Introduction au Contrat relatif au traitement des données d'Uber

Uber exige que ses fournisseurs acceptent les conditions définies dans son Contrat relatif au traitement des données (« DPA »), qui régissent le traitement des Informations confidentielles d'Uber, y compris les Données personnelles d'Uber.

Les présentes conditions visent à protéger la confidentialité et la sécurité des Informations confidentielles d'Uber et à permettre à Uber de respecter les lois mondiales sur la protection des données, y compris, le cas échéant (en fonction du traitement des Données personnelles d'Uber) le Règlement général sur la protection des données de l'Union européenne ( le « RGPD »), la Lei Geral de Proteção de Dados Pessoais (la « LGPD »), la Loi sur la protection des données personnelles de l'Australie, la Loi sur la protection des données numériques de l'Inde et les lois de confidentialité des données des États-Unis, y compris la loi californienne sur la protection de la vie privée des consommateurs (« CCPA »).

Le DPA traite spécifiquement des éléments suivants :

1. Exigences et limitations générales concernant le traitement des Informations confidentielles d'Uber par les fournisseurs, y compris en ce qui concerne la sécurité des données, les incidents de sécurité des données, les évaluations des risques et les vérifications, la conservation et la suppression de données et le recours à des sous-traitants ultérieurs.
   
2. Désignation des rôles occupés par Uber et les fournisseurs concernant le traitement des Données personnelles d'Uber.
   1. La DPA exige spécifiquement que les parties indiquent si chacune agit en tant que :
      1. « Responsable du traitement » ou « Sous-traitant » ;
      2. « Entreprise », « Prestataire de services », « Contractant » ou « Tiers », tels que ces termes sont définis dans le CCPA.
   2. Le DPA précise également les responsabilités de chaque partie sur la base des désignations ci-dessus.

Pour toute question concernant le DPA d'Uber, veuillez vous adresser à votre contact Uber.

CONTRAT RELATIF AU TRAITEMENT DES DONNÉES UBER

Le présent Contrat relatif au traitement des données (« Contrat ») définit les exigences applicables au Traitement par le Fournisseur des : (1) Informations confidentielles d'Uber, y compris les Données personnelles d'Uber (voir la Section 2 ci-dessous) ; et (2) Données personnelles Uber (voir la Section 3 ci-dessous).

Le présent Contrat fait partie du ou des contrats principaux entre Uber et la société ou l'entité (le « Fournisseur ») (chacune individuellement une Partie et collectivement les « Parties ») et tous les autres contrats signés en vertu de celui-ci (collectivement, le « Contrat principal »).

SECTION 1 : DÉFINITIONS

Outre les termes définis ci-dessous, les termes « Entreprise », « Prestataire », « Vente », « Vendre », « Prestataire de services » et « Partager » ont la signification définie dans le CCPA/CPRA.

1. Responsable du traitement : une personne physique ou morale qui, seule ou conjointement avec d'autres, détermine la finalité et les moyens du Traitement des Données personnelles.
2. Lois en matière de protection des données : toutes les lois et réglementations applicables au Traitement des Données personnelles d'Uber en vertu du présent DPA.
   
3. Personne concernée : personne physique à laquelle se rapportent les Données personnelles.
4. Incident lié à la sécurité des données : tout accès non autorisé, réel ou raisonnablement suspecté, à des Informations confidentielles d'Uber ou toute acquisition, ou tout traitement illicite, ou toute atteinte à la sécurité ou à l'intégrité de ces Informations confidentielles d'Uber ou de tout Système utilisé par le Fournisseur, ou ses Sous-traitants ultérieurs, pour traiter ces données.
   
5. Supprimer : détruire physiquement ou logiquement des Informations confidentielles d'Uber afin qu'elles ne puissent pas être récupérées.
   
6. Découverte : tout cas dans lequel le Fournisseur découvre un Incident lié à la sécurité des données, est informé d'un Incident lié à la sécurité des données ou aurait découvert un Incident lié à la sécurité des données s'il avait fait preuve d'une diligence raisonnable.
   
7. Données personnelles : toute information se rapportant à une Personne concernée identifiée ou identifiable.
   
8. Processus : toute opération ou tout ensemble d'opérations effectués sur des Données personnelles ou sur des ensembles de Données personnelles, que ce soit par des moyens automatisés ou non, tels que la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou la mise à disposition de toute autre manière, l'alignement ou la combinaison, la restriction, la suppression ou la destruction.
   
9. Sous-traitant : entité physique ou juridique qui traite des données à caractère personnel pour le compte d'un Responsable du traitement.
   
10. Sous-traitant ultérieur : un Sous-traitant engagé par le Fournisseur pour traiter des Informations confidentielles d'Uber.
    
11. Système : tout système de fichiers, système informatique, base de données, appareil, équipement, serveur, site Internet, application, logiciel, support de stockage, réseau, plateforme, environnement ou domaine en réseau, y compris, mais sans s'y limiter, tous les environnements de développement, d'assurance qualité, de test et de production.
    
12. Uber : Uber Technologies, Inc. et toute filiale ou société affiliée d'Uber.
    
13. Personne concernée Uber : Toute Personne concernée dont les Données personnelles Uber sont ou seront traitées par le Fournisseur.
    
14. Données personnelles Uber : Données à caractère personnel des Personnes concernées qui sont traitées par le Fournisseur aux fins du Contrat.
    
    Aux fins du présent Contrat, les Données personnelles Uber n'incluent pas le nom et les coordonnées des collaborateurs d'Uber responsables de l'interaction avec le Fournisseur dans le cadre du Contrat principal, ni les Données personnelles reçues par inadvertance par le Fournisseur à la suite de ces échanges.
    
15. Informations confidentielles Uber : toutes les données, tous les dossiers ou informations, y compris les Données personnelles Uber, qui sont détenus ou contrôlés par Uber et qui sont divulgués, fournis ou mis à la disposition du Fournisseur par ou au nom d'Uber, ou collectées, créées, conservées ou utilisées par le Fournisseur au nom d'Uber, dans le cadre des Services, comme décrit plus en détail dans le Contrat.
    
