Conditions de Traitement des Données YouTube

En vigueur depuis le 24 novembre 2020 (afficher la version précédente)

Les présentes Conditions de Traitement des Données YouTube (désignées ci-après avec ses annexes comme les "Conditions de Traitement des Données") s’appliqueront au traitement des Données Personnelles du Client. Ces conditions constituent un avenant à l’accord conclu entre vous (le "Client") et Google concernant votre utilisation du service YouTube (le "Contrat"). Ce Contrat peut inclure les Conditions de Service YouTube ou un contrat de licence de contenu, applicable au Client le cas échéant. Merci de prendre le temps de lire avec attention ces Conditions de Traitement des Données.

1. Introduction

Les présentes Conditions de Traitement des Données reflètent l’accord des parties concernant les conditions régissant le traitement et la sécurité des Données Personnelles du Client dans le cadre de la Législation Européenne en matière de protection des données.

2. Définitions et Interprétation

2.1 Dans les présentes Conditions de Traitement des Données :

"Entité Affiliée", si le terme n’est pas déjà défini dans le Contrat, désigne toute entité qui, directement ou indirectement, contrôle une partie, est contrôlée par ou est sous contrôle commun d’une partie.

"Données Personnelles du Client" désigne tout contenu audio et audiovisuel qui est mis en ligne par le Client sur YouTube dans le cadre des conditions du Contrat et qui est traité par Google pour le compte du Client dans le cadre de la prestation de Services de Sous-Traitant de Google.

"Incident de Données" désigne une faille dans la sécurité de Google entraînant la destruction accidentelle ou illicite, la perte, la modification, la divulgation ou l’accès non autorisés aux Données Personnelles du Client sur des systèmes gérés ou autrement contrôlés par Google.

Les "Incidents de Données" n’incluront pas les tentatives ou activités infructueuses qui ne compromettent pas la sécurité des Données Personnelles du Client, notamment les tentatives de connexion infructueuses, les pings, les analyses de port, les attaques par déni de service, et autres attaques réseau sur les pare-feux ou systèmes en réseau.

"Outil de la Personne Concernée" désigne un outil (le cas échéant) mis à disposition des personnes concernées par Google qui permet à Google de répondre directement et de façon standardisée à certaines requêtes soumises par des personnes concernées relativement aux Données Personnelles du Client (par exemple, paramètres de publicité en ligne ou plugin de navigateur à désactiver).

"EEE" désigne l’Espace Economique Européen.

"RGPD" signifie selon les cas : (a) le RGPD de l'UE ; et/ou (b) le RGPD du Royaume-Uni.

"RGPD de l’UE" désigne le Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE.

“Législation Européenne en matière de protection des données” signifie selon le cas: (a) le RGPD; (b) la Loi Fédérale sur la Protection des Données du 19 juin 1992 (Suisse); (c) la Loi Générale sur la Protection des Données brésilienne ; et/ou (d) tout autre loi ou réglementation applicable basée sur le Règlement Général de Protection des Données

"Législation européenne ou nationale" signifie selon les cas : (a) législation de l'UE ou d'un des pays membres de l'UE (si le RGPD de l'UE s'applique au traitement des Données Personnelles du Client) ; et/ou (b) législation du Royaume-Uni ou d'une partie du Royaume-Uni (si le RGPD du Royaume-Uni s'applique au traitement des Données Personnelles du Client).

"Google" désigne l’Entité Google qui est partie au Contrat.

"Sous-Traitants Affiliés Ultérieurs de Google" a la signification indiquée dans la Section 11.1 (Consentement à l’Engagement de Sous-Traitants Ultérieurs).

"Entité Google" désigne Google LLC (anciennement désignée Google Inc.), Google Ireland Limited, YouTube, LLC ou toute autre Entité Affiliée de Google LLC.

"Certification ISO 27001" désigne la certification ISO/CEI 27001:2013 ou une certification similaire pour les Services de Sous-Traitant.

"Adresse Electronique de Notification" désigne l’adresse électronique (le cas échéant) indiquée par le Client, par le biais de l’interface utilisateur des Services de Sous-Traitant ou par tout autre moyen fourni par Google, pour recevoir certaines notifications de la part de Google relatives aux présentes Conditions de Traitement des Données.

"Services de Sous-Traitant" désigne le traitement des Données Personnelles du Client conformément aux présentes Conditions de Traitement des Données.

"Documentation de Sécurité" désigne le certificat émis pour la Certification ISO 27001, le cas échéant, et toute autre certification ou documentation de sécurité que Google peut mettre à disposition relativement aux Services de Sous-Traitant.

"Mesures de Sécurité" a la signification indiquée dans la Section 7.1.1 (Mesures de Sécurité de Google).

“Clauses Contractuelles Types” désigne les clauses contractuelles types de la Commission Européenne disponibles à l'adresse https://privacy.google.com/businesses/processorterms/mccs, qui sont des conditions types de protection des données pour le transfert de données personnelles à des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données, comme décrit dans l'article 46 du RGPD de l'UE.

"Sous-Traitants Ultérieurs" désigne les tiers autorisés dans le cadre des présentes Conditions de Traitement des Données à avoir un accès logique aux Données Personnelles des Clients et à les traiter afin de fournir une partie des Services de Sous-Traitant et tout autre support technique connexe.

"Autorité de contrôle" désigne selon les cas : (a) une "autorité de contrôle" telle que définie dans le RGPD de l'UE ; et/ou (b) le "Commissaire" tel que défini dans le RGPD du Royaume-Uni.

"Sous-Traitants Ultérieurs Tiers" a la signification indiquée dans la Section 11.1 (Consentement à l’Engagement de Sous-Traitants Ultérieurs).

"RGPD du Royaume-Uni" désigne le RGPD de l’UE tel que modifié et intégré à la législation du Royaume-Uni conformément à la loi de retrait de l'UE votée au Royaume-Uni en 2018, si cette dernière est en vigueur.

