1. Introduction

Le présent Avenant sur la protection des données (l'« Avenant ») est conclu entre Portant PTY LTD., société de Nouvelle-Galles du Sud, Australie (« Portant »), et le Client, à compter de la date à laquelle le Client s'est dûment inscrit pour utiliser les services fournis par Portant. Le présent Avenant régit le traitement des Données personnelles du Client par Portant conformément à l'accord conclu entre Portant et le Client concernant la fourniture des services de Portant (les « Conditions générales »).

2. Terminologie

Dans le contexte de la présente Annexe, les définitions ci-dessous s'appliquent. Tout terme en majuscule utilisé sans être défini dans le présent document aura la signification qui lui est attribuée dans les Conditions générales.
2.1. « Entité associée » désigne toute entité exerçant un contrôle direct ou indirect sur l'entité concernée, contrôlée par celle-ci, ou placée sous contrôle commun avec elle, le terme « contrôle » signifiant le pouvoir de guider ou d'influencer la gestion de l'entité concernée, que ce soit par la détention d'actions avec droit de vote, par contrat ou autrement.
2.2. « CCPA » désigne le California Consumer Privacy Act de 2018, tel que modifié.
2.3. « Données personnelles du Client » englobe toutes les Données du Client (telles que définies dans les Conditions générales) qui constituent des Données personnelles. Dans le cadre du présent Avenant, les Données personnelles du Client excluent les informations personnelles des employés ou représentants du Client engagés dans des interactions commerciales directes avec Portant.
2.4. « Législation sur la confidentialité » comprend, pour chaque partie, l'ensemble des lois et réglementations applicables en matière de confidentialité, de protection des données et de sécurité de l'information régissant le traitement des Données personnelles par la partie, y compris la Législation européenne sur la confidentialité et le CCPA, selon le cas.
2.5. « Personne concernée » désigne la personne physique identifiée ou identifiable à laquelle se rapportent les Données personnelles.
2.6. « Législation européenne sur la confidentialité » désigne le Règlement 2016/679 de l'Union européenne (« RGPD »), ainsi que toute loi nationale mettant en œuvre le RGPD, tel que modifié.
2.7. « Traitement » désigne toute opération ou ensemble d'opérations effectuées sur des Données personnelles ou sur des ensembles de Données personnelles, avec ou sans moyens automatisés, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation, la récupération, la consultation, l'utilisation, la communication par transmission, la diffusion, le rapprochement, la combinaison, la limitation, l'effacement ou la destruction.
2.8. « Données personnelles » désigne les « données personnelles », les « informations personnelles », les « informations personnellement identifiables » ou toute information analogue telle que définie et régie par la Législation sur la confidentialité.
2.9. « Incident de sécurité » désigne une violation avérée, non autorisée ou illicite, de la sécurité entraînant la destruction accidentelle ou illicite, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé aux Données personnelles traitées par Portant. Les Incidents de sécurité n'englobent pas les tentatives infructueuses ou les activités ne compromettant pas la sécurité des Données personnelles, telles que les tentatives de connexion échouées, les pings, les analyses de ports, les attaques par déni de service ou autres attaques visant des pare-feux ou des systèmes en réseau.
2.10. « Sous-traitant » désigne tout tiers autorisé par Portant ou ses Entités associées à Traiter des Données personnelles du Client.
2.11. « Sous-traitant externe » désigne tout Sous-traitant n'étant pas affilié à Portant.
2.12 « EU, US Data Privacy Framework (DPF) » Cadre adopté par la Commission européenne permettant les transferts de données personnelles depuis l'UE vers des organisations certifiées aux États-Unis, en vigueur depuis le 10 juillet 2023.

3. Généralités et résiliation

3.1. La présente Annexe constitue une partie intégrante des Conditions générales. Sauf mention expresse dans la présente Annexe, les Conditions générales demeurent inchangées et pleinement applicables. En cas de divergence entre la présente Annexe et les Conditions générales, la présente Annexe prévaudra.
3.2. Toute responsabilité engagée au titre de la présente Annexe est soumise aux limitations de responsabilité stipulées dans les Conditions générales.
3.3. La gouvernance et l'interprétation de la présente Annexe seront alignées sur les dispositions relatives au droit applicable et à la juridiction compétente figurant dans les Conditions générales, sauf disposition contraire imposée par la Législation sur la confidentialité.
3.4. La présente Annexe prendra fin automatiquement à la résiliation ou à l'expiration des Conditions générales.

