Accord relatif au traitement des données personnelles
entre la Société et Nuance
Pour toutes les finalités, la version anglaise de ce Contrat doit être considérée comme la version originale et officielle du contrat qui gouverne et régit les relations entre les parties. Sauf disposition légale contraire, la traduction de ce Contrat est établie pour des raisons de commodité, et en cas de contradiction entre cette version anglaise du Contrat et sa traduction dans toute autre langue, cette version anglaise prévaudra.
Dernière modification le 01 Oktober 2023 / Versions précédentes
|
PREAMBULE |
(A) Les Parties ont conclu un ou plusieurs contrats en vertu desquels Nuance fournit de temps à autre à la Société certains Services (collectivement appelés le “Contrat Principal”). |
(B) Les Parties ont convenu que, pour que Nuance puisse s'acquitter de ses obligations en vertu de ce Contrat Principal, il Traitera certaines Données Personnelles pour lesquelles la Société sera Responsable de Traitement, ou Sous-traitant agissant au nom du Responsable de Traitement, et Nuance agira respectivement en tant que Sous-traitant ou sous-traitant ultérieur (telles que définies ci-dessous). |
(C) En conséquence, les Parties ont accepté de conclure ce présent ATDP concernant le Traitement de Données Personnelles par Nuance en sa qualité de Sous-traitant ou sous-traitant ultérieur. |
|
1. DEFINITIONS. Les expressions suivantes sont utilisées dans le présent ATDP : Si les définitions qui y figurent diffèrent de celles du Contrat Principal relatif à la protection des données, le présent ATDP prévaut quant à l'objet spécifique de cette définition. |
(a) “Pays Adéquat” signifie, dans chaque juridiction concernée, le sens qui lui est donné (ou le terme équivalent le plus proche) dans les Lois sur la protection des données , y compris, mais sans s'y limiter, ceux pour lesquels la Commission européenne considère qu’un niveau adéquat de protection est assuré. Cette liste est publiée au Journal officiel de l'Union Européenne. |
(b) “Données biométriques” a, dans chaque juridiction concernée, le sens qui lui est donné (ou le terme équivalent le plus proche) dans les Lois sur la protection des données applicables dans cette juridiction et les "identifiants biométriques" et "informations biométriques" seront interprétés en conséquence. |
(c) “Société” désigne l'entité qui est partie au présent ATDP et au Contrat Principal. |
(d) "Lois sur la protection des données” désigne toutes les lois et règlements ainsi que leurs modifications, applicables aux Traitements de Données Personnelles mis en œuvre au titre du Contrat Principal, y compris, mais sans s'y limiter, le RGPD. |
(e) “Demande de la Personne Concernée” signifie une demande émanant d’une Personne Concernée ou en son nom d’exercer ses droits en vertu des Lois sur la Protection des données. |
(f) “Clauses Contractuelles Types de l’UE” : signifie les clauses contractuelles types pour le transfert de Données Personnelles dans des pays tiers conformément au Règlement (UE) 2016/679 du Parlement et du Conseil Européen et basées sur la décision de la Commission Européenne (UE) 2021/914 du 4 juin 2021, ou toute décision de la Commission européenne modifiant ou remplaçant la décision du 4 juin 2021. |
(g) “RGPD” (connu sous le nom de Règlement Général sur la Protection des Données) désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du Traitement des Données Personnelles et à la libre circulation de ces données . |
(h) “Nuance” désigne l'entité Nuance qui est partie au présent ATDP et au Contrat Principal avec la Société, à savoir : (i) Nuance Communications Inc. dont l'adresse est 1 Wayside Rd, Burlington, MA 01803, États-Unis, ou (ii) Nuance Communications Ireland Ltd dont l'adresse est 57b Harcourt St, Saint Kevin's, Dublin, D02 VE22, Irlande. |
(i) “Données Personnelles” signifie “données à caractère personnel” au sens des Lois sur la protection des données. |
(j) “Violation de Données Personnelles” signifie une « violation de données personnelles » ou « violation de données » telle que définie par les Lois sur la protection des données et relevant du périmètre de responsabilité de Nuance par l'un de ses employés, sous-traitants ultérieurs ou tout autre tiers identifié ou non à compter du moment ou Nuance en a pris connaissance avec un degré raisonnable de certitude. |
(k) “Services” désigne l'application, le produit ou les services tels que le support, la maintenance ou les services professionnels et les autres activités à fournir à, ou à réaliser pour le compte de, la Société/filiale de la Société conformément au Contrat Principal. |
(l) “Addendum international pour le Royaume-Uni concernant le transfert de données” désigne l'Addendum international aux Clauses Contractuelles Types de l’UE concernant le transfert de données publié par l’Autorité de Contrôle britannique pour les Parties effectuant des Transferts Restreints, en vigueur depuis le 21 mars 2022. |
(m) “Traiter”, “Traitement”, “Responsable de Traitement”, “Sous-traitant”, “Personne Concernée”, et “Autorité de Contrôle” sont définies suivant les définitions données par le RGPD. |
Nuance et la Société sont parfois désignées individuellement comme une « Partie » et collectivement comme les « Parties ». |
2. PRESENTATION DES PARTIES ET OBJET |
2.1 La Société, en tant Responsable de Traitement ou Sous-traitant agissant pour le compte du Responsable de Traitement accorde à Nuance le droit de Traiter des Données Personnelles permettant de fournir à la Société les Services prévus par le présent ATDP et conformément au Contrat Principal. |
3. LES CONDITIONS DE TRAITEMENT |
3.1 Précision sur le Traitement des Données Personnelles. La Société est responsable de la détermination des bases légales pour le Traitement des Données Personnelles, y compris l'obtention de tous les consentements nécessaires le cas échéant et se conformera à toutes les Lois sur la protection des données applicables à cet égard. Les catégories de Données Personnelles Traitées en vertu du présent ATDP ainsi que l'objet, la nature et la finalité du Traitement, les Personnes Concernées, le(s) lieu(x) et la durée de conservation sont réalisés tels que décrits dans les Détails sur le Traitement des Données Personnelles qui se trouve à l'adresse suivante: https://www.nuance.com/fr-fr/about-us/terms-and-conditions/data-processing-terms/details.html(Ouvrir une nouvelle fenêtre) . La durée du Traitement sera celle du Contrat Principal. |
3.2 Traitement sous le contrôle du Responsable de Traitement. Nuance ne Traitera les Données Personnelles que pour fournir les Services et n'agira que selon les instructions documentées, y compris en cas de transfert des Données Personnelles de la Société vers tout pays ou territoire, afin de fournir lesdits Services, sauf si cela s'avère nécessaire pour se conformer à une obligation légale à laquelle Nuance est soumise. Dans ce cas, Nuance informera la Société de cette exigence légale avant le Traitement, à moins que la loi, le règlement ou l'ordonnance n'interdise cette information pour des raisons importantes d'intérêt public. Les instructions individuelles de la Société concernant le Traitement des Données Personnelles sont détaillées dans le Contrat Principal et le présent ATDP. La Société donne instruction à Nuance et à ses sous-traitants ultérieurs et Filiales d'utiliser, de compiler (y compris en créant des modèles statistiques et autres), d'annoter et d'analyser les Données Personnelles avec pour objectif d'exploiter, de maintenir, de régler, d'améliorer, de perfectionner et de fournir des services d'assistance technique pour la reconnaissance vocale, la compréhension du langage naturel et les autres logiciels et technologies de Nuance qui sont intégrés aux Services. La Société reconnaît que Nuance appliquera des mesures de protection de la vie privée telles que l'anonymisation des Données Personnelles, le cas échéant. Les instructions relatives au Traitement des Données Personnelles peuvent être modifiées, complétées ou remplacées par un avenant au présent ATDP par le biais du processus de contrôle des modifications établi. Les instructions non prévues ou non couvertes par le Contrat Principal ou le présent ATDP seront traitées comme des demandes de modification du présent ATDP. Toute instruction supplémentaire ou alternative doit faire l'objet d'un accord écrit et peut être facturée séparément. La Société accepte que les instructions suivantes soient données : (a) le Traitement conformément au Contrat Principal et, si cela a été convenu, au(x) bon(s) de commande ou au(x) cahier(s) des charges ; et (b) le Traitement initié par les utilisateurs des Services (par exemple, lors de l'envoi d'un fichier de sortie par email à une autre personne). La Société est responsable du respect de ses obligations en tant que Responsable de Traitement en vertu des Lois sur la protection des données, y compris la notification et l’obtention de tous les consentements nécessaires et Nuance devra, dès qu’elle en aura connaissance, informer la Société, si (i) elle estime qu’une instruction enfreint les Lois sur la protection des données ou ; (ii) des informations supplémentaires en la possession ou sous le contrôle de la Société sont demandées ou exigées par une Autorité de Contrôle en rapport avec les activités de Traitement des données effectuées par Nuance en vertu du présent ATDP. Dans de tels cas, Nuance aura le droit de demander toutes les informations nécessaires pour démontrer le respect des obligations de la Société, que la Société pourra rédiger comme il convient pour préserver la confidentialité de toute Donnée Personnelle. |
3.3 Responsabilité de Nuance. Nuance Traite les Données Personnelles qui peuvent être incorporées par la Société dans les fichiers officiels. Nuance ne gère pas le système d'enregistrement de la Société, et par conséquent, Nuance ne stocke ni ne conserve aucun enregistrement officiel, en tout ou en partie, pour la Société. Les originaux de tout fichier, y compris les dossiers médicaux, seront conservés par la Société ou ses autres sous-traitants. Nuance n'a accès qu’à certaines parties des fichiers,à distance et via le système informatique de la Société dans le cadre de la fourniture des Services prévus dans le Contrat Principal. |
3.4 Confidentialité. Sans préjudice de tout accord contractuel préexistant entre les Parties, Nuance traitera toutes les Données Personnelles en veillant à respecter leur caractère strictement confidentiel. Nuance prendra les mesures appropriées pour que seul le personnel autorisé, soumis à des obligations de confidentialité, contractuelles ou légales, ait accès aux Données Personnelles. La résiliation ou l'expiration du présent ATDP ne libère pas Nuance de ses obligations de confidentialité. |
3.5 Limitation de l'accès. Nuance veillera à ce que l'exécution des Services conformément au présent ATDP soit limitée au personnel qui exécute le service dans le cadre du Contrat Principal. |
3.6 Data Protection Officer (DPO) ou Délégué à la Protection des Données (DPD) Nuance a nommé un délégué à la protection des données, qui peut être contacté par courriel à l'adresse Privacy@Nuance.com ou par courrier postal à l'adresse suivante : |
Chief Privacy Officer Nuance Communications, Inc. 1 Wayside Road Burlington MA 01803 ÉTATS-UNIS |
Data Protection Officer Nuance Communications Ireland, Ltd The Harcourt Building, 4th Floor 57B Harcourt Street Dublin 2, D02 F721 Irlande |
Toute modification de ces coordonnées sera indiquée sur le site internet https://www.nuance.com/about-us/company-policies/privacy-policies.html(Ouvrir une nouvelle fenêtre). |
3.7 Information aux Personnes Concernées. Concernant les Données Personnelles fournies à Nuance par la Société dans le cadre du Contrat Principal, la Société est tenue de fournir les indications et informations requises par les Lois sur la protection des données au moment de la collecte, y compris, mais sans s'y limiter, les informations concernant : |