2.2 Les termes "responsable de traitement", "personne concernée", "données personnelles", "traitement" et "sous-traitant" utilisés dans les présentes Conditions de Traitement des Données ont le sens qui leur est donné dans le RGPD, et les termes "importateur de données" et "exportateur de données" ont la signification qui leur est donnée dans les Clauses Contractuelles Types.

2.3 Toute référence à un cadre juridique, à une loi ou à tout autre texte de loi est une référence à ce cadre juridique, cette loi ou ce texte de loi dans sa version modifiée ou mise à jour, le cas échéant.

2.4 Si les présentes Conditions de Traitement des Données sont traduites dans une autre langue et qu'il existe une divergence entre le texte anglais et le texte traduit, le texte anglais fera foi.

3. Durée des présentes Conditions de Traitement des Données

La durée ("Durée") de ces Conditions de Traitement des Données, ainsi que la prestation des Services de Sous-Traitant par Google, débutera le 25 mai 2018 (ou à la date du Contrat si ultérieure au 25 mai 2018) ("Date d’Entrée en Vigueur des Conditions") et se poursuivra jusqu’à la suppression de toutes les Données Personnelles du Client par Google, selon les présentes Conditions de Traitement des Données.

4. Application des présentes Conditions de Traitement des Données

4.1 Application de la Législation Européenne relative à la Protection des Données. Les présentes Conditions de Traitement des Données s’appliqueront uniquement dans la mesure où la Législation Européenne relative à la Protection des Données s’applique au traitement des Données Personnelles du Client, y compris si : 

(a) le traitement des données s’effectue dans le cadre des activités d’un établissement du Client sur le territoire de l’EEE ou du Royaume-Uni ; et/ou

(b) les Données Personnelles du Client sont des données personnelles relatives à des personnes concernées qui se trouvent dans l’EEE ou au Royaume-Uni et le traitement est lié à l’offre de produits ou services à ces personnes concernées ou au suivi du comportement de ces personnes concernées au sein de l’EEE ou du Royaume-Uni.

5. Traitement des Données

5.1 Rôles et Conformité Réglementaire ; Autorisation.

5.1.1 Responsabilités du Sous-Traitant et du Responsable de Traitement.

(a) Ces Conditions de Traitement des Données décrivent l’objet et les détails relatifs au traitement des Données Personnelles du Client ;

(b) Google est un sous-traitant des Données Personnelles du Client en vertu de la Législation relative à la Protection des Données ;

(c) le Client est un responsable de traitement ou un sous-traitant, le cas échéant, des Données Personnelles du Client en vertu de la Législation relative à la Protection des Données ; et

(d) chaque partie se conformera aux obligations qui lui sont applicables en vertu de la Législation relative à la Protection des Données, s’agissant du traitement des Données Personnelles du Client.

5.1.2 Autorisation par un Responsable de Traitement Tiers. Si le Client est un sous-traitant, le Client garantit à Google que les instructions et les actions du Client concernant les Données Personnelles du Client, y compris sa désignation de Google en tant qu'autre sous-traitant, ont été autorisées par le responsable de traitement concerné.

5.2 Instructions du Client. Le Client demande à Google de traiter les Données Personnelles du Client uniquement conformément à la loi applicable et aux présentes Conditions de Traitement des Données : (a) afin de fournir les Services du Sous-Traitant et tout support technique associé ; (b) tel que spécifié par le Client dans son utilisation des Services (y compris dans ses paramètres et autres fonctionnalités des Services) et tout support technique associé ; et (c) tel que détaillé dans le Contrat, y compris conformément aux présentes Conditions de Traitement des Données.

5.3        Conformité de Google avec les Instructions. Google se conformera aux instructions décrites dans la Section 5.2 (Instructions du Client) (y compris en ce qui concerne les transferts de données), sauf si la Législation européenne ou nationale, à laquelle est soumise Google, exige un autre traitement des Données Personnelles du Client par Google, auquel cas Google en informera le Client (sauf si ladite législation interdit à Google de le faire pour des motifs d’intérêt public importants).

6. Suppression des Données

6.1 Suppression Pendant la Durée du Contrat. 

6.1.1 Services de Sous-Traitant avec Fonctionnalité de Suppression. Pendant la Durée, si :

(a) la fonctionnalité des Services de Sous-Traitant inclut la possibilité pour le Client de supprimer les Données Personnelles du Client ;

(b) le Client utilise les Services de Sous-Traitant pour supprimer certaines Données Personnelles du Client ; et

(c) les Données Personnelles du Client supprimées ne peuvent pas être récupérées par le Client (par exemple, à partir de la "corbeille"),

Google supprimera alors lesdites Données Personnelles du Client de ses systèmes, dès que raisonnablement possible, sauf si la Législation européenne ou nationale exige la conservation de ces données.

6.1.2 Services de Sous-Traitant sans Fonctionnalité de Suppression. Pendant la Durée, si la fonctionnalité des Services de Sous-Traitant n’inclut pas la possibilité pour le Client de supprimer les Données Personnelles du Client, Google se conformera alors à toute demande raisonnable du Client pour faciliter cette suppression, dans la mesure du possible, compte tenu de la nature et de la fonctionnalité des Services de Sous-Traitant et sauf si la Législation européenne ou nationale exige la conservation de ces données. Google peut facturer des frais (sur la base des coûts raisonnables encourus par Google) pour toute suppression de données dans le cadre de la présente Section 6.1.2 (Services de Sous-Traitant sans Fonctionnalité de Suppression). Google fournira au Client des détails complémentaires sur tous frais applicables, ainsi que les modalités de calcul de ces frais, avant ladite suppression de données.

6.2 Suppression à l’Expiration du Contrat. A l’expiration ou à la résiliation du Contrat et conformément à la législation en vigueur, le Client demande à Google de supprimer toutes les Données Personnelles du Client (y compris les copies existantes de ces données) des systèmes de Google. Google respectera cette instruction dès que raisonnablement possible, sauf si : (i) la Législation européenne ou nationale exige la conservation de ces données ; ou (ii) le Contrat est remplacé par un nouveau contrat ou de nouvelles conditions entre le Client et Google relativement à l’utilisation par le Client du service YouTube et le Client confirme que les Données Personnelles du Client (y compris les copies existantes de ces données déjà mises en ligne dans le service YouTube) devraient continuer d’être traitées conformément aux présentes Conditions de Traitement des Données.