4. Champ d'application du présent Avenant

Le présent Avenant régit le Traitement des Données personnelles du Client par Portant dans le cadre des Conditions générales, étant précisé que l'Annexe A (Annexe UE) du présent document s'applique uniquement au Traitement des Données personnelles du Client régi par la Législation européenne sur la confidentialité, et que l'Annexe B (Annexe Californie) du présent document s'applique uniquement au Traitement des Données personnelles du Client régi par le CCPA.

5. Rôle et étendue du traitement

5.1. Portant ne traitera les Données du Client qu'en conformité avec les instructions du Client. En acceptant les Conditions générales, le Client donne instruction à Portant de Traiter les Données du Client aux fins de la fourniture des services et conformément à toute autre instruction écrite fournie par le Client et reconnue par écrit par Portant comme constituant des instructions aux fins de la présente Annexe. Le Client reconnaît et accepte que cette instruction autorise Portant à Traiter les Données du Client (a) afin de remplir ses obligations et d'exercer ses droits au titre des Conditions générales ; et (b) afin de se conformer aux obligations légales et d'établir, d'exercer ou de défendre des réclamations juridiques relatives aux Conditions générales.
5.2. Pour plus de clarté, aucune disposition de la présente Annexe ne limite le droit de Portant de transmettre des Données du Client vers et entre des Sources et Destinations, conformément aux instructions du Client via les services. Les deux parties conviennent que ni les Sources ni les Destinations ne sont des Sous-traitants de Portant, et qu'entre les parties, le Client est seul responsable du Traitement des Données personnelles du Client par les Sources et Destinations, ainsi que des autres actes et omissions de ces dernières ou des parties qui leur sont affiliées.

6. Sous-traitance

6.1. Le Client autorise expressément Portant à recourir à ses Entités associées en tant que Sous-traitants, et autorise généralement Portant à faire appel à des Sous-traitants externes pour le Traitement des Données personnelles du Client. Portant :
6.1.1. devra conclure un accord écrit avec chaque Sous-traitant, imposant des obligations en matière de protection des données substantiellement similaires à celles énoncées dans la présente Annexe ; et
6.1.2. demeure responsable du respect des obligations de la présente Annexe et de tout acte ou omission du Sous-traitant amenant Portant à manquer à l'une quelconque de ses obligations au titre de la présente Annexe.
6.2. Lors de l'engagement d'un nouveau Sous-traitant Externe, Portant notifiera le Client de cet engagement, ce qui pourra être communiqué par la mise à jour de la Page des Sous-traitants et par un message dans l'Espace de travail Portant du Client. Portant fournira un tel avis au moins dix (10) jours calendaires avant que le nouveau Sous-traitant ne traite des Données Personnelles du Client, sauf si Portant juge raisonnablement nécessaire l'engagement accéléré d'un nouveau Sous-traitant pour préserver la confidentialité, l'intégrité ou la disponibilité des Données Personnelles du Client, ou pour éviter une perturbation substantielle des services. Portant fournira un tel avis dès que possible dans ces situations. Si le Client notifie Portant par écrit de son opposition à la nomination d'un nouveau Sous-traitant Externe par Portant en raison de préoccupations légitimes en matière de protection des données dans les cinq (5) jours calendaires suivant cet avis, les deux parties discuteront à l'amiable de ces préoccupations et de leur résolution. Si un accord mutuel sur la résolution de ces préoccupations ne peut être atteint, le Client peut, à titre de recours unique et exclusif, résilier les Conditions Générales pour convenance.