(i) Les destinataires ou les catégories de destinataires autorisés par la section 5 ; et |
(ii) Transfert de Données Personnelles vers des pays tiers tels qu’indiqués dans la Liste des sous-traitants ultérieurs, qui se trouve à l'adresse suivante : https://www.nuance.com/fr-fr/about-us/terms-and-conditions/data-processing-terms/sub-processors.html(Ouvrir une nouvelle fenêtre), pour les besoins décrits à la section 3.2 ci-dessus. Nuance devra également se conformer aux exigences de transfert énoncées dans la section 6 ci-dessous. |
|
3.8 Demandes des Personnes Concernées. Entre les Parties, la Société est chargée de traiter toutes les demandes des Personnes Concernées. Nuance informera sans délai la Société si Nuance reçoit une demande d'exercice de ses droits par une Personne Concernée. En tenant compte de la nature du Traitement et dans la mesure du possible, Nuance aidera la Société, grâce à des mesures techniques et organisationnelles appropriées, à remplir les obligations de la Société pour répondre à ladite Demande de la Personne Concernée conformément aux Lois sur la protection des données. Dans la mesure où la loi le prévoit, la Société supportera tous les coûts raisonnables découlant de la fourniture de cette aide par Nuance. |
3.9 Notification de Violation de Données Personnelles. Nuance applique une politique de gestion des incidents et informe la Société de toute Violation de Données Personnelles dans les meilleurs délais après en avoir pris connaissance. Cette notification comprendra les informations requises que Nuance, en tant que Sous-traitant, est tenue de fournir au Responsable de traitement conformément aux Lois sur la protection des données, dans la mesure où ces informations sont raisonnablement disponibles pour Nuance. |
En cas de Violation de Données Personnelles, Nuance devra enquêter sur la cause de cette Violation de Données Personnelles et prendra les mesures qu’elle jugera nécessaires selon les normes du secteur, afin de remédier à la cause de cette violation dans le cadre de l'obligation de la Société en vertu des Lois sur la protection des données. |
3.10 Suppression des Données Personnelles. Dans la mesure du possible, après la résiliation du présent ATDP ou du Contrat Principal, Nuance supprimera toutes les Données Personnelles, sauf si la loi applicable exige qu’elle continue à les stocker. La Société reconnaît que la suppression des Données Personnelles par Nuance permet de remplir son obligation légale de restitution des Données Personnelles à la Société. |
3.11 Audit et registres. Sous réserve d'un préavis raisonnable de la Société, Nuance lui fournira des preuves raisonnables permettant de démontrer qu'elle respecte le présent ATDP ainsi que les Lois sur la protection des données. En outre, Nuance autorisera et contribuera aux audits, y compris aux inspections, menés par la Société ou par un autre auditeur mandaté par la Société. Nuance pourra satisfaire au droit d'audit de la Société en vertu des Lois sur la protection des données en fournissant à la Société les informations nécessaires telles que : |
(a) un rapport d'audit datant de moins de dix-huit (18) mois, établi par un auditeur externe enregistré et indépendant, démontrant que les mesures techniques et organisationnelles de Nuance décrites dans la Description des mesures techniques et organisationnelles qui se trouve à l'adresse suivante : https://www.nuance.com/fr-fr/about-us/terms-and-conditions/data-processing-terms/TOMs.html(Ouvrir une nouvelle fenêtre), sont suffisantes et conformes à une norme d'audit acceptée par l'industrie, telle que la norme SSAE 18, SOC 1, SOC 2, SOC 3, ISO 27001, ISAE 3402 ; et/ou |
(b) des informations supplémentaires détenues par Nuance ou par une Autorité de Contrôle, lorsqu'elle demande ou exige des informations supplémentaires en rapport avec les activités de Traitement de données menées par Nuance dans le cadre du présent ATDP. |
(c) Nonobstant ce qui précède, dans le cas où la Société souhaiterait entreprendre une autre forme d'audit, la Société peut procéder à un audit des pratiques de contrôle de Nuance, y compris au sein des locaux de Nuance, et la Société doit contacter Nuance conformément à la section « Avis » du Contrat Principal. La Société remboursera à Nuance le temps consacré par les professionnels mis à sa disposition lors de l’audit sur site suivant les tarifs de Nuance en vigueur. Avant le démarrage d'un audit sur site, la Société et Nuance conviendront de la portée, du calendrier et de la durée de l'audit, ainsi que du taux de remboursement dont la Société sera responsable. Les taux de remboursement doivent être raisonnables, et tenir compte des dépenses de Nuance. La Société notifiera sans délai à Nuance toute non-conformité découverte au cours d'un audit et lui accordera un délai raisonnable pour y remédier. |
(d) Les Parties conviennent du fait que lors de l'exécution de procédures d'audit relatives à la protection des Données Personnelles, la Société prendra toutes les mesures raisonnables pour en limiter l’influence sur le cours normal des activités professionnelles habituelles de Nuance. |
3.12. Assistance de Nuance. Nuance devra, en sa qualité de Sous-traitant et uniquement dans le cadre requis par les Lois sur la Protection des données, aider la Société dans le respect des obligations prévues par les Lois sur la Protection des données en tant que Responsable de Traitement, en tenant compte de la nature du Traitement et des informations dont elle dispose. Il peut s'agir d'une assistance pour garantir un niveau de sécurité des Données Personnelles adapté au risque et, le cas échéant, pour notifier les Violations de Données Personnelles à l’Autorité de Contrôle et aux Personnes Concernées, ainsi qu'une assistance raisonnable dans la réalisation des analyses d'impact relatives à la protection des données et la consultation de l'Autorité de Contrôle avant le traitement. |
4. SÉCURITÉ |
Suivant les dernières technologies disponibles, leur coût de mise en œuvre, la nature, la portée, le contexte, la finalité du Traitement ainsi que selon le risque pour les droits et libertés des personnes physiques, Nuance maintiendra des mesures techniques et organisationnelles appropriées, appropriées pour garantir un niveau de sécurité adapté au risque, comme indiqué dans la Description des mesures techniques et organisationnelles qui se trouve à l'adresse suivante : https://www.nuance.com/fr-fr/about-us/terms-and-conditions/data-processing-terms/TOMs.html(Ouvrir une nouvelle fenêtre) |
5. SOUS-TRAITAnce |
5.1 Les Filiales en tant que sous-traitants ultérieurs. La Société octroie une autorisation générale à Nuance pour désigner comme sous-traitant ultérieur, pour permettre la fourniture des Services toutes les autres entités en position de contrôle, sous propriété commune ou contrôle de la société mère de Nuance, Nuance Communications, Inc. (“Filiales”), comme précisé dans la Liste des sous-traitants ultérieurs qui se trouve à l'adresse suivante : https://www.nuance.com/fr-fr/about-us/terms-and-conditions/data-processing-terms/sub-processors.html(Ouvrir une nouvelle fenêtre) |
5.2 Sous-traitants ultérieurs tiers. La Société accorde à Nuance et à ses Filiales une autorisation générale pour désigner les sous-traitants ultérieurs répertoriés dans la Liste des sous-traitants ultérieurs qui se trouve à l'adresse suivante : https://www.nuance.com/fr-fr/about-us/terms-and-conditions/data-processing-terms/sub-processors.html(Ouvrir une nouvelle fenêtre) |
5.3 Changements de sous-traitant ultérieur ; droit d’opposition de la Société. Nuance communiquera à la Société le nom de tout nouveau sous-traitant ultérieur et de tout sous-traitant ultérieur de remplacement avant qu'il ne commence à traiter les Données Personnelles. Dans les dix (10) jours ouvrables suivant la réception de la notification d'un changement de Sous-traitant, la Société pourra s'y opposer en adressant une notification écrite à Nuance. La notification doit décrire les raisons de l’opposition de la Société, qui doit reposer sur des raisons valables. Le fait de ne pas notifier son opposition pendant cette période constitue une renonciation au droit d'opposition. Si la Société notifie son opposition par écrit, celle-ci sera discutée de bonne foi entre elles et afin de tenter de la surmonter. Si aucune solution n'est trouvée dans les trente (30) jours suivant la notification initiale de l’opposition et si le Contrat Principal ne peut être exécuté sans le recours au sous-traitant visé par l’opposition, la Société peut mettre fin aux Services de la Société concernés moyennant un préavis écrit de soixante (60) jours, ce préavis devant être donné au plus tard quarante-cinq (45) jours après la date de la notification initiale de l’opposition. |
5.4 La responsabilité de Nuance. Nuance et/ou les Filiales exigeront de tout sous-traitant ultérieur qu'il conclue un accord écrit avec Nuance afin de protéger les Données Personnelles selon des exigences de protection des Données équivalentes à celles du présent ATDP. Nuance restera responsable envers la Société de toute violation par le sous-traitant ultérieur de son contrat. |
6. TRANSFERTS DE DONNEES |
6.1 Lieu d'hébergement de Nuance. Nuance fournit, exploite et maintient les centres d’hébergement de données dans les lieux décrits dans les Détails sur le Traitement des Données Personnelles, qui se trouve à l'adresse suivante : https://www.nuance.com/fr-fr/about-us/terms-and-conditions/data-processing-terms/details.html(Ouvrir une nouvelle fenêtre), pour permettre le fonctionnement des Services. |
6.2 Transferts en dehors de la première juridiction par Nuance. La Société reconnaît que Nuance peut Traiter ou accorder l’accès (“transférer”) aux Données Personnelles à des sous-traitants ultérieurs : (i) en dehors de la ou des juridiction(s) d’où proviennent les Données Personnelles(“Première Juridiction”), et (ii) une juridiction qui n’est pas considérée comme un Pays Adéquat dans la Première Juridiction. Si les Données Personnelles sont transférées par Nuance, Nuance s'assurera de la mise en place d'un mécanisme permettant d'atteindre un niveau de sécurité adéquat concernant ce Traitement tel que : |
(a) L'obligation pour le sous-traitant ultérieur de s'auto-certifier conformément au Cadre de Protection des Données UE-États-Unis (EU-U.S. DPF), à l'extension du EU-U.S. DPF au Royaume-Uni et au Cadre de Protection des Données Suisse-États-Unis (Swiss-U.S. DPF) ; |
(b) Pour les Données Personnelles provenant d’un pays appartenant à l’EEE, (i) l'exécution entre Nuance et ses sous-traitants ultérieurs des Clauses Contractuelles Types de l’UE (Module Trois – De Sous-traitant à Sous-traitant), dont une copie peut être mise à disposition de la Société sur demande et (ii) l'obligation pour les sous-traitants ultérieurs de se conformer aux principes de transfert ultérieur prévus par les Clauses Contractuelles Types de l'UE ; et |
(c) L'adoption par Nuance et ses sous-traitants ultérieurs de garanties supplémentaires, le cas échéant, pour s'assurer que pendant et après le transfert, les Données Personnelles soient soumises à un niveau de protection équivalent à celui de l'UE. Ces garanties peuvent inclure l'anonymisation des Données Personnelles, au même titre que la pseudonymisation ou le cryptage, y compris durant la transmission, en prenant en compte le niveau de protection des données dans le pays destinataire et de la nature des Données Personnelles concernées. De plus amples détails sur les garanties appliquées par Nuance et les Filiales sont présentés dans la Description des mesures techniques et organisationnelles qui se trouve à l'adresse https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/TOMs.html(Ouvrir une nouvelle fenêtre). alors que Les garanties supplémentaires appliquées par Nuance et ses sous-traitants ultérieurs ne libèrent pas la Société de ses propres obligations en matière de protection des données ; ou |
