Addendum sur le traitement des données

Le présent addendum relatif au traitement des données – y compris les clauses contractuelles types, le cas échéant – mentionné ici (« ATD ») modifie et complète tout contrat de service existant et actuellement en vigueur (le « Contrat »), conclu antérieurement ou simultanément entre vous (ainsi que votre/vos filiale(s) et vos entités affiliées, collectivement, le « Client ») et CoStar Realty Information, Inc. (ainsi que sa/ses filiale(s) et ses entités affiliées, collectivement « CoStar ») et établit d’autres conditions qui s’appliquent dans la mesure où toute information que vous fournissez à CoStar en vertu du Contrat comprend des Données personnelles du Client (telles qu'elles sont définies ci-dessous). Chaque Sous-traitant et Client peut être désigné ci-après comme une « Partie », et collectivement comme les « Parties ».

1. Définitions et interprétation

1.1 Dans le présent ATD, sauf si le contexte exige une interprétation différente :

“Données personnelles du Client” désigne toutes les données personnelles traitées par CoStar au nom du Client dans le cadre ou en relation avec le présent ATD.

“Lois sur la protection des données” désigne toutes les lois et réglementations relatives à la confidentialité ou à l’utilisation ou au traitement des données relatives aux personnes physiques, notamment : (a) la Loi californienne de 2018 sur la protection de la vie privée des consommateurs (California Consumer Privacy Act). Code civil de la Californie, paragraphes 1798.100 et suivants, tel qu'il a été modifié par la Loi californienne sur les droits à la vie privée de 2020 (« CCPA »); (b) le Règlement général sur la protection des données (UE, 2016/679), la Loi sur la protection des données de 2018 (« DPA 2018 »), le RGPD britannique, tel qu'il est défini à l’article 3(10) (et tel qu'il a été complété par l’article 205[4]) de la DPA 2018, le Règlement sur la vie privée et les communications électroniques (directive CE) de 2003; (c) toute loi ou tout règlement qui ratifie, met en application, adopte, complète ou remplace ce qui précède; et (d) toute directive ou tout code de conduite publiés par un organisme ou une autorité gouvernementale ou réglementaire concernant la conformité avec ce qui précède; dans chaque cas, dans la mesure où ils sont en vigueur, et tels qu’ils sont mis à jour, modifiés ou remplacés périodiquement.

“Responsable du traitement des données ”: une personne ou une entité qui, seule ou conjointement avec d’autres, détermine la/les finalité(s) et les moyens du traitement des données personnelles. Ce terme a la même signification que les termes « responsable » ou « entreprise », le cas échéant, dans le cadre des Lois sur la protection des données.

“Sous-traitant des données” : une personne ou une entité qui traite des données personnelles au nom d’un responsable du traitement. Ce terme a la même signification que les termes « sous-traitant » ou « prestataire de services », le cas échéant, dans le cadre des Lois sur la protection des données.

“Régulateur de la PD ” désigne tout organisme ou autorité gouvernemental ou réglementaire chargé de contrôler ou de faire appliquer la conformité aux Lois sur la protection des données.

“Clauses contractuelles types” désigne les clauses contractuelles types énoncées dans la décision d’exécution 2021/914 de la Commission européenne du 4 juin 2021 pour le transfert de Données personnelles à des sous-traitants établis dans des pays tiers.

“Personne concernée ” a la même signification que celle donnée à ce terme ou à « client », le cas échéant, dans le cadre des Lois sur la protection des données.

“Données personnelles” a la même signification que celle donnée à ce terme ou aux « informations personnelles », le cas échéant, dans le cadre des Lois sur la protection des données.

“Traitement” a la même signification que celle donnée à ce terme ou à « traiter », le cas échéant, dans le cadre des Lois sur la protection des données.