16. Système Uber : tout Système détenu, concédé sous licence, exploité ou contrôlé par Uber ou auquel Uber a accordé un accès au Fournisseur.

SECTION 2 : EXIGENCES : INFORMATIONS CONFIDENTIELLES D'UBER

1. Sécurité des données : Le Fournisseur doit maintenir des mesures de protection physiques, administratives, organisationnelles et techniques appropriées, ainsi que d'autres mesures de sécurité pour préserver l'intégrité, la sécurité et la confidentialité des Informations confidentielles Uber, notamment au minimum celles énoncées à l'Annexe 1 du présent Contrat.
2. Responsable de la sécurité : Le Fournisseur désigne une personne responsable de la gestion et de la coordination de l'exécution de ses obligations en vertu du présent Contrat, ainsi que leur mise à disposition d'Uber pendant la durée du Contrat principal.
3. Incidents liés à la sécurité des données
   1. Enquête. Le Fournisseur prend toutes les mesures raisonnables dès la Découverte d'un Incident lié à la sécurité des données pour enquêter de manière approfondie sur la cause, la nature et la portée de la compromission d'un tel Incident lié à la sécurité des données aux frais du Fournisseur ; remédier à l'Incident lié à la sécurité des données et en atténuer les effets ; et fournir à Uber toutes les informations requises ou demandées pour qu'Uber se conforme aux lois et aux processus internes de réponse aux Incidents liés à la sécurité des données applicables. À la demande d'Uber, le Fournisseur doit présenter des rapports complémentaires détaillés concernant son enquête et ses conclusions. Le Fournisseur s'engage, à ses frais, à coopérer pleinement avec Uber pour enquêter sur chaque Incident lié à la sécurité des données et y répondre, y compris en permettant à Uber et/ou à l'enquêteur d'Uber d'accéder rapidement à ses Systèmes et/ou installations.
      
   2. Avis à Uber. Le Fournisseur informe Uber dans les quarante-huit (48) heures de la Découverte par l'intermédiaire des personnes ou de l'équipe Uber désignées pour recevoir des avis en vertu du Contrat principal, et par e-mail à vendorsecurity@uber.com. Le Fournisseur doit indiquer dans cet avis et compléter par la suite si nécessaire :
      1. une description de l'Incident lié à la sécurité des données, y compris la cause (si identifiable), le lieu, la date/heure, l'Incident lié à la sécurité des données et sa Découverte ;
         
      2. une description des mesures que le Fournisseur a prises ou prendra pour enquêter sur l'Incident lié à la sécurité des données et en atténuer l'impact ;
         
      3. les types et le volume d'Informations confidentielles Uber concernées, y compris si les données ont été cryptées ou censurées ;
         
      4. le nombre, la localisation (État/pays) et l'identité de toutes les Personnes concernées Uber (le cas échéant), y compris lorsque les Lois en matière de protection des données applicables l'exigent, le nombre d'enfants, d'adolescents ou de personnes âgées concernées ;
         
      5. les conséquences attendues de l'Incident lié à la sécurité des données ;
         
      6. une description des mesures que le Fournisseur a prises ou prévoit de prendre pour limiter de telles conséquences et mieux sécuriser les Informations confidentielles Uber ; et
         
      7. les plans de mesures correctives du Fournisseur en réponse à l'Incident lié à la sécurité des données.
   3. Avis des tiers. Le Fournisseur aide Uber à fournir tous les avis requis par la loi à toute personne concernée,tout organisme de réglementation ou autre tiers (« Avis requis »). Dans ce cas, (i) Uber a le contrôle exclusif du contenu, du délai et du mode de distribution de cet avis, sauf disposition légale contraire ; (ii) le Fournisseur peut communiquer un Avis obligatoire uniquement après l'approbation et les instructions écrites préalables d'Uber, sauf disposition contraire de la législation applicable (auquel cas le Fournisseur présentera à Uber une copie de cet avis dès que possible et dans tous les cas avant de le communiquer, sauf disposition légale contraire) ; et (iii) le Fournisseur rembourse à Uber tous les frais raisonnables encourus par Uber dans le cadre d'un tel avis lorsque le Fournisseur est entièrement ou partiellement responsable de l'Incident lié à la sécurité des données.
      
   4. Non-divulgation. Le Fournisseur s'abstient de divulguer l'existence de l'Incident lié à la sécurité des données ou d'informations le concernant dans le cadre d'Uber ou de toute Information confidentielle d'Uber, des Personnes concernées ou du Système Uber, y compris à toute autorité gouvernementale, sans le consentement écrit préalable d'Uber.
      
   5. Atténuation et mesures correctives. Le Fournisseur doit, rapidement et dans un délai raisonnable, (i) contenir toutes les vulnérabilités, activités et autres circonstances qui ont causé ou engendré l'Incident lié à la sécurité des données ; (ii) prendre toutes les mesures correctives nécessaires et appropriées, et coopérer raisonnablement avec Uber afin d'atténuer et de rectifier cet Incident lié à la sécurité des données.
      
   6. Enquêtes publiques. Le Fournisseur est responsable de la gestion et du traitement des demandes, questions ou autres requêtes émanant des médias, de la presse ou d'autres entités publiques (« Enquêtes publiques ») concernant un Incident lié à la sécurité des données. Le Fournisseur désigne une ou plusieurs personnes chargées de la gestion et du traitement des Enquêtes publiques et fournit sur demande les noms et coordonnées de ces personnes à Uber.
      
4. Conservation et suppression des données : Le Fournisseur doit dans les meilleurs délais Supprimer ou restituer à Uber (à la demande d'Uber) toutes les Informations confidentielles d'Uber en sa possession, sous sa garde et sous son contrôle : (i) en cas de résiliation ou d'expiration du Contrat principal ; (ii) en cas de liquidation ou d'insolvabilité des activités du Fournisseur ; (iii) lorsque cela ne sera plus nécessaire au respect de ses obligations au titre du Contrat principal ; ou (iv) à la demande d'Uber.
   