7. Sécurité


7.1. Portant devra établir et maintenir des mesures de protection techniques et organisationnelles visant à protéger les Données Personnelles du Client contre les Incidents de Sécurité, tout en garantissant la confidentialité et la sécurité des Données Personnelles du Client, conformément aux normes de sécurité de Portant décrites sur lapage Confidentialité et Sécurité.
7.2. Le Client est chargé d'examiner les informations relatives à la sécurité des données fournies par Portant et de déterminer de manière indépendante si les Services correspondent aux exigences du Client et à ses obligations légales en vertu des Lois sur la Protection des Données. Le Client reconnaît que les Mesures de Sécurité peuvent être révisées périodiquement moyennant une notification raisonnable, afin d'assurer une amélioration continue ou de s'adapter aux pratiques en évolution, à condition que ces modifications ne diminuent pas substantiellement les obligations de Portant telles que définies à la Date d'Entrée en Vigueur.
7.3. Dès la confirmation d'un Incident de Sécurité, Portant en informera le Client dans les meilleurs délais, sauf restriction imposée par la loi applicable. Un retard de notification imposé par les autorités compétentes ou pour permettre les enquêtes ou actions correctives nécessaires de Portant ne sera pas considéré comme un retard injustifié. Les notifications détailleront, dans la mesure du possible, l'Incident de Sécurité, les mesures prises pour atténuer les risques potentiels et les actions recommandées au Client. Bien que Portant remplisse ses obligations au titre de la présente Section 7.c., le Client demeure seul responsable du respect des lois applicables concernant les notifications d'Incidents de Sécurité et toute obligation de notification à des tiers. Les actions de Portant en réponse à un Incident de Sécurité conformément à la Section 7.c. ne seront pas considérées comme une reconnaissance de faute ou de responsabilité concernant l'Incident de Sécurité.
7.4. Le Client reconnaît que, nonobstant les obligations de Portant au titre de la présente Section 7, le Client est seul responsable de son utilisation des Services, ce qui inclut (a) l'utilisation des Services pour maintenir un niveau de sécurité adapté au risque concernant les Données du Client ; (b) la sécurisation des identifiants d'authentification de compte, des systèmes et des appareils utilisés pour accéder aux Services ; (c) la protection des systèmes et appareils du Client interfacés avec les Services ; et (d) la réalisation de ses propres sauvegardes des Données du Client.

8. Demandes des Personnes Concernées

Portant, à la demande du Client (et aux frais du Client), fournira l'assistance nécessaire pour aider le Client à remplir ses obligations en vertu des Lois sur la Protection des Données concernant les demandes relatives aux droits des individus (par exemple, les droits d'accès aux données, de rectification, d'effacement, de limitation, de portabilité et d'opposition), lorsque le Client ne peut raisonnablement traiter ces demandes à l'aide des fonctionnalités en libre-service des Services. Si Portant reçoit une demande d'une Personne Concernée relative à ses Données Personnelles du Client, Portant invitera la Personne Concernée à soumettre sa demande au Client, ce dernier étant responsable de répondre à toute demande de ce type.

9. Restitution ou Suppression des Données

9.1. À la demande du Client suite à la résiliation ou à l'expiration des Conditions Générales, Portant supprimera toutes les Données Personnelles du Client des systèmes de Portant dans un délai de soixante (60) jours.
9.2. Nonobstant ce qui précède, le Client comprend que Portant peut conserver les Données Personnelles du Client si la loi l'exige, ces données continuant d'être régies par les stipulations du présent Avenant.

Annexe A - Annexe UE

1. Définitions ; Traitement des Données

1.1. Définitions. Dans le cadre de la présente Annexe A, les termes «responsable du traitement», «sous-traitant» et «autorité de contrôle» sont définis conformément au Droit de la Protection des Données de l'UE ; les «Clauses Contractuelles Types» désignent les Clauses Contractuelles Types pour les Sous-traitants approuvées par la Commission européenne dans le cadre desClauses Contractuelles Types (CCT)telles que fournies dans l'Espace de travail Portant du Client ; «importateur de données» et «exportateur de données» sont définis conformément aux Clauses Contractuelles Types.
1.2.Objet et Détails du Traitement.Les deux parties reconnaissent et conviennent que (a) l'objet du Traitement dans le cadre des Conditions Générales est la fourniture des Services par Portant ; (b) la durée du Traitement s'étend de la réception des Données Personnelles du Client par Portant jusqu'à la suppression de l'ensemble des Données Personnelles du Client par Portant conformément au Contrat ; (c) la nature et la finalité du Traitement consistent à fournir les Services ; (d) les Personnes Concernées par le Traitement sont les clients du Client, les utilisateurs finaux ou d'autres personnes liées aux Données Personnelles du Client ; et (e) les catégories de Données Personnelles du Client sont celles autorisées par le Client à être intégrées dans les Services dans le cadre du Contrat.
1.3.Rôles et Conformité Réglementaire ; Autorisation.Les deux parties reconnaissent et conviennent que (a) Portant agit en tant que sous-traitant des Données Personnelles du Client en vertu du Droit de la Protection des Données de l'UE ; (b) le Client est responsable du traitement des Données Personnelles du Client en vertu du Droit de la Protection des Données de l'UE ; et (c) chaque partie devra respecter les obligations qui lui incombent en vertu du Droit de la Protection des Données de l'UE concernant le Traitement des Données Personnelles du Client. Dans la mesure où des Données d'Utilisation (telles que définies dans le Contrat) sont considérées comme des Données Personnelles, Portant est le responsable du traitement de ces données et devra les traiter conformément à sa Politique de Confidentialité, accessible à l'adressePrivacy Policy.
1.4.Conformité de Portant aux Instructions.Portant ne traitera les Données Personnelles du Client que conformément aux instructions du Client figurant dans le présent Avenant, sauf si le Droit de la Protection des Données de l'UE l'exige autrement, auquel cas Portant en informera le Client (sauf si la loi interdit à Portant de le faire).