7. Sécurité des Données

7.1 Assistance et Mesures de Sécurité de Google.

7.1.1 Mesures de Sécurité de Google. Google mettra en place et maintiendra des mesures techniques et organisationnelles afin de protéger les Données Personnelles du Client contre toute destruction accidentelle ou illicite, perte, modification, divulgation ou accès non autorisés, comme indiqué en Annexe 2 (les "Mesures de Sécurité"). Google peut mettre à jour ou modifier les Mesures de Sécurité de temps à autre, sous réserve que lesdites mises à jour et modifications n’entraînent pas une dégradation de la sécurité globale des Services de Sous-Traitant.

7.1.2 Respect des Mesures de Sécurité par le Personnel de Google. Google s’assurera que toutes les personnes autorisées à traiter les Données Personnelles du Client se seront engagées elles-mêmes à respecter la confidentialité des données ou sont soumises à une obligation légale et appropriée de confidentialité.

7.1.3 Assistance à la Sécurité de Google. Google (en tenant compte de la nature du traitement des Données Personnelles du Client et des informations à disposition de Google) assistera le Client à s’acquitter de ses obligations en matière de sécurité des données personnelles et de violations de données personnelles, y compris (le cas échéant) les obligations du Client en vertu des Articles 32 à 34 (inclus) du RGPD, en :

(a) mettant en place et en appliquant les Mesures de Sécurité conformément à la Section 7.1.1 (Mesures de Sécurité de Google) ;

(b) respectant les dispositions de la Section 7.2 (Incidents de Données) ; et

(c) fournissant au Client la Documentation de Sécurité conformément à la Section 7.5.1 (Examens de la Documentation de Sécurité) et les informations contenues dans les présentes Conditions de Traitement des Données.

7.2 Incidents de Données.

7.2.1 Notification d’Incident. Si Google prend connaissance d’un Incident de Données, Google : (a) informera le Client de l’Incident de Données rapidement et sans retard injustifié ; et (b) prendra rapidement des mesures raisonnables afin de limiter le préjudice et protéger les Données Personnelles du Client.

7.2.2 Détails relatifs à l’Incident de Données. Les notifications effectuées conformément à la Section 7.2.1 (Notification d’Incident) décriront, dans la mesure du possible, les détails relatifs à l’Incident de Données, y compris les mesures prises pour atténuer les risques potentiels et les mesures que Google recommande au Client de prendre pour traiter l’Incident de Données.

7.2.3 Remise de la Notification. Google enverra sa notification de tout Incident de Données à l’Adresse Electronique de Notification ou en utilisant tout autre moyen de communication directe (par exemple, par téléphone ou lors d’une réunion en personne). Le Client prendra toutes les mesures raisonnables pour fournir l’Adresse Electronique de Notification et veillera à ce que l’Adresse Electronique de Notification soit à jour et valide.

7.2.4 Notifications à des Tiers. Il incombe au Client de respecter toute loi relative à la notification d’incident applicable au Client et de respecter toutes les obligations de notification de tiers liées à un quelconque Incident de Données.

7.2.5 Absence de Reconnaissance d’une Faute par Google. La notification ou réponse de Google relativement à un Incident de Données dans le cadre de la présente Section 7.2 (Incidents de Données.) ne sera pas considérée comme une reconnaissance de la part de Google d’une quelconque faute ou responsabilité relativement à l’Incident de Données.

7.3 Responsabilités du Client en matière de Sécurité et Evaluation de la Sécurité du Client.         

7.3.1 Responsabilités du Client en matière de Sécurité. Sans préjudice des obligations de Google dans le cadre des Sections 7.1 (Assistance et Mesures de Sécurité de Google) et 7.2 (Incidents de Données) :

(a) le Client est responsable de son utilisation des Services de Sous-Traitant, notamment :

(i) de l’utilisation appropriée des Services de Sous-Traitant pour garantir un niveau de sécurité adapté au risque concernant les Données Personnelles du Client ; et

(ii) de la sécurisation des informations d’identification de comptes, systèmes et appareils que le Client utilise pour accéder aux Services de Sous-Traitant ; et

(b) Google n’est en aucun cas tenu de protéger les Données Personnelles du Client que le Client choisit de stocker ou de transférer en dehors des systèmes de Google et de ses Sous-Traitants Ultérieurs.

7.3.2 Evaluation de la Sécurité du Client. Le Client reconnaît et accepte que (compte tenu de l’état de l’art, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement des Données Personnelles du Client ainsi que des risques pour les personnes physiques) les Mesures de Sécurité mises en place et maintenues par Google, telles qu’énoncées à la Section 7.1.1 (Mesures de Sécurité de Google), offrent un niveau de sécurité adapté au risque concernant les Données Personnelles du Client.

7.4 Certification de Sécurité. Pour évaluer et aider périodiquement à assurer l’efficacité continue des Mesures de Sécurité, Google peut obtenir la Certification ISO 27001.

7.5 Examens et Audits de Conformité.

7.5.1 Examens de la Documentation de Sécurité. Afin de démontrer le respect par Google de ses obligations au titre des présentes Conditions de Traitement des Données, Google mettra la Documentation de Sécurité à la disposition du Client pour revue.

7.5.2 Droits d’Audit du Client.

(a) Google autorisera le Client ou un auditeur tiers nommé par le Client à mener des audits (notamment des inspections) visant à vérifier le respect par Google de ses obligations au titre des présentes Conditions de Traitement des Données, conformément à la Section 7.5.3 (Conditions Commerciales Supplémentaires pour les Audits). Google contribuera auxdits audits conformément aux dispositions de la Section 7.4 (Certification de Sécurité) et à la présente Section 7.5 (Examens et Audits de Conformité).

(b) Si les Clauses Contractuelles Types s'appliquent en vertu de la Section 10.2 (Transferts de données), Google autorise le Client ou un auditeur tiers nommé par le Client à mener des audits comme décrit dans les Clauses Contractuelles Types conformément à la Section 7.5.3 (Conditions Commerciales Supplémentaires pour les Audits).