(d) Toute autre garantie spécifiquement approuvée pour un transfert de données en vertu des Lois sur la Protection des Données ou d'une décisiond'adéquation de la Commission européenne. |
Aux fins de l'article 6.2 (a), il est confirmé par la présente que Nuance Communications Inc. et ses filiales américaines en tant que sous-traitants ultérieurs sont certifiés au titre du EU-U.S. DPF, de l'extension du EU-U.S. DPF au Royaume-Uni et du Swiss-U.S. DPF, ainsi que des engagements qu'ils impliquent. Nuance s'engage à informer la Société si elle détermine qu'elle n'est plus en mesure de respecter son obligation de fournir le même niveau de protection que celui requis par les Principes du Cadre de Protection des Données UE-États-Unis en ce qui concerne le Traitement des Données Personnelles reçues de l'Union européenne en vertu du UE-U.S. DPF et du Royaume-Uni (et de Gibraltar) en vertu de l'extension du UE-U.S. DPF au Royaume-Uni et/ou par les Principes du Cadre de Protection des Données Suisse-États-Unis en ce qui concerne le Traitement des Données Personnelles reçues de la Suisse. |
6.3 Transferts en dehors de de la Première Juridiction par la Société. Si des Données Personnelles en provenance de la Première Juridiction sont communiquées par la Société/les Filiales de la Société à Nuance vers un autre pays : : (i) en dehors de la Première Juridiction, et (ii) une juridiction qui n’est pas considérée comme un Pays Adéquat dans la Première Juridiction. |
(a) Lorsque les Données Personnelles proviennent d'un pays situé dans l'EEE, les Clauses Contractuelles Types de l'UE (Module deux - du Responsable de Traitement au Sous-traitant) situées à l'adresse https://www.nuance.com/fr-fr/about-us/terms-and-conditions/data-processing-terms/eu-standard-contract-clause-C2P.html(Ouvrir une nouvelle fenêtre), s'appliqueront, et la Société/les Filiales de la Société sera(seront) considérées comme l'Exportateur. Les Clauses Contractuelles Types de l'UE sont acceptées et incorporées par référence dans le présent ATDP et en font partie intégrante. L'obligation de respecter les principes de transfert ultérieur énoncés à la Section 6.2 (a) et les obligations énoncées à la Section 6.2 (b) s'appliquent en conséquence. |
(b) Pour les Données Personnelles provenant d'un pays situé en dehors de l'EEE, des dispositions spécifiques de transfert de données transfrontalier sont détaillées dans la Section 8 ci-dessous. |
|
7. DISPOSITIONS RELATIVES A DES CATEGORIES SPÉCIFIQUES DE DONNÉES PERSONNELLES |
7.1 Données relatives aux enfants. La Société déclare et garantit par les présentes que : |
(a) Le cas échéant, le site web, les services et les produits de la Société sont conformes au RGPD, à la loi américaine de 1998 sur la protection de la vie privée des enfants en ligne (“COPPA”) et aux autres Lois sur la Protection des Données protégeant les Données Personnelles des enfants de moins de 16 ans (“Données relatives aux enfants”) y compris, mais sans s'y limiter, les règles relatives à l'obtention du consentement. |
(b) La Société ne doit pas utiliser les Services de Nuance en relation avec un site, un service ou un produit en ligne dont le public principal est constitué d'enfants de moins de 16 ans (“Principalement destiné aux enfants”). L'expression « principalement destiné aux enfants » se fonde sur des preuves empiriques concernant la composition de l'audience ainsi que sur des éléments concernant le public visé, tels que le sujet, le contenu visuel, l'utilisation de personnages animés ou d'activités, les incitations destinées aux enfants, la musique ou tout autre contenu audio, l'âge des modèles, la présence d'enfants ou de célébrités qui plaisent aux enfants, la langue ou d'autres caractéristiques du site web ou du service en ligne, ainsi que le fait que la publicité promouvant ou apparaissant sur le site web ou le service en ligne soit destinée aux enfants. |
(c) Si la Société utilise un logiciel sous licence Nuance pour des sites, services ou produits en ligne principalement destinés aux enfants, elle ne doit pas envoyer à Nuance (dans le cadre de la maintenance, du support et des outils concernant le logiciel sous licence Nuance, ou autrement) de Données relatives aux enfants. |
(d) Si la Société utilise des Services pour des sites en ligne à audience mixte ou générale, des services ou des produits qui peuvent être accessibles aux enfants de moins de 16 ans, mais qui ne sont pas principalement destinés aux enfants, alors le mécanisme vérifiable de consentement parental de la Société, la notification directe et la notification sur le Web, lorsque cela est exigé par les Lois sur la protection des données, doivent divulguer de manière adéquate et couvrir suffisamment le transfert des données relatives aux enfants à Nuance et la collecte et le traitement des données relatives aux enfants par Nuance conformément au présent ATDP. |
Les Parties conviennent que Nuance n'est pas un opérateur au sens où ce terme est défini dans le COPPA. |
7.2 Conformité au Californian Consumer Privacy Act (CCPA). Dans la mesure où Nuance reçoit de la Société toute information personnelle” de tout “consommateur” soumis à la loi californienne sur la protection de la vie privée des consommateurs (“CCPA”) pour traitement au nom de la Société en vertu du présent ATDP, Nuance et la Société devront chacune se conformer à toutes les dispositions applicables du CCPA et chaque Partie devra, sur demande écrite raisonnable de l'autre, coopérer de bonne foi pour conclure des conditions supplémentaires et modifiées afin de tenir compte de tout amendement au CCPA ou autrement pour assurer le respect de ces conditions par les Parties. Dans la mesure du possible, Nuance sera considérée comme un “fournisseur de services” de la Société en vertu du CCPA, et ne devra pas (a) conserver, utiliser ou divulguer ces informations personnelles dans un but autre que celui de fournir des Services dans le cadre de ce ATDP ou que celui autorisé par le CCPA, y compris dans un “but commercial” valide ; (b) conserver, utiliser ou divulguer ces informations personnelles dans un “but commercial” autre que la fourniture des Services dans le cadre de ce présent ATDP; (c) conserver, utiliser ou divulguer ces informations personnelles en dehors de la relation commerciale directe entre Nuance et la Société ; ou (d) “vendre” ces informations personnelles. Nuance comprend et garantit qu'elle se conformera aux interdictions décrites dans le présent document. Les termes “informations personnelles”, “consommateur”, “fournisseur de services”, “finalité commerciale”, “but commercial” et “vendre” ont la signification qui leur est donnée dans le CCPA. |
7.3 Données biométriques. |
7.3.1 En ce qui concerne les Données Personnelles définies à la Section 1, les Données Personnelles comprennent les Données biométriques dans la mesure où Nuance crée ou reçoit de la Société des identifiants biométriques, des informations biométriques ou des Données Personnelles résultant d'un traitement technique spécifique relatif aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment l'identification ou authentification unique de cette personne physique. |
7.3.2 En plus des exigences énumérées dans la Section 3.7, la Société est responsable de la fourniture de tous les avis, de la politique écrite, mis à la disposition du public, et/ou des informations relatives aux Données Personnelles requises par les Lois sur la protection des données, y compris, mais sans s'y limiter, donner un avis concernant : |
(i) L'enregistrement des conversations avec la société et la divulgation de ces enregistrements à Nuance, à ses Filiales et à ses sous-traitants ; |
(ii) Traitement par Nuance de caractéristiques physiques, physiologiques ou comportementales dans le but de créer, collecter ou stocker des Données Personnelles. La Société reconnaît que ce Traitement est effectué dans le but limité de fournir un service et que Nuance n'achète pas, ne vend pas, ne loue pas, n'échange pas ou ne tire aucun autre profit de l'identifiant biométrique ou des informations biométriques d'une personne physique ; |
(iii) Durée et directives relatives à la destruction définitive de l'identifiant biométrique ou des données biométriques collectées, stockées et utilisées. |
7.3.3 La Société doit obtenir tous les consentements, autorisations ou licences, si nécessaire pour permettre à Nuance de saisir, stocker, traiter, divulguer, utiliser et transférer à l'international les Données Personnelles. |
7.3.4 La Société fera toutes les divulgations nécessaires et obtiendra l'approbation des Autorités de Contrôle requises en vertu des Lois sur la protection des données, y compris, mais sans s'y limiter, la Loi québécoise concernant le cadre juridique des technologies de l'information (L.R.Q., c. C-1.1) régissant une base de données de caractéristiques et de mesures biométriques. |
7.3.5 Lorsqu'une personne se désinscrit de l'authentification biométrique, que son compte est fermé ou que l'objectif initial de la collecte ou de l'obtention de ces informations personnelles a été satisfait, la Société fournit à Nuance les instructions relatives à la suppression des Données Personnelles requises par les Lois sur la protection des données. |
7.3.6 Le non-respect par la Société des dispositions de la présente section 7.3 constitue une violation substantielle du présent ATDP et du Contrat Principal et permettra à Nuance de suspendre les Services. |
8. DISPOSITIONS APPLICABLES AUX PERSONNES SITUÈES DANS D’AUTRES PAYS. |
Chacune des dispositions supplémentaires suivantes s'applique en fonction de la localisation de la personne dans le pays respectif dont les Données Personnelles sont Traitées. |
8.1 DISPOSITIONS applicables a L'ARGENTINE |
8.1.1 Loi sur la protection des données. En ce qui concerne les Données Personnelles des personnes situées en Argentine, les Lois sur la protection des données définies à l'article 1 comprennent les principes argentins de protection de la vie privée, tels que définis par la loi argentine 25 326 relative à la protection des données personnelles. |
8.1.2 Obligation générale de traitement. Nuance Traitera les Données Personnelles conformément aux dispositions des Lois sur la protection des données. |
8.1.3 Transfert hors d'Argentine par l'entreprise. Pour les Données Personnelles en provenance d’Argentine, les Parties conviennent que les Clauses Contractuelles Types d'Argentine conclues entre la Société et Nuance, qui se trouvent à l'adresse suivante : https://www.nuance.com/fr-fr/about-us/terms-and-conditions/data-processing-terms/ar-standard-contract-clause.html(Ouvrir une nouvelle fenêtre) s’appliqueront. |
8.1.4 Transferts hors d'Argentine par Nuance. Lorsque le transfer test réalisé au profit d’un sous-traitant ultérieur qui n'est pas situé dans un Pays Adéquat, Nuance s'assurera qu'un mécanisme permettant d'atteindre le niveau de protection requis en ce qui concerne le Traitement est en place, de tel que : |
(a) L'exécution par Nuance, pour elle-même et/ou pour le compte de la Société, des Clauses Contractuelles Types de l’Argentine. Sur demande, Nuance fournira à la Société, pour examen, ces copies des clauses contractuelles, sous réserve de la suppression des informations commerciales confidentielles non pertinentes pour les exigences du présent ATDP. La Société autorise Nuance et ses Filiales à conclure des Clauses Contractuelles Types d’Argentine conformes au présent ATDP et aux Clauses Contractuelles Types d’Argentine pour les transferts de Responsables de Traitement vers Sous-traitants, qui se trouve à l'adresse suivante : https://www.nuance.com/fr-fr/about-us/terms-and-conditions/data-processing-terms/ar-standard-contract-clause.html(Ouvrir une nouvelle fenêtre) , au nom de la Société ; |