5. Évaluations de risques
   1. Le Fournisseur doit passer et réussir une évaluation des risques liés à la sécurité des informations (« Évaluation des risques ») effectuée par Uber avant la Date d'entrée en vigueur.
      
      Après l'Évaluation des risques initiale, le Fournisseur est tenu de réaliser des Évaluations des risques à la demande d'Uber au maximum une fois par an, ou dans le cas où (i) le Fournisseur commence à fournir d'autres produits ou services à Uber ou à traiter des Informations confidentielles d'Uber supplémentaires qui n'étaient pas dans le champ d'application lors de l'évaluation initiale ou la plus récente ; (ii) la nature ou les finalités du Traitement des Informations confidentielles d'Uber changent ; (iii) le Fournisseur commence à transférer les Données personnelles d'Uber des Personnes concernées dans l'Espace économique européen (« EEE ») en dehors de l'EEE, ou commence à transférer les Données personnelles d'Uber vers un autre pays tiers qui n'était pas concerné lors de l'évaluation initiale ou la plus récente ; (iv) le Fournisseur apporte une modification importante au Traitement des Informations confidentielles d'Uber susceptible d'avoir une incidence sur la sécurité de ces données ou sur la capacité du Fournisseur à se conformer au présent Contrat ; (v) une évaluation est raisonnablement nécessaire pour qu'Uber se conforme aux Lois en matière de protection des données ou à d'autres obligations de conformité en matière de sécurité des données ; (vi) une évaluation est raisonnablement nécessaire pour qu'Uber se conforme à une demande, à un ordre ou à l'exécution d'une obligation légale ou de contrôle ; ou (vii) si un Incident lié à la sécurité des données survient.
      
   2. Exigences. Le Fournisseur doit apporter à Uber toutes les informations raisonnablement nécessaires pour procéder à l'Évaluation des risques. Ces informations peuvent inclure, mais sans s'y limiter, des questionnaires d'évaluation des risques ; des politiques et procédures en matière de sécurité des informations ; des politiques et procédures en matière de classification et de traitement des données ; la conformité à la sécurité des données ou les rapports de vérification évaluant l'efficacité du programme, du ou des systèmes, des contrôles internes et des procédures du Fournisseur relatifs au Traitement des Données personnelles d'Uber par rapport à un cadre reconnu par le secteur tel que les cadres ISO, SSAE16, SOC ou NIST ; et les autres informations demandées par Uber pour évaluer le programme de sécurité des informations du Fournisseur, les contrôles et le Traitement des Informations confidentielles d'Uber. Ces informations comprennent également des détails concernant le Traitement des Données personnelles Uber par le Fournisseur, y compris les types de données, les finalités du traitement, le type et le nombre de Personnes concernées Uber, le lieu du Traitement, les Sous-traitants ultérieurs et la conservation des données. Des copies des politiques, procédures ou autres documents du Fournisseur peuvent être communiquées à Uber ou présentées via une application de partage d'écran convenue d'un commun accord.
      
   3. Journaux de vérification. Le Fournisseur doit tenir à jour des registres et des journaux de vérification des systèmes d'information, y compris les registres des applications, les registres d'accès, les registres d'authentification, les registres de réseau, les registres des appareils de l'utilisateur final et les registres des systèmes de sécurité, dans la mesure nécessaire pour permettre la surveillance, l'analyse, l'enquête et le signalement d'activités illicites, interdite ou inappropriées du système et s'assurer que les actions des utilisateurs du Système d'information peuvent être uniquement liées à ces utilisateurs, afin qu'ils puissent être tenus responsables de leurs actes et permettre des enquêtes appropriées sur les Incidents liés à la sécurité des données.
6. Vérifications.
   1. Vérifications. Le Fournisseur autorise Uber, moyennant un préavis écrit raisonnable et pendant les heures de travail, à réaliser, à ses frais, des vérifications des installations, réseaux, systèmes, procédures, du Traitement des Informations confidentielles d'Uber et du respect du présent Contrat par le Fournisseur. Uber ne peut pas exercer ce droit plus d'une fois par an, sauf lorsqu'un Incident lié à la sécurité des données s'est produit ou lorsque cela est nécessaire pour se conformer aux Lois sur la protection des données ou dans une autre obligation légale.
   2. Exigences relatives aux vérifications. Le Fournisseur doit coopérer raisonnablement aux vérifications décrites dans le paragraphe précédent en donnant accès au personnel bien informé, aux sites physiques, le cas échéant, à la documentation, à l'équipement et à tout logiciel d'application qui traite les Informations confidentielles d'Uber ou a accès aux installations, réseaux, systèmes et procédures d'Uber. Uber est responsable des coûts et dépenses de cette vérification (ou des frais et coûts du tiers réalisant la vérification), sauf si cette vérification révèle ou découle d'une violation substantielle du Contrat principal, y compris le présent Contrat, auquel cas le Fournisseur remboursera Uber pour ces coûts et dépenses. Le Fournisseur prendra des mesures immédiates pour remédier aux lacunes identifiées par la vérification.
7. Sous-traitants
   1. Sous-traitants ultérieurs autorisés. Le Fournisseur ne doit autoriser AUCUN Sous-traitant ultérieur à traiter des Informations confidentielles d'Uber, sauf ceux identifiés au cours d'une Évaluation des risques. Si le Fournisseur souhaite faire appel à un autre Sous-traitant ultérieur, il doit en informer Uber, notamment en ce qui concerne les fins auxquelles il traitera les Informations confidentielles d'Uber, au moins 30 jours avant un tel Traitement. Si Uber ne s'oppose pas à un tel engagement, il sera réputé l'avoir approuvé.
      
   2. Obligations des sous-traitants ultérieurs. Avant le Traitement des Informations confidentielles d'Uber, le Fournisseur doit conclure avec chaque Sous-traitant ultérieur un contrat qui impose des obligations au moins aussi restrictives et protectrices pour les Informations confidentielles d'Uber que celles qui lui sont imposées en vertu du présent Contrat. Uber peut demander une copie dudit contrat, et retirer son consentement à la collaboration avec lesdits sous-traitants ultérieurs si le Fournisseur ne lui procure pas le contrat ou si ce dernier ne contient pas de protection suffisante des Informations confidentielles Uber. Le Fournisseur peut rédiger ce contrat avant de le partager avec Uber dans la mesure nécessaire à la protection de ses secrets commerciaux ou informations confidentielles.
      