(c) Le Client peut également mener un audit visant à vérifier le respect par Google de ses obligations au titre des présentes Conditions de Traitement des Données en examinant le certificat émis dans le cadre de la Certification ISO 27001 (qui rend compte du résultat d’un audit mené par un auditeur tiers), si ladite certification est disponible au moment où le Client en fait la demande.

7.5.3 Conditions Commerciales Supplémentaires pour les Audits.

(a) Le Client enverra toute demande d’audit dans le cadre de la Section 7.5.2(a) ou de la Section 7.5.2(b) à Google, comme indiqué dans la Section 12.1 (Contacter Google).

(b) Après réception par Google d’une demande en vertu de la Section 7.5.3(a), Google et le Client discuteront et conviendront à l’avance de la date de début raisonnable, de la portée, de la durée et des contrôles de sécurité et de confidentialité applicables à tous les audits quels qu’ils soient, conformément à la Section 7.5.2(a) ou à la Section 7.5.2(b).

(c) Google peut facturer certains frais (sur la base des coûts raisonnables encourus par Google) en cas d’audit effectué conformément à la Section 7.5.2(a) ou à la Section 7.5.2(b). Google fournira au Client des détails complémentaires sur tous frais applicables, ainsi que les modalités de calcul de ces frais, avant l’audit en question. Le Client devra prendre en charge tous les frais facturés par un auditeur tiers nommé par le Client pour exécuter l’audit en question.

(d) Google peut s’opposer à ce qu’un auditeur tiers nommé par le Client mène un audit en vertu de la Section 7.5.2(a) ou de la Section 7.5.2(b) si l’auditeur n’est pas, de l’avis raisonnable de Google, dûment qualifié ou indépendant, ou s’il est un concurrent de Google ou s’il est autrement manifestement inapproprié. Un tel refus par Google nécessitera que le Client nomme un autre auditeur ou mène lui-même l’audit.

(e) Aucune disposition des présentes Conditions de Traitement des Données n’obligera Google à divulguer au Client ou à son auditeur tiers, ni n’autorisera le Client ou son auditeur tiers à consulter :

(i) les données d’un autre client d’une Entité Google ;

(ii) les informations comptables ou financières internes d’une quelconque Entité Google ;

(iii) tout secret commercial d’une Entité Google ;

(iv) toute information qui, de l’avis raisonnable de Google, pourrait : (A) compromettre la sécurité des systèmes ou locaux d’une quelconque Entité Google ; ou (B) provoquer un manquement par une quelconque Entité Google à ses obligations dans le cadre de la Législation relative à la Protection des Données ou à ses obligations en matière de sécurité et/ou de confidentialité envers le Client ou un tiers ; ou

(v) toute information que le Client ou son auditeur tiers tente de consulter pour une quelconque raison autre que le respect en toute bonne foi des obligations du Client au titre de la Législation relative à la Protection des Données.

7.5.4 Pas de modification des Clauses Contractuelles Types.  Si les Clauses Contractuelles Types s'appliquent en vertu de la Section 10.2 (Transferts de données), rien dans la présente Section 7.5 (Examens et Audits de conformité) ne change ou modifie les droits ou obligations du Client ou d’une Entité Google en vertu des Clauses Contractuelles Types.

8. Analyse d’impact et Consultation 

Google (en tenant compte de la nature du traitement des données et des informations à disposition de Google) assistera le Client à respecter ses obligations en matière d’analyse d’impact relative à la protection des données et consultation préalable, y compris (le cas échéant) les obligations du Client au titre des Articles 35 et 36 du RGPD, en :

(a) fournissant la Documentation de Sécurité conformément à la Section 7.5.1 (Examens de la Documentation de Sécurité) ;

(b) fournissant les informations contenues dans les présentes Conditions de Traitement des Données ; et

(c) fournissant ou mettant autrement à disposition, conformément aux pratiques standards de Google, d’autres supports relatifs à la nature des Services de Sous-Traitant et au traitement des Données Personnelles du Client (par exemple, les supports du centre d’aide).

9. Droits de la Personne Concernée

9.1 Réponses aux Demandes des Personnes Concernées. Si Google reçoit une demande de la part d’une personne concernée relative aux Données Personnelles du Client, Google devra :

(a) si la demande est effectuée par le biais d’un Outil de la Personne Concernée, répondre directement à la demande de la personne concernée, conformément à la fonctionnalité standard de l’Outil de la Personne Concernée ; ou

(b) si la demande n’est pas effectuée par le biais d’un Outil de la Personne Concernée, conseiller à la personne concernée d’envoyer sa demande au Client ; le Client sera alors responsable de répondre à ladite demande.

9.2 Assistance en cas de Demande d’une Personne Concernée soumise à Google. Google (en tenant compte de la nature du traitement des Données Personnelles du Client et, le cas échéant, de l’Article 11 du RGPD) assistera le Client à respecter toute obligation qui lui incombe de répondre aux demandes de personnes concernées, y compris (le cas échéant) l’obligation du Client de répondre aux demandes d’exercice des droits des personnes concernées énoncés au Chapitre III du RGPD, en :

(a) fournissant la fonctionnalité des Services de Sous-Traitant ;

(b) respectant les obligations stipulées dans la Section 9.1 (Réponses aux Demandes des Personnes Concernées) ; et

(c) si applicable aux Services de Sous-Traitant, mettant à disposition les Outils de la Personne Concernée.

10. Transferts de Données

10.1 Moyens de Stockage et de Traitement des Données. Google peut, sous réserve de la Section 10.2 (Transferts de Données), stocker et traiter les Données Personnelles du Client aux Etats-Unis et dans tout autre pays dans lequel Google ou l’un de ses Sous-Traitants Ultérieurs possède ces moyens.