(b) L'existence d'un cadre d'autorégulation ou de règles d'entreprise contraignantes assurant une protection adéquate des Données Personnelles transférées. |
|
8.2 DISPOSITIONS APPLICABLES A L’AUSTRALIE |
8.2.1 Loi sur la protection des données. En ce qui concerne les Données Personnelles des personnes physiques situées en Australie, les Lois sur la protection des données définies à la Section 1 comprennent la législation fédérale, étatique et territoriale applicable en matière de protection de la vie privée. |
8.2.2 Obligation générale de Traitement. Nuance Traitera les Données Personnelles d'une manière compatible avec les Lois sur la protection des données. |
8.2.3 Obligation de Notification des Violations. Si la Société est située en Australie, la définition de Violation de Données Personnelles énoncée à la Section 1 doit inclure toute “violation de données admissibles” telle que définie dans le cadre du régime australien de notification des violations de données. |
8.2.4 Transferts hors d'Australie. Outre les exigences de l'article 6.3, dans le cas où Nuance transférerait des Données Personnelles hors d'Australie, Nuance conclura ou aura conclu avec les cessionnaires des accords prévoyant des protections contractuelles, substantiellement similaires aux principes australiens de protection de la vie privée, portant sur les Données Personnelles dans la même mesure que celle requise par les obligations imposées à Nuance par le présent ATDP. |
8.3 DISPOSITIONS APPLICABLES AU BRÉSIL |
8.3.1 Loi sur la protection des données. En ce qui concerne les Données Personnelles des personnes au Brésil, les Lois sur la protection des données définies à la section 1 comprennent la “LGPD” ou le règlement général brésilien sur la protection des données, loi n° 13.709/2018 qui régit le Traitement des Données Personnelles au Brésil. |
8.3.2 Obligation générale de Traitement. Nuance traitera les Données Personnelles conformément au règlement général brésilien sur la protection des données, la loi n° 13.709/2018. |
8.3.3 Transferts hors du Brésil. Outre les exigences instaurées à la Section 6.3., dans le cas où Nuance transférerait des Données Personnelles vers un autre pays qui n’est pas considéré comme un Pays Adéquat, Nuance conclura ou aura conclu avec les cessionnaires des accords comprenant des protections contractuelles pour sécuriser et protéger les Données Personnelles dans la même mesure que celles requises par les obligations imposées à Nuance par le présent ATDP. |
8.4 DISPOSITIONS APPLICABLES AU CANADA |
8.4.1 Responsable de Traitement. En ce qui concerne le traitement des Données Personnelles des individus au Canada, le terme "Responsable de Traitement" défini à la Section 1 vise les organisations qui collectent, utilisent ou divulguent des informations personnelles dans le cadre de leurs activités commerciales ; mais également les détenteurs de données de santé, les dépositaires de données, les organismes publics, les entreprises, les fiduciaires ainsi que toute autre désignation similaire prévue par les Lois sur la protection des données applicables. |
8.4.2 Lois sur la protection des données. En ce qui concerne les Données Personnelles des individus situées au Canada, les Lois sur la protection des données définies à la Section 1 comprennent la législation fédérale et provinciale applicable en matière de protection de la vie privée. |
8.4.3 Données Personnelles. Les Données Personnelles définies à la Section 1 comprennent les informations personnelles et de santé tel que ces termes sont définis par les Lois sur la protection des données. |
8.4.4 Sous-traitant. En ce qui concerne le traitement des Données Personnelles des personnes physiques situées au Canada, le terme Sous-traitant défini à la Section 1 comprend tout agent, fournisseur, prestataire de services ou désignation similaire en vertu des Lois sur la Protection des Données applicables. |
8.4.5 Obligation générale de Traitement. Nuance traitera les Données Personnelles d'une manière conforme aux Lois sur la protection des données. Cet ATDP s'applique à toutes les Données Personnelles traitées par Nuance pour le compte de la Société, qu’elles soient reçues directement ou indirectement de la Société, y compris les Données Personnelles de la Société fournies à Nuance par un Distributeur ou un Revendeur dans le cadre de la fourniture de services d'assistance à la Société. |
8.4.6 Transferts hors du Canada. La Société reconnaît que Nuance peut, dans le cadre de l'exécution du présent ATDP, transférer des Données Personnelles en dehors du Canada, à condition de respecterle principe de responsabilité. Nuance conclura ou aura conclu avec les cessionnaires des accords prévoyant des protections contractuelles pour sécuriser et protéger les Données Personnelles dans la même mesure que celles requises par les obligations imposées à Nuance par le présent ATDP. |
8.4.7 Droit applicable. Le présent Contrat sera régi par les lois de la province où la Société est située ("Province Concernée") et par les lois fédérales du Canada applicables, sans tenir compte des principes de conflit de lois. Les Parties aux présentes acceptent de soumettre tous les litiges liés au présent Contrat exclusivement à la compétence des tribunaux de la Province Concernée. Les Parties aux présentes renoncent à toute objection relative au lieu de juridiction. |
8.5 DISPOSITIONS APPLICABLES AU CHILI |
8.5.1 Loi sur la protection des données. En ce qui concerne les Données Personnelles des personnes situées au Chili, les Lois sur la protection des données définies à la Section 1 doivent inclure la loi chilienne 19.628 sur la protection de la vie privée, dans la langue originelle. |
8.6 DISPOSITIONS APPLICABLES A LA COLOMBIE |
8.6.1 Loi sur la protection des données. En ce qui concerne les Données Personnelles des individus situés en Colombie, les Lois sur la protection des données définies à la Section 1 visent la loi colombienne 1581 de 2012 et le décret 1074 de 2015. |
8.6.2 Obligation générale de Traitement. Nuance traitera les Données Personnelles conformément aux principes colombiens de protection de la vie privée, tels que définis à l'article 4 de la loi 1581 de 2012. |
8.6.3 Décisions relatives à l'adéquation. Par “Pays Adéquat”, il convient d’entendre les pays ou les organisations internationales certifiées par l'autorité colombienne de protection des données (Superintendance de l'industrie et du commerce). |
8.6.4 Transferts en dehors de la Colombie. Nuance peut transférer ou transmettre les Données Personnelles Traitées dans le cadre du présent ATDP et du Contrat Principal, à tout pays ou territoire, même s'il n'est pas considéré comme un pays adéquat selon la loi colombienne, sauf si la Société exige expressément et par écrit de ne pas transférer ou transmettre à un pays particulier. La Société garantit que les transferts ou transmissions par Nuance sont autorisés dans le cadre du consentement fourni par la Personne Concernée. |
8.6.5 Notification de Violation de Données Personnelles. La Société et Nuance oeuvreront de concert afin de répondre à leur obligation mutuelle de notifier à la Surintendance de l'industrie et du commerce toute violation des mesures de sécurité ainsi que de l'existence de risques dans le traitement des Données Personnelles, dans un délai de quinze (15) jours ouvrables à compter de la date à laquelle la violation des Données Personnelles a été détectée. |
8.7 DISPOSITIONS APPLICABLES AU JAPON |
8.7.1 Lois sur la protection des données. En ce qui concerne les Données Personnelles des individus au Japon, les Lois sur la protection des données définies dans la Section 1 comprennent la loi japonaise sur la protection des informations personnelles ainsi que les directives relatives publiées par la Commission japonaise de protection des informations personnelles. |
8.7.2 Transferts hors du Japon. Nuance peut transférer ou transmettre les Données Personnelles Traitées dans le cadre du présent ATDP et du Contrat Principal, vers tout pays ou territoire, même s'il n'est pas considéré comme un Pays Adéquat en vertu de la loi japonaise, sauf dans les cas où la Société demande expressément et par écrit de ne pas transférer ou transmettre vers ce pays en particulier, auquel cas Nuance pourrait ne pas être en mesure de fournir les Services, ce qui, pour éviter tout doute, ne constituera pas une violation du Contrat Principal. La Société garantit que les transferts ou transmissions par Nuance sont autorisés dans le cadre du consentement fourni par la Personne Concernée. |
8.8 DISPOSITIONS APPLICABLES AU MEXIQUE |
8.8.1 Loi sur la protection des données. En ce qui concerne les Données Personnelles des personnes situées au Mexique, les Lois sur la protection des données définies à la Section 1 visent la loi fédérale mexicaine sur la protection des données personnelles détenues par des parties privées. |
8.8.2 Transferts hors du Mexique. Dans le cas où Nuance transférerait des Données Personnelles en dehors du Mexique, elle conclura ou aura conclu avec les cessionnaires des accords prévoyant des protections contractuelles pour sécuriser et de protéger les Données Personnelles dans la même mesure que celle requise par les obligations imposées à Nuance par le présent ATDP. |
8.9 Dispositions APPLICABLES A l'Afrique du Sud |
8.9.1 Lois sur la protection des données. En ce qui concerne les Données Personnelles des personnes résidant en République d'Afrique du Sud (“Afrique du Sud"), les Lois sur la protection des données définies dans la Section 1 comprennent la Loi sud-africaine sur la Protection des Informations Personnelles (" POPIA "). |
8.9.2 Obligation générale de Traitement. Nuance traitera les Données Personnelles de manière conforme à la POPIA, telle que définie dans les Lois sur la protection des données applicables. |
8.9.3 Transfert hors d'Afrique du Sud. Si, dans le cadre du présent ATDP, des Données Personnelles sont fournies par la Société à Nuance en dehors de l'Afrique du Sud, ce transfert sera régi par les Clauses Contractuelles Types énoncées à la Section 6.3, avec les modifications suivantes : (i) l'Autorité de Contrôle compétente sera le Régulateur de l'information d'Afrique du Sud ; (ii) le droit applicable sera le droit sud-africain ; (iii) la juridiction compétente sera les tribunaux d'Afrique du Sud ; et (iv) les obligations prévues aux clauses 14 et 15 des Clauses Contractuelles Types ne s'appliqueront pas. |
8.10 DISPOSITIONS APPLICABLES A LA CORÉE DU SUD |
8.10.1 Nuance peut transférer ou transmettre les Données Personnelles Traitées dans le cadre du présent ATDP et du Contrat Principal, vers n'importe quel pays ou territoire, sauf dans les cas où la Société demande expressément et par écrit de ne pas transférer ou transmettre vers un pays particulier, auquel cas Nuance pourrait ne pas être en mesure de fournir les Services, ce qui, pour éviter tout doute, n'équivaut pas à une violation du Contrat Principal. La Société garantit que les transferts ou transmissions par Nuance sont autorisés par le consentement accordé par la Personne Concernée. |
8.11 Dispositions APPLICABLES AU Royaume-Uni |
8.11.1 Lois sur la protection des données. En ce qui concerne les Données Personnelles des personnes physiques résidant au Royaume-Uni, les Lois sur la protection des données et le RGPD définis à la Section 1 comprennent le Règlement (UE) 2016/679 dans la mesure où il fait partie du droit de l'Angleterre et du Pays de Galles, de l'Écosse et de l'Irlande du Nord conformément à et tel que modifié par toute législation découlant du retrait du Royaume-Uni de l'Union européenne en 2018. |