   3. Conformité des sous-traitants ultérieurs aux Lois en matière de protection des données. Le Fournisseur est tenu de veiller au respect des Lois en matière de protection des données applicables par les Sous-traitants ultérieurs dans le cadre du Traitement des Données personnelles d'Uber par les Sous-traitants ultérieurs.
      
   4. Responsabilité. Le recours par le Fournisseur à des Sous-traitants ultérieurs n'affecte ni ne limite sa responsabilité au titre du présent Contrat.
8. Indemnisation : Sauf indication contraire du Contrat principal, la Société s'engage à indemniser, à protéger et à tenir indemne Uber, ses administrateurs, les dirigeants, les collaborateurs et les agents contre tous les dommages, pertes, frais et dépenses découlant de toute réclamation causée par, découlant de ou liée de quelque façon que ce soit à la perte, l'altération ou l'utilisation abusive des Données personnelles Uber, l'accès non autorisé aux Données personnelles Uber ou leur destruction ou divulgation, ou la violation par la Société de l'article 4 du présent DPA.
9. Restriction de transferts groupés aux États-Unis Données personnelles sensibles
   1. Définitions : Aux fins du présent Article 2.8 :
      1. les termes « Accès », « Traitement groupé », « données personnelles sensibles groupées aux États-Unis, « pays source de préoccupation », « transaction de données couvertes », « personne couverte », « courtage de données », « données liées au gouvernement », « données personnelles sensibles » et « personne américaine » ont la signification qui leur est attribuée par le Règlement sur les données sensibles du ministère de la Justice américain, 28 C.F.R., partie 202 ;
         
      2. les « Données couvertes » désignent les « données personnelles sensibles groupées aux États-Unis » et/ou « Données liées au gouvernement ».
         
      3. « Entité couverte » désigne toute « Personne couverte » ou tout « pays source de préoccupation ».
   2. Si le Fournisseur se voit accorder un Accès aux Données couvertes dans le cadre du Contrat principal, le Fournisseur déclare et garantit :
      1. ne pas être une entité couverte.
         
      2. ne pas s'engager pas dans une Transaction de données couvertes impliquant un service de courtage de données avec une Entité couverte.
         
      3. sauf autorisation expresse d'Uber ou autre selon l'article 28 du C.F.R., partie 202, (A) ne permettre à aucune Entité couverte d'accéder aux Données couvertes ; et (B) interdire à tout Sous-traitant ultérieur de fournir un Accès aux Données couvertes à toute Entité couverte.
         
      4. ne pas contourner ni tenter de contourner les stratégies de cryptage, de masquage, de désidentification, de protection de la vie privée ou les contrôles de sécurité déployés par Uber dans le cadre de l'article 28 du C.F.R., partie 202.
         
      5. fournir à Uber toute information raisonnablement demandée par Uber dans le cadre de la conformité au présent article 2.8 ou à l'article 28 du CFR, partie 202, y compris dans le cadre de toute enquête menée par Uber.
         

SECTION 3 : EXIGENCES : DONNÉES PERSONNELLES UBER

1. Rôle des parties : Sauf stipulation contraire dans le Contrat principal, les Parties reconnaissent et conviennent qu'Uber est le Responsable du traitement des Données personnelles d'Uber traitées dans le cadre du Contrat principal^[1], et que le Fournisseur est un Sous-traitant et/ou un Prestataire de services en lien avec ce traitement.
2. Exigences générales : Le Fournisseur reconnaît et convient qu'il :
   1. comprend et doit se conformer à toutes les exigences en vertu des Lois en matière de protection des données applicables dans le cadre du Traitement des Données personnelles d'Uber.
   2. informera Uber s'il considère qu'il n'est plus en mesure de respecter ses obligations en vertu des Lois en matière de protection des données applicables, sauf disposition contraire de la loi. Suite à la réception d'un tel avis, Uber peut prendre des mesures raisonnables et appropriées pour mettre fin au Traitement des Données personnelles d'Uber par le Fournisseur et remédier à tous les risques pour les Personnes concernées résultant d'un tel Traitement, et le Fournisseur aidera Uber raisonnablement dans le cadre de ces étapes (y compris, le cas échéant, en cessant ce Traitement).
      
   3. s'abstiendra de louer, de vendre, de partager, de divulguer, de combiner avec d'autres données et de traiter de quelque manière que ce soit les Données personnelles d'Uber à d'autres fins que celles nécessaires à l'exécution de ses obligations au titre du Contrat principal, sauf accord contraire écrit des Parties.
      
   4. ne tentera pas de ré-identifier une personne concernée par Uber à l'aide de données désidentifiées fournies au Fournisseur ou collectées par ce dernier.
      
   5. ne permettra à aucun des employés du Fournisseur de traiter les Données personnelles d'Uber, sauf si ledit employé a accepté de préserver la confidentialité des Données personnelles d'Uber, ou si la loi l'exige de préserver la confidentialité des Données personnelles d'Uber.
3. Exigences relatives au contractant / au prestataire de services / au sous-traitant : Si le Fournisseur est désigné comme Sous-traitant, Prestataire de services ou Contractant dans le Contrat principal, il doit, à l'égard des Données personnelles Uber traitées conformément à cette désignation :
   
   1. Si le Sous-traitant et/ou le Prestataire de services est désigné, (a) traiter les Données personnelles d'Uber uniquement en ces qualités conformément aux instructions écrites d'Uber, sauf si la loi l'exige ; et (b) ne copier ni ne reproduire les Données à caractère personnel d'Uber ni à ses propres fins, ni à celles d'un Sous-traitant ultérieur ou d'un autre tiers, y compris à des fins de formation, de développement ou d'affinement de modèles d'apprentissage automatique, de systèmes d'IA ou de technologies similaires.
      