10.2 Transferts de Données. Si le stockage et/ou le traitement des Données Personnelles du Client implique des transferts de Données Personnelles du Client de l'EEE, de la Suisse ou du Royaume-Uni vers un pays tiers qui n'est pas soumis à une décision d'adéquation en vertu de la Législation Européenne en matière de protection des données :        (a) Le Client (en tant qu'exportateur de données) sera réputé avoir convenu d’appliquer les Clauses Contractuelles Types avec Google LLC (en tant qu'importateur de données) ;

(b) les transferts seront soumis aux Clauses Contractuelles Types ; et

(c) Google veillera à ce que Google LLC respecte ses obligations au titre de ces Clauses Contractuelles Types en ce qui concerne ces transferts.

10.3 Informations sur les Centres de Données. Les informations relatives aux emplacements des Centres de données de Google sont disponibles sur : www.google.com/about/datacenters/inside/locations/index.html.

11. Sous-Traitants Ultérieurs

11.1 Consentement à l’Engagement de Sous-Traitants Ultérieurs. Le Client autorise expressément l'engagement des Entités Affiliées de Google en tant que Sous-Traitants Ultérieurs ("Sous-Traitants Ultérieurs Affiliés de Google"). En outre, le Client autorise d’une manière générale l’engagement de tout autre tiers en tant que Sous-Traitant Ultérieur (les « Sous-Traitants Ultérieurs Tiers"). Si les Clauses Contractuelles Type s'appliquent en vertu de la section 10.2 (Transferts de données), les autorisations ci-dessus constituent le consentement écrit préalable du client à la sous-traitance par Google LLC du traitement des Données personnelles du Client.

11.2 Informations au sujet des Sous-Traitants Ultérieurs. Vous pouvez obtenir des informations complémentaires sur les Sous-Traitants Ultérieurs à l’adresse suivante : privacy.google.com/businesses/subprocessors.

11.3 Exigences relatives à l’Engagement de Sous-Traitants Ultérieurs. Lors de l’engagement d’un Sous-Traitant Ultérieur, Google :

(a) veillera par le biais d’un contrat écrit à ce que :

(i) le Sous-Traitant Ultérieur consulte et utilise les Données Personnelles du Client uniquement dans les limites requises pour exécuter les obligations qui lui sont sous-traitées, et agisse ainsi conformément au Contrat (y compris aux présentes Conditions de Traitement des Données) et, si elles sont applicables en vertu de la Section 10.2 (Transferts de données), les Clauses Contractuelles Type; et

(ii) si le RGPD s’applique au traitement des Données Personnelles du Client, les obligations de protection des données prévues à l’Article 28(3) du RGPD s’imposent au Sous-Traitant Ultérieur ; et

(b) demeurera intégralement responsable des obligations sous-traitées et de tous les agissements ou omissions du Sous-Traitant Ultérieur.

12. Contacter Google ; Registres de Traitement

12.1 Contacter Google. Le Client peut contacter Google au sujet de l’exercice de ses droits en vertu des présentes Conditions de Traitement des Données en utilisant les moyens décrits à la page https://support.google.com/youtube/answer/2801895 ou tout autre moyen fourni par Google, de temps à autres.

12.2 Registres de Traitement de Google. Le Client reconnaît que Google est tenu, en vertu du RGPD, de : (a) recueillir et maintenir des registres de certaines informations, y compris le nom et les coordonnées de chaque sous-traitant et/ou responsable de traitement pour le compte duquel Google agit et (le cas échéant) du représentant local et du délégué à la protection des données de ce sous-traitant ou responsable de traitement ; et (b) mettre ces informations à la disposition de toute Autorité de contrôle compétente. En conséquence, le Client, sur demande et selon le cas, fournira ces informations à Google via l’interface utilisateur des Services de Sous-Traitant ou par tout autre moyen fourni par Google, et utilisera cette interface utilisateur ou tout autre moyen pour s’assurer que toutes les informations fournies sont exactes et à jour.

13. Responsabilité

13.1 Nonobstant toute autre disposition du Contrat, la responsabilité globale totale de l’une des parties envers l’autre partie dans le cadre des présentes Conditions de Traitement des Données (ou en rapport avec celles-ci) sera limitée au montant monétaire ou au plafond maximum de responsabilité auquel la responsabilité de cette partie en vertu du Contrat. Par souci de clarté, aucune exclusion de responsabilité ou d’indemnisation relative à la confidentialité des données stipulée au Contrat ne s’appliquera aux réclamations dans le cadre du Contrat relatives à la Législation Européenne relative à la Protection des Données. Aucun élément de la présente Section 13 (Responsabilité) n’exclura ou ne limitera la responsabilité de l’une ou l’autre Partie en cas de : (a) décès ou dommage corporel découlant de sa négligence ou de la négligence de ses employés ou agents ; (b) fraude ou fausse déclaration ; ou (c) questions pour lesquelles la responsabilité ne peut être exclue ou limitée en vertu de la loi applicable.

13.2 Responsabilité si les Clauses Contractuelles Types s'appliquent. Si les Clauses Contractuelles Type s'appliquent en vertu de la Section 10.2 (Transferts de données), alors la responsabilité totale combinée de chaque partie et de ses Entités Affiliées envers l’autre partie et ses Entités Affiliées dans le cadre de l'Accord ou en relation avec celui-ci, et des Clauses Contractuelles Types combinés seront soumis à la Section 13.1 (Plafond de Responsabilité).

14. Tiers Bénéficiaire

Si une Entité Affiliée à une partie est partie aux Clauses Contractuelles Types qui s'appliquent en vertu de la section 10.2 (Transferts de données), alors cette Entité Affiliée sera un tiers bénéficiaire des sections 6.2 (Suppression à l’expiration de la Durée), 7.5 (Examens et Audits de conformité), 9.1 (Réponses aux Demandes des Personnes Concernées), 10.2 (Transferts de données), 11.1 (Consentement à l’engagement de Sous-traitants ultérieurs) et 13.2 (Responsabilité si les Clauses Contractuelles Types s'appliquent). Dans la mesure où la présente Section 14 (Tiers Bénéficiaire) entre en conflit ou est incompatible avec toute autre clause de l'Accord, la présente section 14 (Tiers Bénéficiaire) s'appliquera.