8.11.2 Transfert hors du Royaume-Uni par la Société. Pour les Données Personnelles en provenance du Royaume-Uni, les Parties conviennent que l'Addendum international pour le Royaume-Uni concernant le transfert de données entre la Société et la Filiale de Nuance hors du Royaume-Uni disponible à l'adresse suivante : https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/uk-standard-contract-clause.html(Ouvrir une nouvelle fenêtre). s'appliquera. |
8.11.3 Transferts en dehors du Royaume-Uni par Nuance. Lorsque le transfert est effectué vers un sous-traitant qui n'est pas situé dans un Pays Adéquat, Nuance veillera à ce qu'un mécanisme permettant d'assurer l'adéquation du Traitement soit mis en place, par exemple : |
(a) L'exécution entre Nuance et ses sous-traitants ultérieurs en dehors du Royaume-Uni de l'Addendum international pour le Royaume-Uni concernant le transfert de données, dont une copie peut être fournie sur demande. |
(b) L'existence d'un cadre d'autorégulation ou de règles d'entreprise contraignantes assurant une protection adéquate des Données Personnelles transférées. |
9. DISPOSITIONS DIVERSES |
9.1 Conflit avec d’autres dispositions : Si des dispositions du présent ATDP sont en conflit avec des dispositions du Contrat Principal, le présent ATDP prévaut quant à l’objet spécifique de ses dispositions ATDP. Les dispositions du présent ATDP sont destinées à clarifier la manière dont les Parties rempliront leurs obligations en vertu des Clauses Contractuelles Types applicables dans chaque juridiction. Si l'une de ces dispositions est en contradiction avec les Clauses Contractuelles Types, les Clauses Contractuelles Types prévaudront dans la limite de cette contradiction. |
9.2 Langue. Si Nuance fournit cet ATDP dans plus d’une langue pour le pays où se situe la Société, et qu’il existe une divergence entre la version anglaise et la version traduite, alors la version anglaise prévaudra. |
9.3 Mises à jour des conditions de l’ATDP. Lorsque la Société renouvelle ou achète un nouvel abonnement au Service ou conclut un bon de commande pour des Services professionnels, les conditions de l’ATDP alors en vigueur s'appliquent et ne seront pas modifiées pendant l'abonnement de la Société à ce Service ou la durée du bon de commande pour ce Service professionnel. Nonobstant ce qui précède, lorsque Nuance introduit des fonctionnalités, des offres, des suppléments ou des logiciels connexes nouveaux (c'est-à-dire qui n'étaient pas inclus précédemment dans les Services), Nuance peut fournir des conditions ou effectuer des mises à jour du présent ATDP qui s'appliquent à l'utilisation par la Société de ces nouvelles fonctionnalités, offres, suppléments ou logiciels connexes. Si ces conditions incluent des changements substantiels importants par rapport aux dispositions de l’ATDP, Nuance offrira à la Société la possibilité d'utiliser les nouvelles fonctions, offres, suppléments ou logiciels connexes, sans perte des fonctionnalités existantes d'un Service généralement disponible. Si la Société n'installe pas ou n'utilise pas les nouvelles fonctionnalités, offres, suppléments ou logiciels connexes, les nouvelles conditions correspondantes ne s'appliqueront pas. |
9.4 Modifications réglementaires. Nonobstant les dispositions de la Section 9.3, Nuance peut modifier ou résilier un Service dans tout pays ou toute juridiction où il existe une exigence ou une obligation gouvernementale actuelle ou future qui (1) soumet Nuance à une réglementation ou à une exigence qui n'est généralement pas applicable aux entreprises opérant dans cette juridiction, (2) présente une difficulté pour Nuance à continuer à exploiter les Services sans modification, et/ou (3) amène Nuance à penser que les conditions de l’ATDP ou les Services peuvent se contredire avec une telle exigence ou obligation. |
9.5 Intégralité de l'accord. Le présent ATDP remplace tous les accords, ententes et arrangements antérieurs entre les Parties et constitue l’intégralité de l’accord entre les Parties concernant l’objet des présentes. |
9.6 Validité et caractère exécutoire. Si une disposition du présent ATDP est invalide ou inapplicable, le reste de l’ATDP reste valide et en vigueur. Les dispositions invalides ou inapplicables seront soit (i) modifiées dans la mesure nécessaire pour assurer leur validité et leur applicabilité, tout en préservant autant que possible les intentions des Parties, soit, si cela n'est pas possible, (ii) interprétées comme si la partie invalide ou inapplicable n'avait jamais été contenue dans l'accord. |
9.7 Les environnements qui ne sont pas en production peuvent employer des mesures de confidentialité et de sécurité moindres ou différentes de celles qui sont généralement présentes dans un environnement de production. Si la Société soumet ou permet aux Personnes Concernées de soumettre à un environnement qui n’est pas en production des Données Personnelles ou d'autres données soumises à des exigences de conformité légales ou réglementaires, la Société reconnaît qu'elle le fait sous sa propre responsabilité. Les termes suivants du présent ATDP ne s'appliquent pas aux environnements qui ne sont pas en production : Conditions du Traitement, Sécurité, Dispositions supplémentaires pour des types spécifiques de Données Personnelles, et Dispositions supplémentaires pour les personnes situées dans certains pays. |
9.8 La Société est responsable de la mise en œuvre et du maintien des protections de la vie privée et des mesures de sécurité pour les composants qu'elle fournit ou contrôle (tels que les informations d'identification de la Société pour accéder aux outils web de reporting et de libre-service que Nuance met à la disposition de la Société dans le cadre des Services). |
Les conditions complémentaires suivantes font partie du présent ATDP et sont intégrées, le cas échéant, comme indiqué ci-dessus. |
Détails sur le Traitement des Données Personnelles qui se trouve à l’adresse suivante : https://www.nuance.com/fr-fr/about-us/terms-and-conditions/data-processing-terms/details.html(Ouvrir une nouvelle fenêtre) |
Description des mesures techniques et organisationnelles qui se trouve à l’adresse suivante : https://www.nuance.com/fr-fr/about-us/terms-and-conditions/data-processing-terms/TOMs.html(Ouvrir une nouvelle fenêtre) |
Liste des sous-traitants ultérieurs qui se trouve à l’adresse suivante : https://www.nuance.com/fr-fr/about-us/terms-and-conditions/data-processing-terms/sub-processors.html(Ouvrir une nouvelle fenêtre) |
Clauses Contractuelles Types de l’UE (Module Deux – De Responsable du Traitement à Sous-traitant) qui se trouve à l’adresse suivante : https://www.nuance.com/fr-fr/about-us/terms-and-conditions/data-processing-terms/eu-standard-contract-clause-C2P.html(Ouvrir une nouvelle fenêtre) |
Addendum international pour le Royaume-Uni concernant le transfert de données est disponible à l’adresse suivante : https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/uk-standard-contract-clause.html(Ouvrir une nouvelle fenêtre) |
Clauses Contractuelles Types d’Argentine qui se trouve à l’adresse suivante : https://www.nuance.com/fr-fr/about-us/terms-and-conditions/data-processing-terms/ar-standard-contract-clause.html(Ouvrir une nouvelle fenêtre) |
Versions précédentes
- 12 juin 2018(Ouvrir une nouvelle fenêtre)
- 2 février 2020(Ouvrir une nouvelle fenêtre)
- 24 avril 2020(Ouvrir une nouvelle fenêtre)
- 25 juin 2020(Ouvrir une nouvelle fenêtre)
- 1er octobre 2020(Ouvrir une nouvelle fenêtre)
- 1er mars 2021(Ouvrir une nouvelle fenêtre)
- 15 mai 2021(Ouvrir une nouvelle fenêtre)
- 15 septembre 2021(Ouvrir une nouvelle fenêtre)
- 30 avril 2022(Ouvrir une nouvelle fenêtre)
- 12. Juli 2022(Ouvrir une nouvelle fenêtre)
- 15. September 2022(Ouvrir une nouvelle fenêtre)
- 1er August 2023(Ouvrir une nouvelle fenêtre)
Data processing agreement
Last Modified October 1, 2023 / Previous Versions
RECITALS
(A) The Parties have entered into one or more agreements under which Nuance supplies certain Services to Company from time to time (referred to collectively as the “Main Agreement”).
(B) The Parties have agreed that in order for Nuance to perform its obligations pursuant to such Main Agreement, it will Process certain Personal Data in respect of which, Company will be a Controller, or a Processor acting on behalf of a Controller, and Nuance will be a Processor or a sub‑processor respectively (as defined below).
(C) Now therefore, the Parties have agreed to enter into this overarching DPA relating to the Processing of Personal Data by Nuance in its capacity as a Processor or sub‑processor.
1. DEFINITIONS.
The following expressions are used in this DPA: In the event the definitions herein differ from the Main Agreement relating to data protection, this DPA shall prevail as to the specific subject matter of such definition.
(a) “Adequate Country” means, in each relevant jurisdiction, the meaning given to it (or in the nearest equivalent term) in the Data Protection Laws, including but not limited to those published by the European Commission in the Official Journal of the European Union for which it has decided that an adequate level of protection is ensured.
(b) “Biometric Data” has, in each relevant jurisdiction, the meaning given to (or in the nearest equivalent term) in the applicable Data Protection Laws for that jurisdiction, and “biometric identifiers” and “biometric information” will be interpreted accordingly.
(c) “Company” means the entity which is a party to this DPA and to the Main Agreement.
(d) “Data Protection Laws” means all laws and regulations, and amendments thereto, applicable to the Processing of Personal Data under the Main Agreement, including but not limited to the GDPR.
(e) “Data Subject Request” means a request from or on behalf of a Data Subject to exercise its rights under Data Protection Laws.
(f) “EU Standard Contractual Clauses” means the standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council, based on the European Commission Implementing Decision (EU) 2021/914 of 4 June 2021.
(g) “GDPR” means Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the Processing of personal data and on the free movement of such data (known as the General Data Protection Regulation).
(h) “Nuance” means the Nuance entity which is a party to this DPA and to the Main Agreement with Company, being: (i) Nuance Communications Inc. with address at 1 Wayside Rd, Burlington, MA 01803, United States, or (ii) Nuance Communications Ireland Ltd with address at 57b Harcourt St, Saint Kevin's, Dublin, D02 VE22, Ireland.
(i) “Personal Data” shall have the meaning given to it by Data Protection Laws.
(j) “Personal Data Breach” means a “personal data breach” or “data breach” as defined under Data Protection Laws that is within Nuance’s scope of responsibility by any of its staff, sub‑processors or any other identified or unidentified third party after Nuance becomes aware with a reasonable degree of certainty that such Personal Data Breach has occurred.
(k) “Services” refers to the application, product or services and other activities such as support, maintenance or professional services to be supplied to or carried out on behalf of Company/Company affiliate pursuant to the Main Agreement.
(l) “UK International Data Transfer Addendum” means the International Data Transfer Addendum to the EU Standard Contractual Clauses issued by the United Kingdom Information Commissioner for Parties making Restricted Transfers, in force 21st March, 2022.
(m) “Process”, “Processing”, “Controller”, “Processor”, “Data Subject” and “Supervisory Authority” shall have the meanings given to them by GDPR.
Nuance and Company are sometimes referred to individually as a “Party” and collectively as the “Parties”.
2. STATUS OF THE PARTIES
2.1 Company, as Controller or Processor acting on behalf of a Controller, grants Nuance the right to Process the Personal Data for the purposes of providing the Services to Company pursuant to this DPA and in accordance with the Main Agreement.
