Accord relatif au traitement des données personnelles

Pour toutes les finalités, la version anglaise de ce Contrat doit être considérée comme la version originale et officielle du contrat qui gouverne et régit les relations entre les parties. Sauf disposition légale contraire, la traduction de ce Contrat est établie pour des raisons de commodité, et en cas de contradiction entre cette version anglaise du Contrat et sa traduction dans toute autre langue, cette version anglaise prévaudra.

POUR EVITER TOUT DOUTE, CET ATDP NE SERA PAS CONTRAIGNANT POUR TOUTE ENTITE QUI N'EST PAS : (1) UNE PARTIE DU CONTRAT PRINCIPAL OU (2) UNE SOCIETE AFFILIEE NON AUTORISEE CONTRACTUELLEMENT A UTILISER LES SERVICES. IL N'ENGAGERA PAS NON PLUS TOUTE ENTITÉ QUI REÇOIT DES SERVICES DE NUANCE PAR L'INTERMÉDIAIRE D'UN DISTRIBUTEUR OU D'UN REVENDEUR AUTORISÉ PAR NUANCE.

Dernière modification le 30 avril 2022 / Versions précédentes

Le présent ATDP Accord relatif au traitement des données personnelles (“ATDP”) est conclu sur acceptation du Contrat tel que défini ci-dessous, entre l'entité acceptant les termes du Contrat (“Distributeur”) et l'entité Nuance concluant le Contrat (“Nuance”), chacune étant une “Partie” et ensemble les “Parties”.

PREAMBULE

(A) Nuance et le Distributeur ont conclu un ou plusieurs contrats, y compris un Accord-cadre de Distribution (ci-après dénommé “Contrat”) en vertu duquel Nuance a accordé au Distributeur le droit de distribuer et de revendre les Services de Nuance, tels que définis ci-dessous, à des clients finaux (chacun une “Société”), soit directement, soit par l'intermédiaire de revendeurs (chacun un “Revendeur”). Les Services comprennent l'hébergement, la maintenance, les services de support et les mises à jour pour les Sociétés qui sont les Responsables de Traitement des Données Personnelles.

(B) Les Parties ont convenu qu'afin que Nuance et ses Filiales puissent fournir des Services aux Sociétés, Nuance Traitera les Données Personnelles des Sociétés auxquelles le Distributeur ou ses Revendeurs ont vendu des Services Nuance dans le cadre des contrats entre le Distributeur ou le Revendeur et la Société (chacun un “Contrat de Société”). En outre, Nuance devra également Traiter certaines Données Personnelles pour lesquelles le Distributeur ou les Revendeurs seront des Responsables de Traitement des Données Personnelles.

(C) Les Parties ont accepté de conclure ce présent ATDP afin de répondre aux obligations de conformité imposées par les Lois sur la protection des données et de veiller à ce que des garanties adéquates soient mises en place concernant la protection de ces Données Personnelles.

(D) Sauf indication contraire expresse dans le Contrat, la fourniture des Services est régie par le présent ATDP conformément aux Lois sur la protection des données et le présent ATDP est intégré par référence au Contrat.

1. DEFINITIONS. Les expressions suivantes sont utilisées dans le présent ATDP : Si les définitions qui y figurent diffèrent de celles du Contrat relatif à la protection des données, le présent ATDP prévaut quant à l'objet spécifique de cette définition.

(a) “Services” désigne l'application, le produit ou les services ainsi que les autres activités à fournir ou à réaliser pour le compte de la Société/ Filiale conformément au Contrat.

(b) “Demande de la Personne Concernée” émane de la personne dont les Données Personnelles sont recueillies ou d’une personne agissant en son nom. Cette demande peut concerner l'accès aux Données Personnelles, leur rectification, leur effacement, la portabilité de ces Données Personnelles ou encore l’exercice du droit d’opposition.

(c) “Lois sur la protection des données” désigne toutes les lois et règlements, ainsi que leurs modifications, applicables aux Traitements de Données Personnelles mis en œuvre au titre du Contrat, y compris, mais sans s'y limiter, le RGPD.

(d) “RGPD”(connu sous le nom de Règlement Général sur la Protection des Données) désigne le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du Traitement des Données Personnelles et à la libre circulation de ces données.

