service de Déblocage peut échouer et qu'Ontrack peut ne pas parvenir à débloquer l'Appareil. Le Service de Déblocage est fourni "en l'état", à l'exclusion de tout engagement de résultat et de toute aucune garantie relativement à la précision du Service de Déblocage, sa validité, son utilité ou sa réalisation.
   

8. Par les présentes, vous vous engagez à utiliser l'Appareil débloqué et/ou les Données pour votre usage personnel. Vous renoncez à utiliser l'Appareil débloqué et/ou les Données à toute fin illicite. Ontrack ne verra pas sa responsabilité engagée au titre de votre utilisation de l'Appareil et/ou des Données après l'accomplissement du Service de Déblocage.
   

9. Vous reconnaissez que le Service de Déblocage est fourni par un sous-traitant d'Ontrack, la société Cellebrite. Vous renoncez expressément et irrévocablement à agir à l'encontre de Cellebrite à quelque titre que ce soit, notamment aux fins d'indemnisation, à compter de la date des présentes et ce relativement à la fourniture du Service de Déblocage, quel que soit le fondement juridique envisagé (notamment au titre de la responsabilité contractuelle ou délictuelle). Nonobstant ce qui précède, aucune stipulation des présentes ne peut exclure toute réclamation à l'encontre d'Ontrack en vertu de la loi applicable à la fourniture du Service de Déblocage.
   

10. Par les présentes, vous reconnaissez, comprenez et acceptez expressément que le Service de Déblocage peut nécessiter le déverrouillage, la découverte de code, le décryptage, l'accès et/ou l'extraction d'informations ou de données (en ce compris la transmission, l'hébergement, la copie ou l'analyse) mis en œuvre sur un appareil électronique, notamment un appareil électronique portable tel qu'un téléphone ou une tablette numérique, un ordinateur, des logiciels, des applications, des serveurs informatiques, des télécommunications ou des systèmes de communications électroniques, ainsi que des droits de propriété intellectuelle (incluant, sans limitation, des contenus protégés par le droit d'auteur, des secrets commerciaux et du savoir-faire).
    

11. Vous vous engagez à indemniser Ontrack, ses dirigeants, ses représentants, ses actionnaires, ses employés et ses partenaires (les "Parties Indemnisées") contre toute demande, réclamation, tout procès, toutes pertes, tous dommages et intérêts ainsi que tous coûts et dépens qui peuvent être mis à la charge des Parties Indemnisées en cas de violation de vos obligations selon les termes des présentes Conditions Additionnelles de Déblocage. 
    

12. Ontrack ne verra pas sa responsabilité engagée en cas de corruption, de dommage physique ou autre ou encore de destruction de l'Appareil ou d'invalidation de la garantie du fabricant ou du vendeur de l'Appareil que ce soit avant qu'Ontrack ne reçoive l'Appareil ou dans le cadre de la fourniture du Service de Déblocage, dans le cas où un tel événement devait survenir à la suite de la fourniture du Service de Déblocage en application des présentes Conditions Additionnelles de Déblocage.