15. Effet des présentes Conditions de Traitement des Données

En cas de conflit ou d’incompatibilité entre les modalités des Clauses Contractuelles Types, celles des présentes Conditions de Traitement des Données et le reste du Contrat, alors l’ordre de priorité suivant s’applique:

(a) les Clauses Contractuelles Types, ;

(b) le reste des présentes Conditions de Traitement des Données; et

(c) le reste de l’Accord.

Sous réserve des modifications apportées aux présentes Conditions de Traitement des Données, le Contrat reste pleinement en vigueur.

16. Modifications apportées aux présentes Conditions de Traitement des Données

16.1 Modifications apportées aux Services de Sous-Traitant. Google peut modifier la liste des Services de Sous-Traitant potentiels uniquement:

(a) pour refléter une modification du nom d’un service ;

(b) pour ajouter un nouveau service ; ou

(c) pour supprimer un service pour lequel : (i) tous les contrats pour la fourniture de ce service sont résiliés ; ou (ii) Google a reçu le consentement de la part du Client.

16.2 Modifications apportées aux Conditions de Traitement des Données. Google peut modifier ces Conditions de Traitement des Données si la modification :

(a) est expressément autorisée par les présentes Conditions de Traitement des Données, y compris selon la description de la Section 16.1 (Modifications apportées aux Services de Sous-Traitant) ;

(b) reflète une modification du nom ou de la forme d’une entité juridique ;

(c) est requise pour respecter la loi ou une règlementation en vigueur, une décision de justice ou une directive émise par un organisme de règlementation ou une agence gouvernementale ; ou

(d) (i) n'entraîne pas une dégradation de la sécurité globale des Services de Sous-Traitant ; (ii) n’élargit pas le champ ou ne supprime pas une quelconque restriction au traitement par Google des Données Personnelles du Client, comme indiqué dans la Section 5.3 (Conformité de Google avec les Instructions) ; et (iii) n’a par ailleurs aucun impact négatif considérable sur les droits du Client dans le cadre des présentes Conditions de Traitement des Données, tel que raisonnablement déterminé par Google.

16.3 Modification apportées aux Clauses Contractuelles Types. Google ne peut modifier les Clauses Contractuelles Types que conformément aux sections 16.2(b) - 16.2(d) (Modifications apportées aux Conditions de Traitement des Données) ou pour intégrer toute nouvelle version des Clauses Contractuelles Types qui pourrait être adoptée en vertu de la Législation Européenne en matière de Protection des Données, dans chaque cas d'une manière qui n'affecte pas la validité des Clauses Contractuelles Types en vertu de la Législation Européenne en matière de Protection des Données

Annexe 1 : Objet et Détails relatifs au Traitement des Données

Objet

Prestation de Services de Sous-Traitant par Google et tout support technique connexe apporté au Client.

Durée du Traitement

La Durée ainsi que la période à compter de l’expiration de la Durée jusqu’à la suppression de toutes les Données Personnelles du Client par Google, conformément aux présentes Conditions de Traitement des Données.

Nature et Finalités du Traitement

Google traitera (notamment, en ce qui concerne les Services de Sous-Traitant et les instructions décrites à la Section 5.2 (Instructions du Client), la collecte, l’enregistrement, l’organisation, la structuration, le stockage, la modification, la récupération, l’utilisation, la divulgation, la compilation, l’effacement et la destruction) les Données Personnelles du Client dans le but de fournir les Services de Sous-Traitant et tout autre support technique connexe au Client, conformément aux présentes Conditions de Traitement des Données.

Types de Données Personnelles

Les types de données personnelles qui constituent les Données Personnelles du Client sont constitués du contenu audio ou audiovisuel mis en ligne par le Client sur YouTube dans le cadre des conditions du Contrat et traité par Google pour le compte du Client dans le cadre de la prestation de Services de Sous-Traitant par Google.

Annexe 2 : Mesures de Sécurité

A compter de la Date d’Entrée en Vigueur des Conditions, Google mettra en œuvre et maintiendra les Mesures de Sécurité énoncées dans la présente Annexe 2. Google peut mettre à jour ou modifier les Mesures de Sécurité de temps à autres, sous réserve que lesdites mises à jour et modifications n'entraînent pas une dégradation de la sécurité globale des Services de Sous-Traitant.

1.         Sécurité des Centres de Données et des Réseaux

(a) Centres de Données.

Infrastructure. Google gère des centres de données répartis géographiquement. Google stocke toutes les données de production dans des centres de données physiquement sécurisés.

Redondance. Les systèmes des infrastructures ont été conçus de façon à supprimer les points de défaillance uniques et limiter l’impact des risques anticipés du milieu. Les circuits doubles, commutateurs, réseaux ou autres dispositifs nécessaires aident à assurer cette redondance. Les Services de Sous-Traitant sont conçus pour permettre à Google d’effectuer certains types de maintenance préventive et corrective sans interruption. Tous les équipements et installations du milieu ont des procédures de maintenance préventive documentées qui détaillent le processus et la fréquence de performance conformément aux spécifications du fabricant ou aux spécifications internes. La maintenance préventive et corrective de l’équipement des centres de données est planifiée dans le cadre d’un processus standard, selon des procédures documentées.

Alimentation. Les systèmes d’alimentation électrique des centres de données sont conçus pour être redondants et maintenables sans perturber le fonctionnement continu, 24 H/24 et 7 J/7. Dans la plupart des cas, une source d’alimentation principale et une source d’alimentation de secours, présentant chacune une puissance équivalente, sont fournies pour les composants critiques de l’infrastructure dans chaque centre de données. L’alimentation de secours est garantie par différents mécanismes tels que des batteries à alimentation sans interruption (UPS), qui fournissent une alimentation fiable et constante pendant les baisses de tension, les pannes d’électricité, les surtensions, les sous-tensions et les fréquences non tolérées. Si l'électricité publique est interrompue, l’alimentation de secours est conçue pour fournir une alimentation transitoire au centre de données, à pleine capacité, pendant 10 minutes maximum, jusqu’à ce que les groupes électrogènes diesel prennent le relais. Les groupes électrogènes diesel peuvent démarrer automatiquement en quelques secondes afin de fournir une alimentation d’urgence suffisante pour le fonctionnement du centre de données à pleine capacité normalement pendant quelques jours.