   2. Aider Uber de manière raisonnable et appropriée, dans le cadre du Traitement des Données personnelles par le Fournisseur, à :
      1. respecter les obligations d'Uber en vertu des articles 32 à 36 du RGPD, le cas échéant, ou des obligations équivalentes en vertu des autres Lois en matière de protection des données applicables ; et
         
      2. démontrer la conformité aux Lois en vigueur en matière de protection des données, y compris, le cas échéant, à l'article 28 du RGPD.
         
   3. Autoriser Uber à prendre des mesures raisonnables et appropriées pour s'assurer que le Fournisseur utilise les Données personnelles d'Uber conformément à ses obligations en vertu des Lois en matière de protection des données applicables, et pour mettre fin à l'utilisation non autorisée des Données personnelles d'Uber et y remédier.
      
   4. Sauf dispositions contraires prévues par la législation, informer sans délai Uber de toute demande d'une Personne concernée ou d'un organisme gouvernemental ou réglementaire ayant autorité sur le Fournisseur ou Uber, concernant le Traitement par le Fournisseur des Données personnelles d'Uber, et coopérer avec Uber concernant toute réponse à ladite demande ou exigence.
4. Exigences relatives au responsable du traitement : si le Fournisseur est désigné comme responsable du traitement dans le Contrat principal, il reconnaît et convient qu'il :
   1. est responsable du traitement indépendant de Données personnelles Uber en vertu des Lois en matière de protection des données.
      
   2. déterminera les finalités et les moyens du Traitement des Données personnelles d'Uber.
      
   3. est responsable de sa propre conformité aux Lois en vigueur en matière de protection des données, y compris en ce qui concerne la notification aux Personnes concernées du Traitement de leurs Données personnelles et de la façon dont elles peuvent exercer leurs droits, ainsi que l'obtention des consentements requis.
      
   4. respectera les obligations qui lui incombent en vertu des Lois en matière de protection des données dans le cadre du Traitement de Données personnelles Uber.
5. Transferts transfrontaliers : Si le Traitement des Données personnelles par le Fournisseur implique le transfert des Données personnelles des Personnes concernées d'Uber :
   1. Il se conforme à toutes les Lois en matière de protection des données applicables à ces transferts.
      
   2. Dans la mesure applicable en fonction de la localisation des Personnes concernées d'Uber dont les Données personnelles seront transférées, il respecte les exigences énoncées à l'Annexe 2 du présent Contrat.

SECTION 4 : DIVERS

1. Date d'entrée en vigueur : Le présent Contrat entre en vigueur à la date d'exécution du Contrat principal.
2. Résiliation et validité permanente : Nonobstant toute disposition contraire du Contrat principal, le présent Contrat et toutes les dispositions des présentes demeurent en vigueur tant que le Fournisseur traite ou conserve les Informations confidentielles d'Uber.
   
3. Non-conformité. Le Fournisseur doit informer Uber dans les meilleurs délais s'il n'est pas en mesure de respecter le présent Contrat. Si le Fournisseur ne peut pas s'y conformer dans un délai raisonnable, ou s'il contrevient de façon substantielle ou persistante au présent Contrat ou à ses obligations en vertu du présent Contrat, Uber est en droit de résilier le présent Contrat et le Contrat principal dans la mesure où il concerne le traitement des Informations confidentielles d'Uber ; sous réserve, toutefois, que toute violation de l'Article 2.9 constitue une violation substantielle et qu'Uber ait le droit de résilier immédiatement le Contrat principal.
4. Clause invalide. Si certaines dispositions du présent Contrat sont ou deviennent invalides, la validité des autres dispositions ne sera pas affectée. Les Parties doivent remplacer la clause non valide par une clause légalement autorisée, qui permet de réaliser l'objectif commercial recherché le plus proche possible.
   
5. Conflits. En cas de conflit entre le présent Contrat : (i) et le Contrat principal, le présent Contrat prévaut ; et (b) un Contrat de partenaire commercial (« BAA ») conclu entre Uber et le Fournisseur en vertu de la loi HIPAA, le BAA prévaut.
   
6. Loi et juridiction applicables. La législation et la juridiction applicables, telles que définies dans le Contrat principal, s'appliquent au présent Contrat.