(e) “Clauses Contractuelles Types de l’UE” signifie les clauses contractuelles types pour le transfert de Données Personnelles dans des pays tiers conformément au Règlement (UE) 2016/679 du Parlement et du Conseil Européen et basées sur la décision de la Commission Européenne (UE) 2021/914 du 4 juin 2021, ou toute décision de la Commission européenne modifiant ou remplaçant la décision du 4 juin 2021.

(f) “Données Personnelles” signifie “données à caractère personnel” au sens des Lois sur la protection des données.

(g) "Données biométriques" a, dans chaque juridiction concernée, le sens qui lui est conféré (ou le terme équivalent le plus proche) par les Lois sur la protection des données applicables dans cette juridiction et les "identifiants biométriques" et "informations biométriques" seront interprétés en conséquence.

(h) “Violation de Données Personnelles” signifie une “violation de données personnelles” ou “violation de données” telle que définie par les Lois sur la protection des données personnelles et relevant du périmètre de la responsabilité de Nuance, par l'un de ses employés, sous-traitants ultérieurs ou tout autre tiers identifié ou non à compter du moment où Nuance en a pris connaissance avec un degré raisonnable de certitude.

(i) “Pays Adéquat” vise un pays, un territoire ou un secteur spécifique d'un pays ou d'une organisation internationale qui est reconnu de temps à autre par les Lois sur la protection des données comme offrant une protection adéquate des Données Personnelles, y compris, mais sans s'y limiter, ceux pour lesquels la Commission européenne considère qu’un niveau adéquat de protection est assuré. Cette liste est publiée au Journal officiel de l'Union Européenne.

(j) “Traiter”, “Traitement”, “Responsable de Traitement”, “Sous-traitant”, “Personne Concernée”, et “Autorité de Contrôle” ou “Autorité de Contrôle concernée” sont des termes définis tel que prévu par le RGPD.

2. PRESENTATION DES PARTIES

2.1 La Société est le Responsable du Traitement des Données Personnelles des clients (par exemple les patients, les consommateurs, les acheteurs et autres), du personnel et des utilisateurs autorisés des Services (“Données de la Société”).

2.2 Le Distributeur est le Sous-traitant des Données de la Société, s’il n’est fait appel à aucun Revendeur.

2.3 Si le Distributeur a recours à un Revendeur, celui-ci sera le Sous-traitant des Données de la Société. Le Distributeur est alors un sous-traitant ultérieur des Données de la Société.

2.4 Si le Distributeur n'a pas recours à un Revendeur, Nuance sera le Sous-Traitant ou le sous-traitant ultérieur des Données de la Société.

2.5 Les Filiales et les fournisseurs de services de Nuance, tels que définis dans la Liste des sous-traitants ultérieurs,(Ouvrir une nouvelle fenêtre) sont respectivement des sous -traitants ultérieurs ou des sous-traitants de tout degré inférieur résultant du transfert (ultérieur) des Données de la Société, selon qu'ils soient directement mandatés par Nuance ou par une Filiale et selon que le Distributeur fasse ou non appel à un Revendeur. Par la suite, ils seront collectivement désignés comme sous-traitants ultérieurs.

2.6 En vertu de son Contrat avec le Distributeur, Nuance est un Sous-traitant du fait de son système de gestion de la relation client et de billetterie de support.

2.7 Comme décrit plus en détail dans la section 3 ci-dessous, le Distributeur accorde à Nuance le droit de Traiter les Données Personnelles conformément au présent ATDP afin de fournir ses Services. Le Distributeur s'assurera que la Société et le Revendeur obtiennent tous les consentements nécessaires requis,le cas échéant, en vertu des Lois sur la protection des données européennes pour permettre à Nuance de Traiter les Données Personnelles conformément au présent ATDP.