3. PROCESSING REQUIREMENTS
3.1 Data Processing Details. Company is responsible for establishing the lawful basis for Processing the Personal Data, including obtaining all necessary consent where required, and will comply with all applicable Data Protection Laws with respect thereto. The type of Personal Data Processed pursuant to this DPA as well as the subject matter, nature and purpose of the Processing, the Data Subjects involved, location(s) and retention period are as described in the Data Processing Details located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/details.html(Ouvrir une nouvelle fenêtre). The duration of Processing will be the duration of the Main Agreement.
3.2 Processing under Control of Controller. Nuance shall only Process the Personal Data to provide the Services and shall act only in accordance with Company’s documented instructions, including the transfer by Nuance of Company Personal Data to any country or territory, to the extent appropriate for the provision of the Services, and except as required to comply with a legal obligation to which Nuance is subject, in such case, Nuance will inform Company of that legal requirement before Processing, unless that law, regulation or order prohibits such information on important grounds of public interest. Company’s individual instructions on Processing of Personal Data shall be as detailed in the Main Agreement and this DPA. Company instructs Nuance and its sub‑processors and Affiliates to use, compile (including creating statistical and other models), annotate and otherwise analyze the Personal Data for the purpose of operating, maintaining, tuning, enhancing, improving and providing technical support services for the speech recognition, natural language understanding and other Nuance software and technologies that are embodied in the Services. Company acknowledges that Nuance will apply privacy safeguards such as the anonymization of the Personal Data where appropriate. Personal Data Processing instructions can be modified, amended or replaced through an amendment to this DPA through the established change control process. Instructions not foreseen in or covered by the Main Agreement or this DPA shall be treated as requests for amendments to this DPA. Any additional or alternate instructions must be agreed upon in writing, and may be charged for, separately. Company accepts that the following are the instructions: (a) Processing in accordance with the Main Agreement and, if so agreed, order form(s) or statement(s) of work; and (b) Processing initiated by users of the Services (for example, when sending an output file by email to another person). Company shall be responsible for compliance with its obligations as a Controller under Data Protection Laws including giving notice and obtaining all necessary consents and Nuance shall, immediately upon becoming aware, inform Company if: (i) in Nuance’s opinion, an instruction infringes Data Protection Laws or; (ii) additional information in Company’s possession or control is requested or required by a Supervisory Authority in relation to the data Processing activities carried out by Nuance under this DPA. In such cases Nuance will have the right to request all information necessary to demonstrate compliance with Company´s obligations, which Company may redact as appropriate to preserve the confidentiality of any Personal Data.
3.3 Nuance Disclaimer. Nuance Processes Personal Data that may be incorporated by Company into official records. Nuance does not maintain the Company’s system of records, and therefore Nuance does not store or maintain any official records or part thereof for Company. The originals of any records, including medical records, will be maintained by Company or its other contractors. Nuance only has access to parts of the records via remote access over Company’s computer system in connection with the provision of the Services set forth in the Main Agreement.
3.4 Confidentiality. Without prejudice to any existing contractual arrangements between the Parties, Nuance shall treat all Personal Data as strictly confidential. Nuance shall take appropriate steps so that only authorized personnel who are subject to binding obligations of confidentiality, either contractual or statutory, will have access to the Personal Data. Termination or expiration of this DPA shall not discharge Nuance from its confidentiality obligations.
3.5 Limitation of Access. Nuance will ensure the performance of the Services according to this DPA is limited to the personnel performing the Services under the Main Agreement.
3.6 Data Protection Officer (DPO). Nuance has appointed a data protection officer, who can be reached at: Privacy@Nuance.com or by mail (Worldwide) at:
Chief Privacy Officer
Nuance Communications, Inc.
1 Wayside Road
Burlington MA 01803
USA
Data Protection Officer
Nuance Communications Ireland, Ltd
The Harcourt Building, 4th Floor
57B Harcourt Street
Dublin 2, D02 F721
IRELAND
Any changes to this contact information will be published at https://www.nuance.com/about-us/company-policies/privacy-policies.html(Ouvrir une nouvelle fenêtre).
3.7 Data Subject Notices. For Personal Data that is provided to Nuance by Company under the Main Agreement, Company is responsible for providing any notices and information required by Data Protection Laws to be given at the time of collection, including, but not limited to notice with respect to:
i) Recipients or categories of recipients as permitted by Section 5; and
ii) Transfer of Personal Data to third countries as outlined in the Sub‑Processor List, located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/sub-processors.html(Ouvrir une nouvelle fenêtre), for the purposes as outlined in Section 3.2 above. Nuance shall also comply with the transfer requirements set forth in Section 6 below.
3.8 Data Subject Requests. As between the Parties, Company shall be responsible for addressing all Data Subject Requests. Nuance shall promptly notify Company if Nuance receives a request from a Data Subject to exercise his or her Data Subject’s rights. Taking into account the nature of the Processing and insofar as possible, Nuance shall assist Company by appropriate technical and organizational measures in fulfilment of Company’s obligations to respond to said Data Subject Request under Data Protection Laws. To the extent legally permitted, Company shall be responsible for any costs arising from Nuance’s provision of such assistance.
3.9 Notice of Personal Data Breach. Nuance maintains an incident management policy and shall notify Company of any Personal Data Breach without undue delay after becoming aware. Such notification will include the required information which Nuance as a Processor is obliged to provide to the Controller under Data Protection Laws, to the extent that such information is reasonably available to Nuance.
In the event of a Personal Data Breach, Nuance shall investigate the cause of such Personal Data Breach and take steps as Nuance deems necessary and reasonable under industry standards, in order to remediate the cause of such breach in fulfilling Company’s obligation under Data Protection Laws.
3.10 Deletion of Personal Data. As reasonably practicable following the termination of this DPA or the Main Agreement, Nuance shall delete all Personal Data, except to the extent applicable law requires Nuance to continue to store the Personal Data. Company acknowledges that Nuance’s deletion of Personal Data represents compliance with any legal obligation to return Personal Data to Company.
3.11 Audit and Records. Subject to reasonable prior notice from Company, Nuance shall provide Company with reasonable evidence to demonstrate Nuance’s compliance with this DPA and Data Protection Laws and shall allow for and contribute to audits, including inspections, conducted by Company or another auditor mandated by Company. Company’s right of audit under Data Protection Laws may be satisfied by Nuance through Nuance providing to Company:
(a) an audit report not older than 18 months by a registered and independent external auditor demonstrating that Nuance’s technical and organizational measures described in the Description of Technical and Organizational Measures, located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/TOMs.html(Ouvrir une nouvelle fenêtre), are sufficient and in accordance with an accepted industry audit standard such as SSAE 18, SOC 1, SOC 2, SOC 3, ISO 27001, ISAE 3402; and/or
(b) additional information in Nuance’s possession or control to a Supervisory Authority when it requests or requires additional information in relation to the data Processing activities carried out by Nuance under this DPA.
(c) Notwithstanding the aforementioned, in the event that Company wished to undertake a different form of audit, Company may audit Nuance’s control practices, including on‑site at Nuance’s facilities, and Company shall contact Nuance in accordance with the “Notices” section under the Main Agreement. Company shall reimburse Nuance for any time expended for any such on‑site audit at Nuance’s then‑current professional services rates, which shall be made available to Company upon request. Before the commencement of any such on‑site audit, Company and Nuance shall mutually agree upon the scope, timing, and duration of the audit in addition to the reimbursement rate for which Company shall be responsible. All reimbursement rates shall be reasonable, taking into account the resources expended by Nuance. Company shall promptly notify Nuance with information regarding any noncompliance discovered during the course of an audit and allow reasonable time for remediation.
(d) The Parties agree that when carrying out audit procedures relevant to the protection of Personal Data, Company shall take all reasonable measures to limit any impact on Nuance and Nuance’s usual course of business operations.
3.12 Nuance assistance. Nuance shall in its role as a Processor, only to the extent required under Data Protection Laws, assist the Company in ensuring compliance with its obligations under Data Protection Laws as a Controller, taking into account the nature of Processing and the information available to Nuance. This may include assistance on ensuring a level of security of the Personal Data appropriate to the risk, and where applicable, notifying Personal Data breaches to the Supervisory Authority and respective Data Subjects, as well as reasonable assistance on data protection impact assessments and consulting the Supervisory Authority prior to Processing.
4. SECURITY
Taking into account the most recent available technology, the costs of implementation and the nature, scope, context and purposes of Processing, as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, Nuance will maintain appropriate technical and organizational measures to ensure a level of security appropriate to the risk, as set forth in the Description of Technical and Organizational Measures, located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/TOMs.html(Ouvrir une nouvelle fenêtre).
5. SUB-PROCESSING
5.1 Affiliates as Sub‑Processors. Company grants a general authorization to Nuance to appoint as sub‑processors to support the delivery of the Services any other entities controlling, under common ownership with, or under control of Nuance’s parent corporation, Nuance Communications, Inc. (“Affiliates”), as specified in the Sub‑Processor List located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/sub-processors.html(Ouvrir une nouvelle fenêtre).
5.2 Third‑party Sub‑Processors. Company grants Nuance and Affiliates a general authorization to appoint the sub‑processors listed at the Sub‑Processor List located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/sub-processors.html(Ouvrir une nouvelle fenêtre).
5.3 Sub‑Processor Changes; Company’s Right to Object. Nuance will notify Company of the names of any new and replacement sub‑processors prior to them beginning sub‑processing of Personal Data. Within ten (10) business days of receiving notice of a sub‑processor change, Company may object by providing written notice to Nuance. The notice shall describe the basis for Company’s objection, which must have reasonable grounds. Failure to notify an objection during such time period shall constitute waiver of the right to object. If Company gives written notice of objection, Nuance and Company will discuss the objection in good faith to seek to resolve it. If no resolution is found within 30 days after initial notice of objection is given, and if the Main Agreement cannot be performed without the use of the objected‑to sub‑processor, Company may terminate the affected Company’s Services on 60 days’ written notice, such notice to be given no later than 45 days after the date of the initial notice of objection.
5.4 Nuance’s Responsibility. Nuance and/or Affiliates will require all sub‑processors to enter into a written agreement with Nuance to protect Personal Data with equivalent data protection obligations to those in this DPA. Nuance shall remain liable to Company for any breach by the sub‑processor of its agreement with Nuance.
6. DATA TRANSFERS
6.1 Nuance Hosting Location. Nuance provides, operates, and maintains the data hosting centers in the locations described in the Data Processing Details, located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/details.html(Ouvrir une nouvelle fenêtre), to support the operation of the Services.