2. Application

2.1  Les termes du présent ATD ne s’appliqueront que dans la mesure où les Lois sur la protection des données s’appliquent au traitement des Données personnelles du Client, notamment si :

(a) le traitement est effectué dans le cadre des activités d’un établissement du Client dans l’Espace économique européen;

(b) les Données personnelles du Client sont des données personnelles relatives aux Personnes concernées qui se trouvent dans l’Espace économique européen, et le traitement est lié à l’offre de biens ou de services ou au suivi de leur comportement dans l’Espace économique européen; ou

(c) les Données personnelles du Client sont des données personnelles relatives à des personnes concernées qui résident dans certains États des États-Unis dotés de Lois sur la protection des données.

2.2  Si les Lois sur la protection des données l’exigent et que CoStar traite les Données personnelles du Client comme décrit au point 1.1(a) ou (b), CoStar devra :

(a) sous réserve de l’article 1.2(b) ci-dessous, ne pas transférer, accéder ou traiter ces Données personnelles en dehors du Royaume-Uni ou de l’Espace économique européen sans le consentement écrit préalable du Client conformément à (et, si le Client y consent, prendre les mesures requises par le Client pour s’assurer que le transfert, l’accès ou le traitement concerné sont conformes aux Lois sur la protection des données, y compris la conclusion de Clauses contractuelles types). Si les Clauses contractuelles types sont conclues entre le Client et CoStar, elles sont réputées être rédigées comme indiqué dans l’Annexe 2 du présent ATD.

(b) À moins que le transfert des Données personnelles ne soit fondé sur une « décision sur le caractère adéquat », il est autrement « soumis à des garanties appropriées », ou si une « dérogation pour des situations spécifiques » s’applique – chacune dans le sens qui leur est donné aux articles 45, 46 et 49 du RGPD, respectivement – CoStar ne transférera pas, n’accédera pas ou ne traitera pas ces Données personnelles en dehors de l’Espace économique européen sans le consentement écrit préalable du Client (qui ne doit pas être refusé ou retardé de manière déraisonnable).

2.3 En cas d’incompatibilité entre le présent ATD et le Contrat, les termes du présent ATD prévalent.

2.4 Sauf modification expresse des présentes, tous les termes de l’Accord restent pleinement en vigueur.

3. Traitement des données

3.1 Dans le cadre de l’exécution de ses obligations en vertu du présent ATD, chaque Partie doit se conformer aux dispositions des Lois sur la protection des données et de toute législation ou réglementation équivalente dans toute juridiction concernée.

3.2 Chaque Partie doit tenir des registres de toutes les opérations de traitement sous sa responsabilité, qui contiennent au moins les informations minimales requises par les Lois sur la protection des données, et doit mettre ces informations à la disposition de tout Régulateur de la PD sur demande.

3.3 L’Annexe 1 présente des informations supplémentaires sur le traitement des Données personnelles qui peut être effectué par CoStar dans le cadre du présent ATD, y compris en ce qui concerne les types de Données personnelles, les catégories de Personnes concernées, et la nature et les objectifs du traitement, qui consistent généralement à fournir des informations sur l’immobilier commercial et CoStar. Ce traitement sera réalisé pendant toute la durée du présent ATD et jusqu’à la suppression de toutes les Données personnelles du Client par CoStar, telles qu'elles ont été décrites dans le présent ATD.

3.4 Dans la mesure où CoStar reçoit du Client ou traite des Données personnelles au nom du Client, et à moins qu’il n’en soit autrement permis ou exigé par les Lois sur la protection des données, CoStar doit :