2. Sécurité des Données


2.1. Mesures de Sécurité, Contrôles et Assistance de Portant2.1.1. Portant (en tenant compte de la nature du Traitement des Données Personnelles du Client et des informations disponibles pour Portant) fournira au Client l'assistance nécessaire pour respecter ses obligations concernant les Données Personnelles du Client en vertu du Droit de la Protection des Données de l'UE, notamment les Articles 32 à 34 (inclus) du RGPD, en (a) mettant en œuvre et en maintenant les Mesures de Sécurité ; (b) respectant les termes de la Section 7 du présent Avenant ; et (c) se conformant à la présente Annexe A.2.1.2. Portant n'autorisera l'accès aux Données Personnelles du Client qu'au personnel ayant besoin de cet accès dans le cadre de ses fonctions, sous des obligations de confidentialité appropriées. Si un employé du Client souhaite exercer ses droits en vertu des Lois sur la Protection des Données de l'UE (par exemple, les droits d'accès aux données, de rectification, d'effacement, de limitation, de portabilité et d'opposition) concernant des Données d'Utilisation constituant des Données Personnelles, le Client s'engage à en informer Portant rapidement et à diriger son employé à contacter Portant directement viacontact@portant.co.
2.2.Audits et Examens de Conformité.Si les Lois sur la Protection des Données applicables accordent au Client le droit d'auditer le Traitement des Données Personnelles du Client par Portant, le Client exercera ce droit d'audit et Portant se conformera à ses obligations correspondantes, comme indiqué ci-dessous :
2.2.1. Portant fournira au Client les informations pertinentes relatives au Traitement des Données Personnelles du Client par Portant dans le cadre du présent Avenant, sous la forme des rapports d'audit les plus récents de Portant («Rapports Tiers»).
2.2.2. Dans la limite d'une fois par année civile et aux frais du Client, celui-ci peut auditer le Traitement des Données Personnelles du Client par Portant aux fins de vérification de la conformité aux obligations prévues par le présent Avenant, en soumettant des demandes d'informations raisonnables, y compris des questionnaires de sécurité et d'audit. Portant fournira des réponses écrites si les informations demandées sont essentielles pour confirmer la conformité de Portant au présent Avenant. Toutefois, si un Rapport Tiers émis dans les 12 mois précédant la demande du Client traite des informations demandées et que Portant confirme qu'aucun changement significatif pertinent pour la demande du Client n'est intervenu, le Client accepte de se contenter de ce Rapport Tiers en lieu et place d'une réponse écrite. Toute information communiquée par Portant en vertu de la présente Section 2.b. est considérée comme Information Confidentielle de Portant au titre de l'Accord.
2.2.3. Dans le cas où un tiers est mandaté pour réaliser un audit conformément à la présente Section 2.b., Portant se réserve le droit de formuler des objections à l'égard de l'auditeur si, selon le jugement raisonnable de Portant, l'auditeur manque d'indépendance, est un concurrent de Portant ou n'est pas autrement qualifié. Une telle objection de la part de Portant obligera le Client à désigner un autre auditeur ou à réaliser l'audit en interne.
2.2.4. Le Client informera promptement Portant de toute non-conformité identifiée lors de l'audit et lui fournira tout rapport d'audit produit dans le cadre d'un audit relevant de la présente Section 2.b., sauf interdiction prévue par la Législation européenne sur la Protection des Données ou sur instruction d'une autorité de contrôle. Le Client ne pourra utiliser les rapports d'audit qu'aux fins de satisfaire à ses obligations réglementaires en matière d'audit et de confirmer que le Traitement des Données Personnelles du Client par Portant est conforme au présent Avenant.
2.2.5. Le Client remboursera à Portant le temps consacré par Portant ou ses Sous-traitants Ultérieurs dans le cadre de tout audit relevant de la présente Section 2.b., aux tarifs de services professionnels en vigueur de Portant, qui seront communiqués au Client sur demande. Le Client supportera les frais éventuels facturés par tout auditeur qu'il désigne pour conduire un tel audit. Aucune disposition du présent Avenant n'oblige Portant à communiquer davantage d'informations concernant ses Sous-traitants Ultérieurs Tiers lors de tels audits que ce que ces Sous-traitants Ultérieurs Tiers divulguent généralement à leur clientèle. Aucune disposition de la présente Section 2.b. n'imposera à Portant de violer ses obligations de confidentialité.