6.2 Transfers outside the first jurisdiction by Nuance. Company acknowledges that Nuance may Process or permit access from (“transfer”) Personal Data to sub‑processors: (i) outside the jurisdiction(s) in which any Personal Data originated (“First Jurisdiction”), and (ii) a jurisdiction which is not deemed an Adequate Country in the First Jurisdiction. If Personal Data is transferred by Nuance, Nuance shall ensure that a mechanism to achieve adequacy in respect to the Processing is in place, such as:
(a) The requirement that the sub-processor be self-certified under the EU-U.S. Data Privacy Framework (EU-U.S. DPF), the UK Extension to the EU-U.S. DPF, and the Swiss-U.S. Data Privacy Framework (Swiss-U.S. DPF);
(b) For Personal Data originated from a country within the EEA, (i) the execution between Nuance and its sub‑processors of EU Standard Contractual Clauses (Module Three – Processor to Processor), a copy of which can be made available to Company upon request, and (ii) the requirement of sub‑processors to comply with onward transfer principles under EU Standard Contractual Clauses; and
(c) the adoption by Nuance and its sub‑processors of additional safeguards, where necessary, to ensure that during and after the transfer, the Personal Data is subject to a level of protection equivalent to that of the EU. Such safeguards might include anonymization of Personal Data as well as pseudonymization and encryption, including during transmission, in each case taking account of the level of data protection in the recipient country and the nature of the Personal Data concerned. Further details on the safeguards applied by Nuance and Affiliates are set out in the Description of Technical and Organizational Measures located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/TOMs.html(Ouvrir une nouvelle fenêtre), whereas the additional safeguards applied by Nuance and its sub‑processors do not release Company from its own data protection obligations; or
(d) Any other specifically approved safeguard for data transfer under Data Protection Laws or a European Commission finding of adequacy;
For the purposes of section 6.2 (a), it is hereby confirmed that Nuance Communications Inc. and its U.S. Affiliates as Sub-processors are certified to the EU-U.S. DPF, the UK Extension to the EU-U.S. DPF and the Swiss-U.S. Privacy Shield Frameworks and the commitments they entail. Nuance agrees to notify Company if it makes a determination that it can no longer meet its obligation to provide the same level of protection as is required by the EU-U.S. Data Privacy Framework Principles with regard to the processing of personal data received from the European Union in reliance on the EU-U.S. DPF and from the United Kingdom (and Gibraltar) in reliance on the UK Extension to the EU-U.S. DPF and/or by the Swiss-U.S. Data Privacy Framework Principles with regard to the processing of personal data received from Switzerland.
6.3 Transfers outside the first jurisdiction by Company. If Personal Data originating from the First Jurisdiction is disclosed by Company/Company affiliates to Nuance in a country: (i) outside the First Jurisdiction, and (ii) a jurisdiction which is not deemed an Adequate Country in the First Jurisdiction:
a) Where Personal Data is originating from a country within the EEA, EU Standard Contractual Clauses (Module Two – Controller to Processor) located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/eu-standard-contract-clause-C2P.html(Ouvrir une nouvelle fenêtre), will apply, and Company/Company Affiliate shall be deemed Exporter. The EU Standard Contractual Clauses is hereby agreed and incorporated by reference into this DPA and made an integral part. The requirement to comply with onward transfer principles set out in Section 6.2 (a) and the obligations set out in Section 6.2 (b) apply correspondingly.
b) For Personal Data originating from a country outside the EEA, specific cross‑border data transfer provisions are detailed in Section 8 below.
7. ADDITIONAL PROVISIONS FOR SPECIFIC TYPES OF PERSONAL DATA
7.1 Child Data. Company hereby represents and warrants that;
(a) Where applicable, Company’s website, services and products comply with the GDPR, US Children's Online Privacy Protection Act of 1998, (“COPPA”) and other Data Protection Laws protecting Personal Data from children under 16 (“Child Data”) including but not limited to any rules for obtaining consent.
(b) Company shall not use Nuance’s Services in connection with an online site, service, or product that targets children under 16 as its primary audience (“Primarily Child‑Directed”). Primarily Child‑Directed is based on empirical evidence regarding audience composition, and evidence regarding the intended audience, such as subject matter, visual content, use of animated characters or child‑oriented activities and incentives, music or other audio content, age of models, presence of child celebrities or celebrities who appeal to children, language or other characteristics of the web site or online service, as well as whether advertising promoting or appearing on the web site or online service is directed to children.
(c) If Company uses Nuance licensed software for Primarily Child‑Directed online sites, services or products, then Company must not send to Nuance (in connection with maintenance, support and tools regarding the Nuance licensed software, or otherwise) any Child Data.
(d) If Company uses Services for mixed audience or general audience online sites, services or products which may be accessed by children under 16, but are not Primarily Child‑Directed, then Company’s verifiable parental consent mechanism, direct notice, and web notice, when required by Data Protection Laws, shall adequately disclose and sufficiently cover the transfer of Child Data to Nuance and Nuance's collection and Processing of Child Data consistent with this DPA.
The Parties agree that Nuance is not an operator as that term is defined in COPPA.
7.2 CCPA Compliance. To the extent that Nuance receives from Company any “personal information” of any “consumer” subject to the California Consumer Privacy Act (“CCPA”) for Processing on behalf of Company pursuant to this DPA, Nuance and Company shall each comply with all applicable provisions of the CCPA and each Party shall, upon the other’s reasonable written request, cooperate in good faith to enter into additional and modified terms to address any amendments to the CCPA or otherwise to ensure the Parties’ compliance therewith. To the extent applicable, Nuance shall be considered a “service provider” to Company under the CCPA, and shall not (a) retain, use or disclose such personal information for any purpose other than for the specific purpose of performing Services under this DPA or as otherwise permitted by the CCPA, including for a valid “business purpose”; (b) retain, use or disclose such personal information for a “commercial purpose” other than providing the Services under this DPA; (c) retain, use or disclose such personal information outside the direct business relationship between Nuance and Company; or (d) “sell” such personal information. Nuance understands and certifies that it will comply with the prohibitions outlined herein. For the purposes of this paragraph, the terms “personal information”, “consumer”, “service provider”, “business purpose”, “commercial purpose” and “sell” shall have the meanings set forth in the CCPA.
7.3 Biometric Data.
7.3.1 With respect to the Personal Data defined in Section 1, Personal Data shall include biometric data to the extent that Nuance creates or receives from Company biometric identifiers, biometric information or Personal Data resulting from specific technical processing relating to the physical, physiological or behavioral characteristics of a natural person, which allow or confirm the unique identification or authentication of that natural person.
7.3.2 In addition to the requirements listed in Section 3.7, Company is responsible for providing any notices, written policy made available to the public and/or information related to Personal Data required by Data Protection Laws, including, but not limited to giving notice with respect to:
i) Recording of conversations with Company and disclosure of such recordings to Nuance, Nuance’s Affiliates and sub‑processors;
ii) Processing by Nuance of physical, physiological or behavioral characteristics for the purpose of creating, collecting or storing Personal Data. Company acknowledges that such Processing is for the limited purpose of providing service and Nuance is not buying, selling, leasing, trading, or otherwise profiting from a natural person's biometric identifier or biometric information;
iii) Length of term and guidelines for permanently destroying biometric identifier or biometric data being collected, stored, and used.
7.3.3 Company shall obtain all necessary consents, releases or licenses, where required, to allow Nuance to capture, store, process, disclose, use, and transfer internationally the Personal Data.
7.3.4 Company will make all necessary disclosures to, and obtain approval from Supervisory Authorities required under the Data Protection Laws, including but not limited to the Quebec Act to Establish a Legal Framework for Information Technology (R.S.Q., c. C‑1.1) governing a database of biometric characteristics and measurements.
7.3.5 When a person unenrolls in biometric authentication, their account is closed or when the initial purpose for collecting or obtaining such Personal Information has otherwise been satisfied, Company shall provide Nuance with instructions regarding the deletion of Personal Data required by Data Protection Laws.
7.3.6 Company’s failure to comply with the terms of this Section 7.3 is a material breach of this DPA and the Main Agreement and will allow Nuance to suspend the Services.
8. ADDITIONAL PROVISIONS FOR INDIVIDUALS LOCATED IN CERTAIN COUNTRIES.
Each one or more of the following additional provisions apply based on the location of the individual in the respective country whose Personal Data is being Processed.
8.1 ADDITIONAL PROVISIONS FOR ARGENTINA
8.1.1 Data Protection Law. With respect to the Personal Data of individuals in Argentina, the Data Protection Laws defined in Section 1 shall include the Argentinian Privacy Principles, as defined in Argentine Personal Data Protection Law 25 326.
8.1.2 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with the provisions of the Data Protection Laws.
8.1.3 Transfer outside Argentina by Company. For Personal Data originating from Argentina, the Parties agree that the Argentina Standard Contractual Clauses executed between Company and Nuance located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/ar-standard-contract-clause.html(Ouvrir une nouvelle fenêtre) will apply.
8.1.4 Transfers outside Argentina by Nuance. Where the transfer is to a sub‑processor which is not located in an Adequate Country, Nuance shall ensure that a mechanism to achieve adequacy in respect to the Processing is in place, such as:
(a) The execution by Nuance, for itself and/or on behalf of Company, of the Argentina Standard Contractual Clauses. Upon request, Nuance will provide to Company for review such copies of agreements, subject to redaction for confidential commercial information not relevant to the requirements under this DPA. Company authorizes Nuance and its Affiliates to enter into Argentina Standard Contractual Clauses consistent with this DPA and the Argentina Standard Contractual Clauses located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/ar-standard-contract-clause.html(Ouvrir une nouvelle fenêtre), controller‑to‑processor, on behalf of Company;
(b) The existence of any self‑regulation framework or binding corporate rules providing adequate protection to the transferred Personal Data.
8.2 ADDITIONAL PROVISIONS FOR AUSTRALIA
8.2.1 Data Protection Law. With respect to the Personal Data of individuals in Australia, the Data Protection Laws defined in Section 1 shall include the applicable federal, state and territorial privacy legislation.
8.2.2 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with Data Protection Laws.
8.2.3 Breach Notification Obligation. If Company is located in Australia, the definition of Personal Data Breach set forth in Section 1 shall include any “eligible data breaches” as defined under the Australian Notifiable Data Breach Scheme.
8.2.4 Transfers outside Australia. In addition to the requirements of Section 6.3, in the event that Nuance transfers Personal Data outside Australia, Nuance will enter or have entered into agreements with the transferees that include contractual protections substantially similar to the Australian Privacy Principles to secure and protect the Personal Data to the same extent as required by the obligations imposed on Nuance by this DPA.
8.3 ADDITIONAL PROVISIONS FOR BRAZIL
8.3.1 Data Protection Law. With respect to the Personal Data of individuals in Brazil, the Data Protection Laws defined in Section 1 shall include the “LGPD” or the Brazilian General Data Protection Regulation, Law Nº 13.709/2018 which regulates the Processing of Personal Data in Brazil.
8.3.2 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with the Brazilian General Data Protection Regulation, Law Nº 13.709/2018.
8.3.3 Transfers outside Brazil. In addition to the requirements of Section 6.3, in the event that Nuance transfers Personal Data to a country outside Brazil that is not deemed an Adequate Country, Nuance will enter or have entered into agreements with the transferees that include contractual protections to secure and protect the Personal Data to the same extent as required by the obligations imposed on Nuance by this DPA.
8.4 ADDITIONAL PROVISIONS FOR CANADA
8.4.1 Controller. With respect to the processing of Personal Data of individuals in Canada, the term Controller defined in Section 1 shall include an organization in respect of personal information that the organization collects, uses or discloses in the course of commercial activities; or a health information custodian, custodian, public body, enterprise, trustee, or similar designation under Applicable Data Protection Law.
8.4.2 Data Protection Laws. With respect to the Personal Data of individuals in Canada, the Data Protection Laws defined in Section 1 shall include the applicable federal and provincial privacy legislation.