  1. traiter ces Données personnelles uniquement conformément aux instructions écrites du Client périodiquement (y compris celles énoncées dans le présent ATD);
  2. veiller à ce que tout le personnel ayant accès aux Données personnelles soit soumis à des obligations contraignantes de confidentialité lors du traitement de ces Données personnelles;
  3. mettre en œuvre et maintenir des mesures et procédures techniques et organisationnelles pour garantir un niveau de sécurité approprié de ces Données personnelles, y compris la protection de ces Données personnelles contre les risques de destruction, de perte, d’altération, de divulgation, de diffusion ou d’accès accidentels, illégaux ou non autorisés, y compris les mesures techniques et organisationnelles énoncées à l’Annexe 3 du présent ATD;
  4. (d)informer le Client si elle détermine que ces Données personnelles sont sujettes (pendant qu’elles sont en possession ou sous le contrôle de CoStar ou de ses sous-traitants) à une violation de données personnelles (telle qu'elle est définie par les Lois sur la protection des données) ;
  5. sauf en cas de demande écrite du Client ou dans les cas expressément prévus dans le présent ATD, ne pas utiliser ou divulguer de Données personnelles en dehors de la relation commerciale directe avec le Client, ou à toute Personne concernée ou à tout tiers, ni utiliser les Données personnelles à des fins commerciales propres à CoStar;
  6. à la demande du Client, renvoyer ou supprimer toutes les Données personnelles à la résiliation ou à l’expiration du présent ATD et ne plus faire usage de ces Données personnelles;
  7. fournir au Client et à tout Régulateur de la PD (aux frais du Client) toutes les informations et l’assistance nécessaires pour démontrer ou assurer la conformité avec les obligations de la présente clause 2 et/ou des Lois sur la protection des données;
  8. permettre au Client ou à ses représentants (aux frais du Client) d’accéder, moyennant un préavis raisonnable, à tous les locaux, au personnel ou aux registres pertinents de CoStar afin d’auditer et de vérifier le respect du présent ATD et/ou des Lois sur la protection des données;
  9. permettre au Client ou à ses représentants (aux frais du Client) de prendre, moyennant un préavis raisonnable, des mesures raisonnables et appropriées pour mettre fin à l’utilisation non autorisée et y remédier;
  10. prendre les mesures raisonnablement nécessaires pour fournir au Client (aux frais du Client) la preuve du respect par CoStar des Lois sur la protection des données;
  11. informer le Client si elle reçoit une demande d’une Personne concernée visant à faire valoir ses droits en vertu des Lois sur la protection des données concernant les Données personnelles de cette personne;
  12. ne pas « vendre » ou « partager » les Données personnelles telles que ces termes sont définis par la CCPA;
  13. fournir au Client (aux frais du Client) sa coopération et son assistance raisonnables dans le cadre de toute demande faite par une Personne concernée pour exercer ses droits en vertu des Lois sur la protection des données concernant les Données personnelles de cette personne;
  14. informer le Client si elle détermine qu’elle n’est pas en mesure de respecter ses obligations en vertu des Lois sur la protection des données; et
  15. se conformer à ses obligations en vigueur en vertu des Lois sur la protection des données.

3.5 Si l’une des Parties reçoit une plainte, un avis ou une communication se rapportant directement ou indirectement au traitement des Données personnelles par l’autre Partie, ou au respect par l’une des Parties des Lois sur la protection des données, elle doit rapidement informer l’autre Partie et fournir à celle-ci une coopération et une assistance raisonnables au regard de cette plainte, cet avis ou cette communication.

3.6 Le Client reconnaît que CoStar dépend uniquement du Client pour définir dans quelle mesure CoStar a le droit d’utiliser et de traiter les Données personnelles. Par conséquent, CoStar sera en droit de décliner sa responsabilité dans les circonstances où une Personne concernée fait une réclamation ou dépose une plainte concernant les actions de CoStar dans la mesure où ces actions résultent (a) d’instructions reçues du Client ou (b) d’une violation par le Client de ses obligations en vertu de la présente Clause 2.

3.7 CoStar peut sous-traiter le traitement des Données personnelles qu’elle réalise au nom du Client. CoStar doit s’assurer que ces sous-traitants concluent un contrat écrit avec CoStar, qui contient des obligations de protection des Données personnelles n’étant pas moins contraignantes que celles énoncées dans le présent ATD, et qui exige le respect des Lois sur la protection des données, selon le cas.