ANNEXE 1
Mesures organisationnelles/administrations, physiques et techniques

1. Mesures de sécurité organisationnelles et administratives : Le Fournisseur a mis en place, maintiendra et mettra à jour si nécessaire tout au long du Traitement des Informations confidentielles d'Uber (sous réserve que ces mises à jour ne réduisent ni ne dégradent les mesures de protection utilisées pour protéger les Informations confidentielles d'Uber) :
   1. un programme complet de sécurité des informations et de réseau, comprenant des politiques, pratiques et procédures qui régissent les Services (collectivement, le « Programme de sécurité des données ») qui (i) répond aux bonnes pratiques actuelles ; (ii) respecte toutes les Lois en matière de protection des données applicables ; (iii) dans la mesure du possible, se conforme aux normes de sécurité des données de l'industrie des cartes de paiement (PCI DDS) ; (iv) respecte ou répond aux normes de sécurité ISO 27000, NIST 800-53, CIS top 20 ou HITRUST ; et (v) dans la mesure du possible, être conforme au Règlement sur les données sensibles du ministère de la Justice américain, 28 C.F.R., partie 202. Le Fournisseur doit mettre la documentation de son Programme de sécurité des données à la disposition d'Uber sur demande.
   2. Un programme documenté de prévention de la perte de données, conçu pour détecter, prévenir et limiter le risque d'Incidents liés à la sécurité des données, qui doit inclure au minimum :
      1. les politiques et contrôles techniques appropriés conçus pour empêcher la perte d'Informations confidentielles d'Uber ; et
      2. un plan de récupération des données en cas de sinistre/plan de continuité des opérations, traitant de l'accès actuel, de la conservation et du stockage des Informations confidentielles Uber, ainsi que des besoins en matière de sécurité pour les sites de sauvegarde et réseaux de communication alternatifs.
   3. Politiques et procédures visant à limiter l'accès aux Informations confidentielles d'Uber aux personnes qui en ont besoin pour exercer leurs rôles et responsabilités conformément au Contrat principal.
   4. Procédures de vérification tous les droits d'accès par le biais de méthodes d'authentification efficaces.
   5. Un processus permettant d'évaluer au moins une fois tous les deux ans les risques liés à la sécurité des informations de tout Sous-traitant ou Sous-traitant ultérieur du fournisseur ayant accès à des Informations confidentielles d'Uber. Ces Sous-traitants/Sous-traitants ultérieurs doivent effectuer des contrôles de sécurité des informations au moins aussi protecteurs pour les Informations confidentielles d'Uber que ceux définis dans les exigences du présent Contrat. Uber peut demander une copie de l'évaluation des risques effectuée par le Fournisseur concernant tout Sous-traitant ultérieur et refuser le consentement à ce Sous-traitant ultérieur si l'évaluation révèle que le Sous-traitant ultérieur ne dispose pas de contrôles de sécurité suffisants pour protéger les Informations confidentielles d'Uber.
   6. Un programme de sensibilisation à la sécurité pour les collaborateurs du Fournisseur, qui comprend une formation régulière sur des sujets de sécurité des informations tels que la manipulation sécurisée des données, la protection des mots de passe et des identifiants, l'ingénierie sociale, et la façon d'identifier et de signaler les incidents de sécurité potentiels.
   7. Un programme continu de gestion des vulnérabilités utilisant un processus standard d'évaluation des risques pour donner la priorité à la correction des vulnérabilités découvertes. Si une vulnérabilité susceptible d'avoir une incidence sur la confidentialité, la disponibilité ou l'intégrité des Informations confidentielles d'Uber est détectée, le Fournisseur fournira sur demande des preuves suffisantes pour démontrer que la vulnérabilité a été corrigée et pour permettre à Uber de déterminer si un Incident lié à la sécurité des données s'est produit.
   8. Un programme de gestion des ressources sécurisé qui met en application une référence de sécurité conforme aux normes du secteur, y compris pour la classification des ressources et l'inventaire des appareils/systèmes sur lesquels les informations confidentielles d'Uber sont traitées.
   9. Des processus formels et écrits pour détecter, identifier, signaler, réagir, atténuer et remédier aux problèmes de sécurité des données dans les délais impartis, qui doivent inclure des processus permettant au personnel du Fournisseur, y compris aux administrateurs système, de signaler des événements anormaux à l'équipe de gestion des incidents et au Fournisseur d'informer les personnes et entités, organismes de réglementation et autres membres du secteur public affectés lorsque cela était nécessaire ou requis.
   10. Les simulations d'incident, telles que les simulations sur table ou en équipe rouge, qui sont planifiées et effectuées de manière régulière.
   11. Un programme établi pour les tests d'intrusion qui inclut une gamme complète d'agressions combinées, telles que des attaques basées sur le client et des applications Web.
   12. Un programme de gouvernance et de gestion des risques pour les services cloud afin de mettre en place des configurations et des protections de sécurité de base.
   13. Des pratiques de cryptage sécurisées adaptées au langage de programmation utilisé et qui fournissent à tout le personnel une formation sur la rédaction de codes sécurisés.
   14. Une politique d'accès aux données d'une agence gouvernementale qui refuse l'accès des gouvernements aux données, sauf lorsqu'un tel accès est requis par la loi, ou lorsqu'il existe un risque imminent de préjudice grave pour des personnes.
   15. Politiques et procédures relatives à l'évaluation du fondement juridique des demandes de données des agences gouvernementales et à leur traitement.
   16. Formation spécifique du personnel responsable de la gestion des demandes d'accès aux données des agences gouvernementales, qui peut inclure des exigences en vertu des Lois en matière de protection des données applicables.
   17. Processus visant à documenter et à enregistrer les demandes de données des agences gouvernementales, les réponses fournies et les autorités gouvernementales concernées.
   18. Procédures visant à informer Uber de toute demande ou exigence d'accès aux données pour une agence gouvernementale, sauf si la loi l'interdit.
2. Mesures de sécurité physiques
   1. Le Fournisseur a mis en place, maintiendra et mettra à jour, au besoin, tout au long du Traitement des Informations confidentielles d'Uber, des mesures de sécurité physique appropriées pour les locaux utilisés pour le Traitement des Informations confidentielles d'Uber et surveillera en permanence toute modification de l'équipement physique, des activités et des menaces connues.
3. Mesures de sécurité techniques : Le Fournisseur doit, tout au long du Traitement des Informations confidentielles d'Uber :
   1. effectuer des analyses et des évaluations de la vulnérabilité des applications et de l'équipement utilisés pour traiter les informations confidentielles d'Uber.
   2. sécuriser ses réseaux informatiques à l'aide de plusieurs niveaux de contrôle d'accès, y compris l'authentification multifacteur, pour se prémunir contre les accès non autorisés.
   3. restreindre l'accès via des systèmes tels que des approbations de la direction, des contrôles fiables, des connexions, des contrôles d'accès et des vérifications ultérieures.
   4. mettre en place et tenir à jour sur tous les systèmes qui traitent les Informations confidentielles d'Uber des journaux d'événements suffisamment détaillés pour permettre au Fournisseur de déterminer si un Incident lié à la sécurité des données s'est produit et les conséquences probables de cet Incident, y compris, mais sans s'y limiter, si des Informations confidentielles d'Uber ont été consultées, acquises, modifiées ou supprimées. Ces registres d'événements doivent être conservés pendant au moins treize (13) mois et mis à la disposition d'Uber sur demande dans un délai de sept (7) jours calendaires. Si les journaux contiennent des informations sur des événements liés à d'autres entités ou clients, le Fournisseur doit être en mesure de dissocier les données du journal des événements Uber sur demande.
   5. identifier les autres systèmes et les applications informatiques qui garantissent un contrôle et une connexion sécurisés, puis conserver raisonnablement les journaux correspondants.
   6. examiner et analyser les journaux d'événements à l'aide de processus continus et automatisés de surveillance et d'alertes pour détecter les événements et activités anormales, les traiter et y répondre.
   7. utiliser un logiciel commercial de détection des virus/programmes malveillants à jour et conforme aux normes du secteur qui identifie les codes malveillants sur tous ses Systèmes de traitement des Informations confidentielles d'Uber.
   8. mettre en place des mesures de protection aux limites du réseau et entre réseaux.
   9. chiffrer les informations confidentielles d'Uber en transit.
   10. chiffrer les Informations confidentielles d'Uber au repos, gérer et sécuriser exclusivement toutes les clés de cryptage (en d'autres termes, aucun tiers n'a accès à ces clés de cryptage, y compris les Sous-traitants ou les Sous-traitants ultérieurs).