3. Analyses d'Impact et Consultations

Portant peut, compte tenu de la nature du Traitement et des informations accessibles à Portant, aider raisonnablement le Client à s'acquitter de ses obligations au titre des Articles 35 et 36 du RGPD, en (a) fournissant une documentation décrivant les aspects pertinents du dispositif de sécurité de l'information de Portant et les mesures de sécurité qui y sont mises en œuvre ; et (b) en communiquant les autres informations figurant dans l'Accord, y compris le présent Avenant.

4. Transferts de Données


4.1.Installations de Traitement des Données.Sous réserve de la Section 4.b., Portant peut stocker et Traiter les Données Personnelles du Client aux États-Unis ou dans tout lieu où Portant ou ses Sous-traitants Ultérieurs disposent d'installations. Dans le respect des obligations de Portant prévues à la présente Section 4, le Client est responsable de s'assurer que son utilisation des Services est conforme aux restrictions relatives aux transferts transfrontaliers de données imposées par la Législation européenne sur la Protection des Données.
4.2.Clauses Contractuelles Types.Si le Client, établi dans l'UE, transfère des Données Personnelles du Client hors de l'UE vers Portant dans un pays non reconnu par la Commission européenne comme offrant un niveau de protection des données adéquat, et que le Privacy Shield UE-États-Unis a été remplacé par le Cadre de Protection des Données UE-États-Unis (DPF), sans qu'aucune autre base de transfert licite ne soit disponible, ce transfert sera régi par les Clauses Contractuelles Types, dont les dispositions sont par les présentes intégrées au présent DPA. Conformément à ce qui précède, les parties conviennent que :
4.2.1. concernant les Clauses Contractuelles Types, (a) le Client agira en qualité d'exportateur de données et (b) Portant agira en qualité d'importateur de données ;

Remarque : Bien que Portant ait son siège en Australie, son infrastructure est hébergée aux États-Unis. Le 10 juillet 2023, la Commission européenne a adopté une décision d'adéquation relative au Cadre de Protection des Données UE-États-Unis (DPF), autorisant les transferts de données personnelles depuis l'UE vers les organisations établies aux États-Unis et certifiées sous le DPF. Portant s'appuie sur la certification sous le DPF pour encadrer les transferts de données licites, ou, à titre subsidiaire, sur les Clauses Contractuelles Types lorsque cela est requis, afin de garantir la conformité des transferts internationaux de données.

4.2.2. pour l'Appendice 1 des Clauses Contractuelles Types, les Personnes Concernées, les catégories de données et les opérations de traitement seront tels que définis à la Section 1.b. de la présente Annexe A ;
4.2.3. pour l'Appendice 2 des Clauses Contractuelles Types, les mesures techniques et organisationnelles correspondront aux Mesures de Sécurité ;
4.2.4. sur demande de l'exportateur de données en vertu des Clauses Contractuelles Types, l'importateur de données fournira les copies des accords conclus avec les Sous-traitants Ultérieurs qui doivent être transmises par l'importateur de données à l'exportateur de données conformément à la Clause 5(j) des Clauses Contractuelles Types, l'importateur de données ayant la faculté d'omettre ou de masquer préalablement toute information commerciale ou toute clause sans lien avec les Clauses Contractuelles Types ou leur équivalent ;
4.2.5. les audits décrits à la Clause 5(f) et à la Clause 12(2) des Clauses Contractuelles Types seront conduits conformément à la Section 2.b. de la présente Annexe A ;
4.2.6. les autorisations du Client prévues à la Section 6 du présent Avenant (Sous-traitance) vaudront consentement écrit préalable du Client à la sous-traitance par Portant du Traitement des Données Personnelles du Client, si un tel consentement est requis en vertu de la Clause 5(h) des Clauses Contractuelles Types ;
4.2.7. la certification de suppression des Données Personnelles du Client telle que prévue à la Clause 12(1) des Clauses Contractuelles Types ne sera fournie que sur demande du Client ; et
4.2.8. les Clauses Contractuelles Types expireront automatiquement dès lors que le transfert des Données Personnelles du Client qu'elles régissent deviendra licite au titre du Chapitre V du RGPD, sans que ces Clauses Contractuelles Types soient nécessaires sur quelque autre fondement que ce soit.