3. LES conditions DE TRAITEMENT

3.1 Détails sur le Traitement des Données Personnelles. Le Distributeur, agissant pour le compte de la Société, donne instruction à Nuance et à ses sous-traitants ultérieurs de Traiter les Données Personnelles sur la base des instructions documentées du Distributeur, telles que prévues par le Contrat le présent ATDP ainsi que par toute autre instruction du Distributeur convenue par écrit entre le Distributeur et Nuance respectant les Lois sur la protection des données, et sauf si cela est nécessaire pour se conformer à une obligation à laquelle est soumise Nuance, dans ce cas, Nuance informera la Société de cette exigence légale avant le Traitement, à moins que la loi, le règlement ou l'ordonnance en question n'interdise cette information pour des raisons importantes d'intérêt public. Toute instruction orale doit être confirmée par écrit et acceptée par les deux Parties. Toute instruction complémentaire doit faire l'objet d'un accord et peut faire l’objet d’une facturation distincte. Le Distributeur reconnaît et s'assure que la Société comprend que les éléments suivants constituent des instructions : (a) le Traitement conformément au Contrat et, si cela a été convenu, au(x) bon(s) de commande ou au(x) cahier(s) des charges ; et (b) le Traitement initié par les utilisateurs des Services (par exemple, lors de l'envoi d'un fichier de sortie par email à une autre personne). Le Distributeur tiendra la Société pour responsable de la détermination des bases légales du Traitement des Données Personnelles, y compris l'obtention de tous les consentements nécessaires, et se conformera à toutes les Lois sur la protection des données applicables à cet égard. La Société donne instruction à Nuance,à ses sous-traitants ultérieurs ainsi qu’aux Filiales d'utiliser, de compiler (y compris en créant des modèles statistiques et autres), d'annoter et d'analyser les Données Personnelles avec pour objectif d'exploiter, de maintenir, de régler, d'améliorer, de perfectionner et de fournir des services d'assistance technique pour la reconnaissance vocale, la compréhension du langage naturel et les autres logiciels et technologies de Nuance intégrés aux Services. Les instructions relatives au Traitement des Données Personnelles peuvent être modifiées, complétées ou remplacées par un avenant au présent ATDP par le biais du processus de contrôle des modifications tel qu’établi. Les instructions non prévues ou non couvertes par le Contrat ou le présent ATDP seront traitées comme des demandes de modification du présent ATDP. Nuance devra, dès qu’elle en aura connaissance, informer le Distributeur, si, selon Nuance, une instruction enfreint les Lois sur la protection des données. Le type de Données Personnelles Traitées en vertu de présent ATDP ainsi que l'objet, la nature et la finalité du Traitement, les Personnes Concernées ainsi que le(s) lieu(x) et la durée du Traitement sont décrits dans les Détails sur le Traitement des Données Personnelles.(Ouvrir une nouvelle fenêtre)

3.2 Respect des Lois sur la protection des données. Chaque Partie garantit à l'autre qu'elle respectera toutes les Lois sur la protection des données applicables à l'exécution du Contrat. Entre Nuance et le Distributeur, ce dernier obligera chaque Société, directement ou indirectement par l'intermédiaire d'un Revendeur, (i) à assurer l'exactitude, la qualité et la licéité des Données Personnelles à Traiter, (ii) à fournir une base légale sur laquelle Traiter les Données Personnelles et (iii) à conclure un contrat écrit avec des obligations de protection des données équivalentes à celles du présent ATDP.

3.3 Responsabilité de Nuance. Nuance Traite les Données Personnelles qui peuvent être incorporées par la Société dans les fichiers officiels. Nuance ne gère pas le système d'enregistrement de la Société et, par conséquent, Nuance ne stocke ni ne conserve aucun enregistrement officiel, en tout ou en partie, pour la Société. Les originaux de tout fichier, y compris les dossiers médicaux, seront conservés par la Société ou ses autres sous-traitants. Nuance n'a accès à certaines parties des fichiers à distance via le système informatique de la Société dans le cadre de la fourniture des Services prévus dans le Contrat de Société. Nuance détiendra l’intégralité des droits de propriété intellectuelle sur toutes les améliorations et perfectionnements de ses logiciels et Services résultant de son Traitement des Données Personnelles.

3.4 Confidentialité. Nuance traitera toutes les Données Personnelles en veillant à leur caractère strictement confidentiel. Nuance prendra les mesures appropriées pour que seul le personnel autorisé, et soumis à des obligations de confidentialité contractuelles ou légales, ait accès aux Données Personnelles. La résiliation ou l'expiration du présent ATDP ne libère pas Nuance de ses obligations de confidentialité.

3.5 Data Protection Officer (DPO) ou Délégué à la Protection des Données (DPD). Nuance a nommé un délégué à la protection des données qui peut être contacté par courriel à l'adresse Privacy@Nuance.com ou par courrier à l'adresse suivante :

Chief Privacy Officer

Nuance Communications, Inc.