ANNEXE 2
Transferts transfrontaliers

Sauf convention contraire entre les parties, la présente Annexe 2 définit les mécanismes que les Parties utiliseront pour permettre les transferts transfrontaliers de Données personnelles lorsque la Loi en matière de protection des données l'exige. Plus précisément, dans la mesure où les Services requièrent le transfert de Données personnelles des Personnes concernées par Uber dans les pays suivants, et si les Parties conviennent de ce qui suit :

1. EEE ou Suisse. Si les services du Fournisseur impliquent le transfert des Données personnelles de Personnes concernées par Uber au sein de l'EEE ou en Suisse vers un pays ou un territoire situé en dehors de ces régions qui n'a pas été reconnu par la Commission européenne comme offrant un niveau de protection des données adéquat, les Parties intégreront dans le présent Contrat et accepteront de se conformer aux clauses contractuelles types du 4 juin 2021 (les « CCT ») approuvées par la Commission européenne, sauf accord contraire entre les parties dans le présent Contrat. Si les CCT sont ainsi constituées :
   1. le module 1 (de responsable du traitement à responsable du traitement) s'applique si le Fournisseur est désigné en tant que responsable du traitement ;
   2. le module 2 (de responsable du traitement à sous-traitant) s'applique si le fournisseur est désigné en tant que sous-traitant ;
   3. la clause facultative d'amarrage (clause 7) ne s'applique pas ;
   4. la langue facultative contenue dans la Clause 11 (Recours) ne s'applique pas ;
   5. aux fins de la Clause 17 (Législation applicable), la loi applicable est celle des Pays-Bas ;
   6. les tribunaux en vertu de la Clause 18 (Choix de l'instance et de la juridiction) sont les tribunaux des Pays-Bas, sauf convention contraire entre les parties dans le Contrat principal ; et
   7. l'autorité de contrôle compétente aux fins de la Clause 13 (Contrôle) des CCT est l'Autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens), sauf convention contraire entre les parties dans le Contrat principal.
   8. Les Parties déclarent ne pas penser que les lois et pratiques des pays auxquels les Données personnelles d'Uber sont transférées aux fins du Contrat principal empêcheront le Fournisseur de remplir ses obligations au titre des CCT.
   9. Au lieu de l'Annexe 1 des CCT, les Parties conviennent de ce qui suit :
      1. L'identité et les coordonnées d'Uber, en tant qu'exportateur de données, et du Fournisseur, en tant qu'importateur de données, sont spécifiées dans le Contrat principal et le présent Contrat.
         