3.8 CoStar mettra à la disposition du Client, sur demande, une liste à jour des sous-traitants auxquels CoStar fait appel pour effectuer le traitement des Données personnelles au nom du Client en vertu du présent ATD. En concluant le présent ATD, le Client est réputé avoir approuvé le recours aux sous-traitants actuels de CoStar à la date du présent ATD (« Sous-traitants actuels »).

3.9 Le Client accorde à CoStar une autorisation générale pour nommer ses affiliés en tant que sous-traitants secondaires, et une autorisation spécifique à CoStar et à ses affiliés de nommer en tant que sous-traitants secondaires des tiers qui fournissent des garanties technologiques et organisationnelles raisonnables pour protéger les Données personnelles. Vous pouvez à tout moment nous envoyer un courriel à l'adresse CoStarUKPrivacy1@costar.co.uk pour demander la liste de nos sous-traitants secondaires.

4. Général

4.1 La responsabilité de chaque Partie découlant du présent ATD ou s’y rapportant, que ce soit dans le cadre d’un contrat, d’un délit ou de toute autre théorie de la responsabilité, est soumise aux limitations de responsabilité contenues dans le Contrat. Pour éviter toute ambiguïté, toute référence à « l’ATD » dans ce document désigne le présent ATD, y compris ses appendices et annexes.

4.2 Le présent ATD et tous les litiges ou réclamations découlant de celui-ci ou de son objet ou de sa formation (y compris les litiges ou réclamations non contractuels) sont régis par la législation de l’État indiqué dans le Contrat. Les Parties conviennent irrévocablement que tout litige découlant de l’ATD, de son objet ou de sa formation (y compris les litiges ou réclamations non contractuels) sera soumis à la juridiction indiquée dans le Contrat.

4.3 Le présent ATD peut être exécuté en un nombre quelconque d’exemplaires, chacun d’entre eux constituant un original et tous attestant du même accord entre les Parties.

4.4 Aucun manquement de la part d’une Partie dans l’exercice d’un droit, d’un pouvoir ou d’un privilège en vertu des présentes ne constituera une renonciation ou un abandon par cette Partie de ce droit, de ce pouvoir ou de ce privilège, et aucun exercice unique ou partiel de celui-ci n’empêchera tout exercice ultérieur de ce droit, de ce pouvoir ou de ce privilège. 3.5 Le présent ATD et les documents auxquels il fait référence constituent l’intégralité de l’accord et de l’entente entre les Parties en ce qui concerne les questions qui y sont traitées. Chacune des Parties reconnaît et accepte qu’en concluant le présent accord de modification, elle ne se fonde pas sur les déclarations, les représentations, les garanties ou les accords (qu’ils aient été faits par négligence ou innocemment) de toute personne (qu’elle soit ou non Partie à un Contrat) autres que ceux expressément énoncés dans le présent document, et n’aura aucun recours à cet égard.

4.5 Le présent ATD et les documents auxquels il fait référence constituent l’intégralité de l’accord et de l’entente entre les Parties en ce qui concerne les questions qui y sont traitées. Chacune des Parties reconnaît et accepte qu’en concluant le présent accord de modification, elle ne se fonde pas sur les déclarations, les représentations, les garanties ou les accords (qu’ils aient été faits par négligence ou innocemment) de toute personne (qu’elle soit ou non Partie à un Contrat) autres que ceux expressément énoncés dans le présent document, et n’aura aucun recours à cet égard.