8.4.3 Personal Data. Personal Data defined in Section 1 shall include personal information and personal health information as those terms are defined in applicable Data Protection Law.
8.4.4 Processor. With respect to the processing of Personal Data of individuals in Canada, the term Processor defined in Section 1 shall include an agent, a provider, service provider or similar designation under Applicable Data Protection Law.
8.4.5 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with Data Protection Laws. This DPA applies to all Personal Data processed by Nuance on behalf of Company, regardless of whether the Personal Data is received directly or indirectly from Company, including Company Personal Data provided to Nuance by a distributor or reseller in the provision of support services to Company.
8.4.6 Transfers outside Canada. Company acknowledges that Nuance may, in the performance of this DPA, transfer Personal Data outside Canada, and in such event, in compliance with the accountability principle Nuance will enter or have entered into agreements with the transferees that include contractual protections to secure and protect the Personal Data to the same extent as required by the obligations imposed on Nuance by this DPA.
8.4.7 Governing Law. This Agreement will be governed by the laws of the Province where Company is located (“Applicable Province”), and the federal laws of Canada applicable therein, without regard to principles of conflict of laws. The Parties hereto agree to submit all disputes related to this Agreement exclusively to the courts in the Applicable Province, to which each Party consents to the jurisdiction of such courts and waives any objection it may have with respect to venue.
8.5 ADDITIONAL PROVISIONS FOR CHILE
8.5.1 Data Protection Law. With respect to the Personal Data of individuals in Chile, the Data Protection Laws defined in Section 1 shall include the Chilean Law 19,628 on the Protection of Private Life to existing language.
8.6 ADDITIONAL PROVISIONS FOR COLOMBIA
8.6.1 Data Protection Law. With respect to the Personal Data of individuals in Colombia, the Data Protection Laws defined in Section 1 shall include Colombian Law 1581 of 2012 and Decree 1074 of 2015.
8.6.2 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with the Colombian Privacy Principles, as defined in article 4 Law 1581 of 2012.
8.6.3 Adequacy Decisions. “Adequate Country” means a country and international organization published by the Colombian Data Protection Authority (Superintendence of Industry and Commerce).
8.6.4 Transfers outside Colombia. Nuance may transfer or transmit the Personal Data Processed under the scope of this DPA and the Main Agreement, to any country or territory, even if it is not considered as an Adequate Country under Colombian law, except in cases where Company expressly and by writing requires not to transfer or transmit to a particular country. Company guarantees that transfers or transmissions by Nuance are allowed under the scope of the consent provided by the Data Subject.
8.6.5 Notice of Personal Data Breach. Company and Nuance will work cooperatively to meet their mutual obligation to report to the Superintendence of Industry and Commerce any violation of the security measures and the existence of risks in the administration of the Personal Data, within 15 working days from the date in which the Personal Data Breach is detected.
8.7 ADDITIONAL PROVISIONS FOR JAPAN
8.7.1 Data Protection Laws. With respect to the Personal Data of individuals in Japan, the Data Protection Laws defined in Section 1 shall include the Japanese Act on Protection of Personal Information and relevant guidelines issued by the Personal Information Protection Commission of Japan.
8.7.2 Transfers outside Japan. Nuance may transfer or transmit the Personal Data Processed under the scope of this DPA and the Main Agreement, to any country or territory, even if it is not considered as an Adequate Country under Japanese law, except in cases where Company expressly and by writing requires not to transfer or transmit to a particular country, in which case Nuance may not be able to provide the Services, which for the avoidance of doubt shall not amount to a breach of the Main Agreement. Company guarantees that transfers or transmissions by Nuance are allowed under the scope of the consent provided by the Data Subject.
8.8 ADDITIONAL PROVISIONS FOR MEXICO
8.8.1 Data Protection Law. With respect to the Personal Data of individuals in Mexico, the Data Protection Laws defined in Section 1 shall include Mexican Federal Law on the Protection of Personal Data held by Private Parties.
8.8.2 Transfers outside Mexico. In the event that Nuance transfers Personal Data outside Mexico, Nuance will enter or have entered into agreements with the transferees that include contractual protections to secure and protect the Personal Data to the same extent as required by the obligations imposed on Nuance by this DPA.
8.9 ADDITIONAL PROVISIONS FOR SOUTH AFRICA
8.9.1 Data Protection Laws. With respect to the Personal Data of individuals residing in the Republic of South Africa ("South Africa"), the Data Protection Laws defined in Section 1 shall include South Africa's Protection of Personal Information Act ("POPIA").
8.9.2 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with POPIA, as defined in the applicable Data Protection Laws.
8.9.3 Transfer outside South Africa. If, in connection with this DPA, any Personal Data is provided by Company to Nuance outside of South Africa, such transfer will be governed by the Standard Contractual Clauses set out in Section 6.3, with the following amendments: (i) the competent Supervisory Authority shall be South Africa's Information Regulator; (ii) the governing law shall be the laws of South Africa; (iii) the choice of forum shall be the courts of South Africa; and (iv) the obligations under Clauses 14 and 15 of the Standard Contractual Clauses shall not apply.
8.10 ADDITIONAL PROVISIONS FOR SOUTH KOREA
8.10.1 Nuance may transfer or transmit the Personal Data Processed under the scope of this DPA and the Main Agreement to any country or territory, except in cases where Company expressly and by writing requires not to transfer or transmit to a particular country, in which case Nuance may not be able to provide the Services, which for the avoidance of doubt shall not amount to a breach of the Main Agreement. Company guarantees that transfers or transmissions by Nuance are allowed under the scope of the consent provided by the Data Subject.
8.11 ADDITIONAL PROVISIONS FOR UNITED KINGDOM
8.11.1 Data Protection Laws. With respect to the Personal Data of individuals in United Kingdom, the Data Protection Laws and GDPR defined in Section 1 shall include the Regulation (EU) 2016/679 as it forms part of the law of England and Wales, Scotland and Northern Ireland pursuant to and as amended by any legislation arising out of the 2018 Withdrawal Act of the United Kingdom from the European Union.
8.11.2 Transfer outside of the United Kingdom by Company. For Personal Data originating from the United Kingdom, the Parties agree that the UK International Data Transfer Addendum between Company and Nuance Affiliate outside the United Kingdom located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/uk-standard-contract-clause.html(Ouvrir une nouvelle fenêtre) will apply.
8.11.3 Transfers outside United Kingdom by Nuance. Where the transfer is to a sub‑processor which is not located in an Adequate Country, Nuance shall ensure that a mechanism to achieve adequacy in respect to the Processing is in place, such as:
(a) The execution between Nuance and its sub‑processors outside the United Kingdom of the UK International Data Transfer Addendum, a copy of which can be made available upon request;
(b) The existence of any self‑regulation framework or binding corporate rules providing adequate protection to the transferred Personal Data.
9. MISCELLANEOUS PROVISIONS
9.1 Order of Precedence. To the extent that any provisions of this DPA conflict with any provisions in the Main Agreement, this DPA shall prevail as to the specific subject matter of such provisions. The provisions in this DPA are intended to be clarifications as to how the Parties will meet their obligations under the Standard Contractual Clauses applicable in each jurisdiction. In the event that any of these provisions is in contradiction with the Standard Contractual Clauses, then the Standard Contractual Clauses shall prevail to the extent of that contradiction.
9.2 Language. If Nuance provides this DPA in more than one language for the country of Company’s address, and there is a discrepancy between the English text and the translated text, the English text will govern.
9.3 Updates to DPA terms. When Company renews or purchases a new subscription to Service or enters into a work order for a professional Services, the then‑current DPA terms will apply and will not change during Company’s subscription for that Service or term for that professional Service work order. Notwithstanding the aforementioned, when Nuance introduces features, offerings, supplements or related software that are new (i.e., that were not previously included with the Services), Nuance may provide terms or make updates to this DPA that apply to Company´s use of those new features, offerings, supplements or related software. If those terms include any material adverse changes to the DPA terms, Nuance will provide Company a choice to use the new features, offerings, supplements, or related software, without loss of existing functionality of a generally available Service. If Company does not install or use the new features, offerings, supplements, or related software, the corresponding new terms will not apply.
9.4 Regulatory changes. Notwithstanding the terms under Section 9.3, Nuance may modify or terminate a Service in any country or jurisdiction where there is any current or future government requirement or obligation that (1) subjects Nuance to any regulation or requirement not generally applicable to businesses operating there, (2) presents a hardship for Nuance to continue operating the Services without modification, and/or (3) causes Nuance to believe the DPA terms or the Services may conflict with any such requirement or obligation.
9.5 Entire agreement. This DPA shall supersede any prior agreements, arrangements and understandings between the Parties and constitutes the entire agreement between the Parties relating to the subject matter hereof.
9.6 Validity and enforceability. Should any provision of this DPA be invalid or unenforceable, then the remainder of this DPA shall remain valid and in force. The invalid or unenforceable provisions shall be either (i) amended as necessary to ensure their validity and enforceability, while preserving the Parties’ intentions as closely as possible or, if this is not possible, (ii) construed in a manner as if the invalid or unenforceable part had never been contained therein.
9.7. Non‑production environments may employ lesser or different privacy and security measures than those typically present in a production environment. If Company submits or allows Data Subjects to submit to a non‑production environment Personal Data or other data that is subject to legal or regulatory compliance requirements, Company acknowledges that it does so on its own responsibility. The following terms in this DPA do not apply to non‑production environments: Processing Requirements, Security, Additional Provisions for Specific Types of Personal Data, and Additional Provisions for Individuals Located in Certain Countries.
9.8 Company is responsible for implementing and maintaining privacy protections and security measures for components that Company provides or controls (such as Company credentials for accessing Web based reporting and self‑service tools that Nuance makes available to Company in connection with the Services).
The following additional terms are part of this DPA and are incorporated, where applicable, as stated above.
Data Processing Details located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/details.html(Ouvrir une nouvelle fenêtre).
Description of Technical and Organizational Measures located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/TOMs.html(Ouvrir une nouvelle fenêtre).
Sub-Processor List located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/sub-processors.html(Ouvrir une nouvelle fenêtre).
EU Standard Contractual Clauses - (Module Two - Controller to Processor) located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/eu-standard-contract-clause-C2P.html(Ouvrir une nouvelle fenêtre).
UK International Data Transfer Addendum located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/uk-standard-contract-clause.html(Ouvrir une nouvelle fenêtre).
Argentina Standard Contractual Clauses located at https://www.nuance.com/about-us/terms-and-conditions/data-processing-terms/ar-standard-contract-clause.html(Ouvrir une nouvelle fenêtre).
Previous Versions
- June 12, 2018(Ouvrir une nouvelle fenêtre)
- February 2, 2020(Ouvrir une nouvelle fenêtre)
- April 24, 2020(Ouvrir une nouvelle fenêtre)
- June 25, 2020(Ouvrir une nouvelle fenêtre)
- October 1, 2020(Ouvrir une nouvelle fenêtre)
- March 1, 2021(Ouvrir une nouvelle fenêtre)
- May 15, 2021(Ouvrir une nouvelle fenêtre)
- September 15, 2021(Ouvrir une nouvelle fenêtre)
- April 30, 2022(Ouvrir une nouvelle fenêtre)
- July 12, 2022(Ouvrir une nouvelle fenêtre)
- September 15, 2022(Ouvrir une nouvelle fenêtre)
- August 1, 2023(Ouvrir une nouvelle fenêtre)