      2. La nature et la ou les finalités du traitement concernent les Services ou sont autrement spécifiées dans le Contrat principal ou le présent Contrat.
      3. Les Données personnelles Uber transférées seront conservées par le Fournisseur comme indiqué dans le Contrat principal ou le présent Contrat.
      4. Les catégories de Personnes concernées et de Données personnelles Uber transférées sont celles indiquées dans l'Évaluation des risques effectuée avant le Traitement des Données personnelles Uber.
      5. Au lieu de l'Annexe 2 des CCT, les Parties conviennent de se conformer à l'Annexe 1 du présent Contrat.
      6. Au lieu de l'Annexe 3 des CCT (le cas échéant), les Parties conviennent que les Sous-traitants ultérieurs autorisés des Données personnelles d'Uber sont ceux identifiés dans l'Évaluation des risques effectuée avant le Traitement des Données personnelles d'Uber, ou comme indiqué dans le présent Contrat ou le Contrat principal.
2. Royaume-Uni : Si les services du Fournisseur impliquent le transfert des Données personnelles de Personnes concernées par Uber au Royaume-Uni vers une juridiction non reconnue comme offrant un niveau de protection des données adéquat, les CCT s'appliquent sous réserve des conditions de l'« Avenant relatif au Royaume-Uni aux clauses contractuelles types de l'UE » émis par le bureau du responsable de l'information en vertu de l'article 119A de la loi sur la protection des données du Royaume-Uni de 2018 (« Avenant relatif au Royaume-Uni »). Cet Avenant relatif au Royaume-Uni est réputé signé entre le Fournisseur et Uber, sous réserve de l'article 3.5(b) du présent Contrat, selon le cas.
3. Brésil : Si le Traitement de Données personnelles par le Fournisseur implique le transfert transfrontalier de Données personnelles Uber de Personnes concernées au Brésil, que ce soit entre les Parties ou à des tiers, le Fournisseur veille au respect de toutes les Lois applicables en matière de protection des données, y compris en adoptant des dispositions juridiques appropriées, telles que des Clauses contractuelles types ou d'autres documents légalement requis, et doit veiller à ce que le Traitement fournisse, au minimum, le même niveau de protection et de garanties pour les Données personnelles que celui indiqué dans le présent Contrat.
   1. Transferts transfrontaliers entre les Parties de Données personnelles des Personnes concernées d'Uber au Brésil. Si le Traitement de Données personnelles implique le transfert transfrontalier entre les Parties de Données personnelles Uber de Personnes concernées au Brésil vers un pays ou un territoire qui n'a pas été reconnu par l'autorité compétente comme offrant un niveau de protection des données adéquat, les Parties intègrent par les présentes, comme si elles y étaient intégralement reproduites, et s'engagent à respecter les Clauses contractuelles types du Brésil contenues dans l'Annexe II de la Résolution n° 19 de 2024 émise par l'Autorité de protection des données du Brésil (« CCT du Brésil »), disponibles sur : Clauses contractuelles types du Brésil. Dans ces cas :
      1. Aux fins de tout transfert transfrontalier de Données personnelles, Uber ou l'une de ses Sociétés affiliées est considéré comme l'Agent de traitement des données.
      2. Les tableaux d'informations figurant à la clause 1.1 des CCT du Brésil seront remplacés par les critères d'admissibilité et les coordonnées d'Uber et du Fournisseur, comme indiqué dans le Contrat principal, le présent Contrat et la Déclaration de confidentialité de chaque Partie.
      3. Aux fins des cases à cocher énoncées dans la clause 1.1 des CCT du Brésil concernant les rôles des Parties, la case « Exportateur/Responsable du traitement » est considérée comme sélectionnée pour Uber. Pour le Fournisseur, la case « Importateur » correspondant à la classification du Fournisseur selon la Clause 3.1 du présent Contrat (« Rôle des Parties ») ou celle stipulée dans le Contrat principal est considérée comme sélectionnée.
      4. Les Parties conviennent que : (i) le transfert transfrontalier de Données personnelles Uber a pour objet principal l'exécution des services spécifiés dans le Contrat principal ou le présent Contrat ; (ii) les Données personnelles d'Uber transférées seront conservées comme indiqué dans le Contrat principal ou dans le présent Contrat, conformément à la Loi en matière de protection des données applicable et à la Déclaration de confidentialité de chaque Partie ; et (iii) les catégories de Personnes concernées et les Données personnelles Uber correspondantes transférées sont celles indiquées dans l'Évaluation des risques effectuée avant le Traitement desdites Données personnelles. Ces informations remplacent le tableau de description du transfert de données contenu dans la clause 2.1 des CCT du Brésil.
      5. Aux fins de la clause 3.1 des CCT du Brésil, qui traite des Transferts ultérieurs, les Parties conviennent que l'option A s'applique dans les cas où les deux Parties agissent en tant que Responsables du traitement. Si le Fournisseur agit en tant que Sous-traitant, l'option B s'applique et le tableau de description à la Clause 3.1 est remplacé par l'Évaluation des risques effectuée avant le Traitement des Données personnelles d'Uber par le Fournisseur ou comme indiqué dans le Contrat principal.
      6. Aux fins de la clause 4.1 des CCT du Brésil, qui traite des responsabilités des Parties, les Parties conviennent que l'option A s'applique et que l'Exportateur et l'Importateur sont tenus de remplir les obligations énoncées aux alinéas « a », « b ». et « c », dans le cas où les deux Parties agissent en tant que Responsables du traitement. Lorsque le Fournisseur agit en tant que Sous-traitant, ces obligations relèvent de la seule responsabilité d'Uber.
      7. Le tableau figurant à la Section III des CCT du Brésil est remplacé par l'Annexe 1 du présent Contrat.
   2. Arabie saoudite. Si le Traitement des Données personnelles par le Fournisseur implique le transfert de Données personnelles Uber de Personnes concernées par Uber en Arabie saoudite vers un pays ou un territoire qui n'a pas été reconnu par l'autorité compétente comme offrant un niveau de protection des données adéquat, les Parties intègrent et acceptent par les présentes de respecter les Clauses contractuelles types pour le transfert de Données personnelles, version 1.0 de septembre 2024 (« CCT RAS ») approuvées par l'Autorité saoudienne des données et de l'IA (SDAIA), sauf convention contraire entre les parties dans le présent Contrat. Si les CCT sont ainsi constituées :
      1. Modèle 1 : (de responsable du traitement à responsable du traitement) s'applique si le Fournisseur est désigné en tant que Responsable du traitement ;
      2. Modèle 2 : (de responsable du traitement à sous-traitant) s'applique si le Fournisseur est désigné en tant que Sous-traitant ;
      3. Aux fins de la Clause 8 (Législation et juridiction applicables), la loi applicable est celle loi du Royaume d'Arabie saoudite. Tout litige résultant de l'application des dispositions des présentes Clauses relève de la juridiction du Royaume et de ses tribunaux ;
      4. L'autorité compétente aux fins de la Clause 9 (Conformité aux demandes de l'Autorité compétente) est l'Autorité saoudienne des données et de l'IA (SDAIA) ;
      5. Les Parties déclarent ne pas penser que les lois et pratiques de tout pays auquel les Données personnelles d'Uber sont transférées aux fins du Contrat principal empêcheront le Fournisseur, « l'importateur de données personnelles », de respecter et de remplir ses obligations en vertu des CCT de l'Arabie saoudite ;
      6. Aux fins de l'Annexe 1, les informations des Parties sont indiquées dans le présent Contrat et dans le Contrat principal. Uber est désigné comme Exportateur de données personnelles et Responsable du traitement des données personnelles des Personnes concernées d'Uber, tandis que le Fournisseur est désigné comme Importateur de données personnelles des Personnes concernées d'Uber, remplissant le rôle spécifié à la clause 3.1 « Rôle des Parties » du présent Contrat ;
      7. Aux fins de l'Annexe 2, les Parties conviennent que :
         1. Les catégories de Personnes concernées et de Données personnelles Uber transférées sont celles indiquées dans l'Évaluation des risques effectuée avant le Traitement des Données personnelles Uber.
         2. Le ou les objectifs du transfert concernent les Services ou sont autrement spécifiés dans le Contrat principal ou le présent Contrat.
         3. Les Données personnelles Uber transférées seront conservées par le Fournisseur comme indiqué dans le Contrat principal ou le présent Contrat.
         4. Au lieu de l'Annexe 3 des CCT du Royaume d'Arabie saoudite, les Parties conviennent de se conformer à l'Annexe 1 du présent Contrat.

1. Référez-vous à la Déclaration de confidentialité d'Uber pour déterminer quels sont les responsables du traitement des Informations confidentielles d'Uber dans votre région. Lorsqu'une entité autre que le responsable du traitement désigné conclut le présent Contrat au nom d'Uber, elle est autorisée à le faire par le ou les responsables du traitement concernés. Uber se réserve le droit de désigner une autre société affiliée d'Uber comme Responsable du traitement des données aux fins du présent Contrat. ↑