Annexe 1 : Détails du traitement

 

Catégories de personnes concernées dont les données personnelles sont traitées et/ou transféréesLes abonnés individuels de la plateforme de CoStar, ainsi que les personnes dont les données personnelles sont ajoutées par les abonnés à leur section de la base de données CoStar.
Catégories de données personnelles traitées et/ou transféréesCatégories de données personnelles traitées et/ou transférées adresse électronique, prénom et nom de famille
Données sensibles traitées et/ou transférées (le cas échéant) et restrictions ou garanties appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, comme par exemple une stricte limitation de laAucune.
suivi une formation spécialisée),
la tenue d’un registre d’accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.
Aucune.
Fréquence du traitement et/ou
du transfert (p. ex., si les données sont transférées de manière ponctuelle ou continue).
Périodiquement, lorsque le Client (i) fait une présentation et/ou une recommandation, et/ou (ii) utilise les outils du Gestionnaire immobilier.
Nature du traitementCollecte d’informations personnelles afin de fournir les services convenus aux clients. Le traitement peut comprendre, sans s’y limiter : la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l’alignement ou la combinaison, la restriction, l’effacement ou la destruction.
Finalité(s) du transfert et du traitement ultérieur des donnéesPermettre la prestation des services prévus dans votre Contrat avec CoStar.
Période pendant laquelle les données personnelles seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer cette périodeLes données seront conservées pendant la durée de votre Contrat avec CoStar et conformément à ses dispositions de résiliation.
Dans le cas d’un traitement ou d'un transfert par des sous-traitants (secondaires), précisez également l’objet, la nature et la durée du traitement.s/o

 

Annexe 2 : Informations à inclure dans les Clauses contractuelles types

Dans la mesure où les Clauses contractuelles types sont conclues entre le Client et CoStar en vertu de la clause 1.2 du présent ATD, elles sont réputées être remplies comme suit :

Nom de l’organisation exportatrice :CoStar Realty Information Inc et ses sociétés affiliées, le cas échéant, y compris CoStar UK Limited
Adresse :1331 L Street, NW Washington, DC 20005, États-Unis
Nom, fonction et coordonnées de l'interlocuteur :Responsable européen des affaires juridiques, 26th Floor, The Shard, 32 London Bridge Street, Londres, SE1 9SG, Royaume-Uni, costarukprivacy1@costar.com

 

En outre, les Clauses contractuelles types sont réputées être remplies comme suit :

 

  1. Le module 2 s’applique;
  2. Dans la clause 17, l’option 1 s’appliquera et les Clauses contractuelles types de l’UE seront régies par la législation de [l’Allemagne]
  3. Dans la clause 18(b), l’annexe I des Clauses contractuelles types de l’UE est réputée complétée avec les informations figurant à l’Annexe 1 du présent ATD. Le module 2 s’applique;

En ce qui concerne les Données personnelles protégées par le RGPD britannique, les Clauses contractuelles types du Royaume-Uni s’appliqueront complétées comme suit :

 

(i) L’Addendum du Royaume-Uni aux Clauses contractuelles types de l’UE publié par le Bureau du Commissaire à l’information sous la section 119A(1) de la Loi britannique sur la protection des données de 2018 sera réputé exécuté entre le Client et CoStar, et les Clauses contractuelles types de l’UE seront réputées modifiées comme spécifié par l’Addendum du Royaume-Uni en ce qui concerne le transfert de ces Données personnelles du Royaume-Uni.

Annexe 3 : Mesures techniques et organisationnelles

  • Logiciels, tels que des antivirus et les anti-maliciels, des outils de détection des menaces pour détecter et corriger les failles techniques.
  • Cryptage et pseudonymisation.
  • Sécurité physique, telle que des caméras de vidéosurveillance.
  • Mots de passe et AMF (authentification multifactorielle).
  • Politiques de sécurité de l’information régissant la démarche de protection des données et de conformité avec le RGPD.
  • Programmes de continuité des activités, qui expliquent les mesures que l’organisation prendra en réponse à tout incident relatif à la sécurité de l’information.
  • Évaluations des risques pour identifier les menaces à la sécurité de l’information et déterminer les contrôles appropriés.
  • Formation de sensibilisation du personnel.
  • Examens et des audits pour évaluer l’efficacité des mesures qui ont été mises en œuvre, et pour identifier les possibilités d’amélioration.

Dernière révision le 07 janvier 2023

Contactez-nous

+1 888 226 74 04