Annexe B - Annexe Californie


1. Aux fins de la présente Annexe B, les termes «business», «commercial purpose», «service provider», «sell» et «personal information» ont les significations qui leur sont attribuées dans le CCPA.
2. En ce qui concerne les Données Personnelles du Client, Portant agit en qualité de prestataire de services au sens du CCPA.
3. Portant ne devra pas (a) vendre les Données Personnelles du Client ; (b) conserver, utiliser ou divulguer des Données Personnelles du Client à des fins autres que la fourniture des Services, y compris conserver, utiliser ou divulguer les Données Personnelles du Client à des fins commerciales autres que la prestation des Services ; ni (c) conserver, utiliser ou divulguer les Données Personnelles du Client en dehors de la relation commerciale directe entre Portant et le Client.
4. Les parties reconnaissent et conviennent que le Traitement des Données Personnelles du Client, tel que dirigé par les instructions du Client énoncées à la Section 5 du présent Avenant, est fondamental et inhérent à la fourniture des Services par Portant ainsi qu'à la relation commerciale directe entre les parties.
5. Nonobstant toute disposition des Conditions Générales ou de tout Bon de Commande y afférent, les parties reconnaissent et conviennent que l'accès de Portant aux Données Personnelles du Client n'est pas considéré comme faisant partie de la contrepartie échangée entre les parties dans le cadre des Conditions Générales.
6. Dans la mesure où des Données d'Utilisation (telles que définies dans les Conditions Générales) sont considérées comme des Données Personnelles, Portant est l'entité commerciale responsable de ces données et les Traitera conformément à sa Politique de Confidentialité, accessible à l'adresse suivante :Politique de Confidentialité

Annexe C - Annexe Royaume-Uni

1. Demandes d'accès des personnes concernées

1.1 Portant assistera le Client dans la réponse aux demandes d'accès des personnes concernées (DSAR) conformément à l'article 15 du UK GDPR. À cette fin, Portant s'engage à :
- Fournir au Client toutes les informations nécessaires pour répondre à la DSAR, y compris toutes les données personnelles traitées par Portant pour le compte du Client.
- Aider le Client à vérifier l'identité de la personne concernée.
- Permettre au Client d'accéder aux données personnelles de la personne concernée, ou de les faire transmettre à un autre responsable du traitement, selon les instructions du Client.
- Aider le Client à se conformer à toute autre exigence de l'article 15 du UK GDPR.
1.2 Le Client sera responsable de tous les coûts associés à l'assistance de Portant dans la réponse aux DSAR.

2. Demandes de suppression des personnes concernées

2.1 Portant assistera le Client dans la réponse aux demandes de suppression des personnes concernées (DSDR) conformément à l'article 17 du UK GDPR. À cette fin, Portant s'engage à :
- Supprimer toutes les données personnelles de la personne concernée traitées par Portant pour le compte du Client, sauf si Portant est tenu par la loi de conserver ces données.
- Fournir au Client la confirmation que les données personnelles de la personne concernée ont été supprimées.
2.2 Le Client sera responsable de tous les coûts associés à l'assistance de Portant dans la réponse aux DSDR.

3. Violations de données

3.1 Portant notifiera le Client de toute violation de données personnelles affectant les données personnelles du Client dans les 72 heures suivant la prise de connaissance de la violation.
3.2 Portant coopérera avec le Client pour enquêter sur toute violation de données personnelles et y remédier.
3.3 Le Client sera responsable de tous les coûts associés à la coopération de Portant dans l'enquête et la remédiation des violations de données personnelles.

Si votre organisation nécessite une version signée, vous pouvez la consulter et la signer ci-dessous (propulsé par Portant) :