Systèmes d’Exploitation des Serveurs. Les serveurs Google utilisent des systèmes d’exploitation renforcés qui sont personnalisés pour les besoins uniques des serveurs de l’entreprise. Les données sont stockées à l’aide d’algorithmes exclusifs qui optimisent la sécurité des données et la redondance. Google utilise un processus d’examen de code pour augmenter la sécurité du code utilisé pour fournir les Services de Sous-Traitant et améliorer les produits de sécurité dans les environnements de production.

Continuité de l’Activité. Google copie les données sur plusieurs systèmes pour aider à se protéger contre la destruction ou la perte accidentelle. Google a conçu et planifié et testé régulièrement des programmes de planification de la continuité de l’activité/de reprise après sinistre.

(b) Réseaux et Transmission.

Transmission de Données. Les centres de données sont généralement connectés via des liens privés à haut débit pour assurer un transfert de données sécurisé et rapide entre les centres de données. Ce système est conçu pour éviter la lecture, la copie, la modification ou la suppression des données sans autorisation pendant le transfert électronique ou le transport ou pendant l’enregistrement sur un support de stockage de données. Google transfère les données via des protocoles Internet standard.

Surface Attaquable de l’Extérieur. Google utilise plusieurs niveaux de dispositifs en réseau ainsi qu’un système de détection des intrusions afin de protéger sa surface attaquable de l’extérieur. Google prend en compte les vecteurs potentiels d’attaque et intègre des technologies appropriées dans les systèmes orientés vers l’extérieur.

Détection d’Intrusion. La détection d’intrusion a pour but de donner un aperçu des activités d’attaques en cours et fournir des informations adéquates afin de répondre aux incidents. La détection des intrusions de Google implique :

1. un contrôle étroit de la taille et de la composition de la surface attaquable de Google à l’aide de mesures préventives ;

2. l’utilisation de contrôles de détection intelligents aux points d’entrée des données ; et

3. l’utilisation de technologies qui résolvent automatiquement certaines situations dangereuses.

Réponse en cas d’Incident. Google contrôle divers canaux de communication pour les incidents de sécurité et le personnel de sécurité de Google réagira rapidement aux incidents connus.

Technologies de Cryptage. Google met à disposition le cryptage HTTPS (également désigné connexion SSL ou TLS). Les serveurs Google prennent en charge l’échange de clés cryptographiques Diffie Hellman à courbe elliptique éphémère signé avec RSA et ECDSA. Ces méthodes PFS (Confidentialité de transmission parfaite) aident à protéger le trafic de données et limiter l’impact d’une clé compromise ou d’une avancée cryptographique.

2.         Contrôles des Accès et Sites

(a) Contrôles des Sites.

Gestion de la Sécurité du Centre de Données Sur Site. Les centres de données Google ont un système de sécurité sur site qui est responsable de toute la sécurité du centre de données physique, 24 H/24 et 7 J/7. Le personnel de sécurité du site contrôle les caméras de surveillance ("CCTV") et tous les systèmes d’alarmes. Le personnel de sécurité du site effectue des patrouilles internes et externes régulières dans le centre de données.

Procédures d’Accès au Centre de Données. Google maintient des procédures d’accès formelles pour permettre l’accès physique aux centres de données. Les centres de données sont situés dans des locaux qui nécessitent un accès par carte électronique, avec des alarmes reliées au système de sécurité installé sur site. Toutes les personnes qui pénètrent dans le centre de données doivent s’identifier et présenter une pièce d’identité au personnel de sécurité du site. Seuls les employés, sous-traitants et visiteurs autorisés peuvent pénétrer dans les centres de données. Seuls les salariés et prestataires autorisés peuvent demander un accès par carte électronique à ces locaux. Les demandes d’accès au centre de données par carte électronique doivent être effectuées à l’avance, par écrit, et nécessitent l’approbation du responsable du demandeur et du directeur du centre de données. Toutes les autres personnes demandant un accès temporaire au centre de données doivent : (i) obtenir une approbation préalable de la part des responsables de centre de données pour le centre de données concerné ainsi que pour les zones internes auxquelles ils souhaitent accéder ; (ii) s’identifier auprès du personnel responsable de la sécurité du site ; et (iii) mentionner des antécédents d’accès autorisé au centre de données permettant d’identifier l’individu comme personne approuvée.

Dispositifs de Sécurité du Centre de Données sur Site. Les centres de données de Google utilisent un système de contrôle d’accès par carte électronique et biométrique qui est relié à un système d’alarme. Le système de contrôle d’accès contrôle et enregistre la carte électronique d’accès de chaque personne physique et l’heure à laquelle elle accède aux portes du périmètre, aux zones d’expédition et de livraison, et autres zones critiques. Les activités non autorisées et les tentatives d’accès échouées sont enregistrées par le système de contrôle d’accès et font l’objet de recherches, le cas échéant. L’accès autorisé aux centres des opérations commerciales et aux centres de données est limité en fonction des zones et des responsabilités professionnelles de chaque personne physique. Les portes coupe-feu des centres de données sont équipées d’alarmes. Les caméras CCTV fonctionnent à l’intérieur et à l’extérieur des centres de données. Le positionnement des caméras a été prévu de façon à couvrir des zones stratégiques, notamment le périmètre, les portes vers le bâtiment du centre de données ainsi que les zones d’expédition/de livraison, entre autres. Le personnel de sécurité du site gère l’équipement de contrôle, l’enregistrement et la surveillance des caméras CCTV. Des câbles sécurisés déployés à travers les centres de données sont reliés à l’équipement CCTV. Les caméras enregistrent l'activité sur site à l’aide d’enregistreurs vidéo numériques, 24 H/24, 7 J/7. Les dossiers de surveillance sont conservés pendant un minimum de 7 jours, selon l’activité.

(b) Contrôle de l’Accès.

Personnel de Sécurité de l’Infrastructure. Google a mis en place, et maintient, une politique de sécurité pour son personnel et exige une formation en sécurité dans le cadre du module de formation de son personnel. Il incombe au personnel de sécurité de l’infrastructure de Google de contrôler de façon continue l’infrastructure de sécurité de Google, d’examiner les Services de Sous-Traitant et de répondre aux incidents liés à la sécurité.

Contrôle de l’Accès et Gestion des Privilèges. Les administrateurs et utilisateurs du Client doivent s’identifier via un système d’authentification central ou via un système à identification unique pour utiliser les Services de Sous-Traitant.

Processus et Politiques d’Accès aux Données Internes – Politique d’accès. Les processus et politiques d’accès aux données internes de Google sont conçus pour empêcher des personnes et/ou des systèmes non autorisés d’accéder aux systèmes utilisés pour traiter les données Personnelles. Google vise à concevoir ses systèmes de façon à ce que : (i) seules les personnes autorisées puissent accéder aux données auxquelles elles sont autorisées à accéder ; et (ii) les données personnelles ne puissent être lues, copiées, modifiées ou supprimées sans autorisation pendant le traitement, l’utilisation et après l’enregistrement. Les systèmes sont conçus pour détecter tout accès inapproprié. Google utilise un système de gestion des accès centralisé pour contrôler l’accès du personnel aux serveurs de production, et n'autorise l’accès qu'à un nombre limité de membres du personnel autorisés. LDAP, Kerberos et un système propriétaire utilisant des certificats SSH sont conçus pour équiper Google de mécanismes d’accès sécurisés et flexibles. Ces mécanismes sont conçus pour accorder des droits d’accès autorisés uniquement aux hébergeurs de sites, journaux, données et informations de configuration. Google exige l’utilisation d’identifiants d’utilisateurs uniques, de mots de passe sécurisés, d’une authentification à deux facteurs et de listes d’accès scrupuleusement surveillées pour limiter la potentielle utilisation non autorisée d’un compte. L’attribution ou la modification des droits d’accès dépend : des responsabilités professionnelles du personnel autorisé, des exigences liées au poste nécessaires pour effectuer les tâches autorisées et du « besoin d’en connaître ». L’attribution ou la modification des droits d’accès doit également s’effectuer conformément aux politiques d’accès aux données internes et formations de Google. Les approbations sont gérées par des outils de flux de tâches qui maintiennent à jour des dossiers de vérification de toutes les modifications. L’accès aux systèmes est enregistré de façon à créer une piste de vérification permettant de déterminer les responsabilités. Lorsque des mots de passe sont utilisés pour l’authentification (par ex. connexion aux postes de travail), des politiques de mots de passe respectant au minimum les pratiques standard du secteur sont appliquées. Ces pratiques standard incluent notamment des restrictions sur la réutilisation du mot de passe et des exigences sur la sécurité du mot de passe.

3.         Données

(a) Stockage des Données, Isolement et Authentification

Google stocke des données dans un environnement multi-utilisateur sur des serveurs appartenant à Google. Les données, la base de données des Services de Sous-Traitant et l’architecture du système de fichiers sont dupliquées entre plusieurs centres de données dispersés géographiquement. Google opère un isolement logique des données de chaque utilisateur. Un système d’authentification central est utilisé pour tous les Services de Sous-Traitant pour optimiser la sécurité des données.

(b) Disques Mis Hors Service et Instructions sur la Destruction de Disques.

Certains disques contenant des données peuvent présenter des problèmes de fonctionnement, des erreurs ou une défaillance matérielle qui nécessitent leur mise hors service (“Disque Mis Hors Service”). Chaque Disque Mis Hors Service est soumis à une série de processus de destruction des données (“Instructions de Destruction des Données”) avant de quitter les locaux de Google pour réutilisation ou destruction. Les Disques Mis Hors Service sont effacés dans le cadre d’un processus à plusieurs étapes et sont soumis à un contrôle complet par au moins deux validateurs indépendants. Les résultats d’effacement sont enregistrés par le numéro de série de chaque Disque Mis Hors Service pour suivi. Enfin, le Disque Mis Hors Service effacé est placé en stock pour réutilisation ou redéploiement. Si, en raison d'une défaillance matérielle, le Disque Mis Hors Service ne peut être effacé, il est stocké en toute sécurité jusqu’à ce qu’il puisse être détruit. Chaque installation fait l’objet d’audits réguliers pour contrôler la conformité aux Instructions de Destruction des Données.

4.         Sécurité et Personnel

Le personnel de Google est tenu de se comporter d'une manière conforme aux lignes directrices de la société en matière de confidentialité, d’éthique professionnelle, d’usage approprié et de normes professionnelles. Google effectue des vérifications d'antécédents raisonnablement appropriées, dans la mesure où la loi l'y autorise, et conformément au droit du travail local et à d’autres règlementations en vigueur.

Le personnel est tenu de signer un accord de confidentialité et doit accuser réception et se conformer aux politiques de confidentialité et de protection de la vie privée de Google. Le personnel suit une formation à la sécurité. Le personnel manipulant les Données Personnelles du Client est tenu de satisfaire à des exigences supplémentaires en fonction du poste. Le personnel de Google ne traitera aucune Donnée Personnelles du Client sans autorisation.

5.         Sécurité et Sous-Traitant Ultérieur

Avant d’accueillir des Sous-Traitants Ultérieurs, Google procède à un audit de leurs pratiques de sécurité et de confidentialité pour s’assurer qu’ils offrent un niveau de sécurité et de confidentialité adapté à leur accès aux données et aux services qu'ils sont chargés de fournir. Une fois que Google a évalué les risques présentés par le Sous-Traitant Ultérieur, alors, toujours sous réserve des exigences stipulées dans la Section 11.3 (Exigences relatives à l’Engagement de Sous-Traitants Ultérieurs), le Sous-Traitant Ultérieur doit s’engager à respecter des conditions contractuelles de sécurité, de confidentialité et de protection de la vie privée.