1 Wayside Road

Burlington MA 01803

ÉTATS-UNIS

Data Protection Officer

Nuance Communications Ireland, Ltd

The Harcourt Building, 4th Floor

57B Harcourt Street

Dublin 2, D02 F721

Irlande

Toute modification de ces coordonnées sera indiquée sur le site internet https://www.nuance.com/about-us/company-policies/privacy-policies.html.

3.6 Information aux Personnes Concernées. Concernant les Données Personnelles fournies à Nuance et couvertes par le présent ATDP, le Distributeur doit s’assurer du fait que la Société soit tenue de fournir les notifications et informations requises par les Lois sur la protection des données au moment de la collecte y compris, mais sans s'y limiter, les informations concernant :

(i) Le partage de Données Personnelles avec des sous-traitants ultérieurs, comme le dispose la section 5 ci-dessous ; et

(ii) Le transfert de Données Personnelles aux Filiales de Nuance et aux sous-traitants ultérieurs indiqués dans la Liste des sous-traitants ultérieurs(Ouvrir une nouvelle fenêtre), pour les besoins décrits à la section 3.1 ci-dessus. Nuance devra également se conformer aux exigences de transfert énoncées dans la section 6 ci-dessous.

Ce qui précède ne saurait porter préjudice aux obligations de notification auxquelles Nuance ou ses sous-traitants ultérieurs peuvent être soumis en vertu des Clauses Contractuelles Types de l'UE.

3.7 Demandes des Personnes Concernées. Nuance informera rapidement le Distributeur si elle reçoit une Demande de la Personne Concernée. Entre les Parties, le Distributeur est chargé de traiter toutes les Demandes de la Personne Concernée et les Parties s'entraident raisonnablement pour traiter les Demandes de la Personne Concernée dans le cadre du Contrat. En tenant compte de la nature du Traitement et dans la mesure du possible, Nuance aidera le Distributeur, grâce à des mesures techniques et organisationnelles appropriées, à remplir l'obligation de répondre à ladite Demande de Personne Concernée conformément aux Lois sur la protection des données. Dans la mesure où la loi le permet, le Distributeur supportera tous les coûts raisonnables découlant de la fourniture de cette aide par Nuance.

3.8 Notification de Violation de Données Personnelles. Nuance applique une politique de gestion des incidents et informe le Distributeur de toute Violation de Données Personnelles dans les meilleurs délais.

En cas de Violation de Données Personnelles, Nuance s'efforcera d'identifier la cause de cette Violation de Données Personnelles et prendra les mesures qu’elle jugera nécessaires selon les normes du secteur, afin de remédier à la cause de cette violation dans la mesure où la restauration est sous le contrôle raisonnable de Nuance, dans le cadre de l'obligation de la Société ou du Distributeur en vertu des Lois sur la protection des données. Nuance n'est pas responsable des incidents causés tant par le Distributeur, le Revendeur, la Société que par les utilisateurs finaux de la Société.

3.9 Suppression des Données Personnelles. Dans la mesure du possible, après la résiliation du présent ATDP ou du Contrat, Nuance supprimera toutes les Données Personnelles, sauf si la loi applicable exige que Nuance continue à les stocker. Le Distributeur reconnaît par le présent ATDP que la suppression des Données Personnelles par Nuance permet de remplir son obligation légale de restitution des Données Personnelles à la Société.

3.10 Audit et registres. Sous réserve d'un préavis raisonnable du Distributeur, Nuance lui fournira des preuves raisonnables permettant de démontrer qu'elle respecte le présent ATDP ainsi que les Lois sur la protection des données. En outre, Nuance autorisera et contribuera aux audits, y compris aux inspections, qu’elles soient menées par le Distributeur ou par tout autre auditeur mandaté par celui-ci. Nuance pourra satisfaire au droit d'audit de la Société en vertu des Lois sur la protection des données en fournissant au Distributeur les informations suivantes :

(a) un rapport d'audit datant de moins de 18 mois, établi par un auditeur externe enregistré et indépendant, démontrant que les mesures techniques et organisationnelles de Nuance décrites dans la Description des mesures techniques et organisationnelles(Ouvrir une nouvelle fenêtre) sont suffisantes et conformes à une norme d'audit acceptée par l'industrie, telle que la norme SSAE 18, SOC 1, SOC 2, SOC 3, ISO 27001, ISAE 3402 ; et/ou

(b) des informations supplémentaires en possession ou sous le contrôle de Nuance à une Autorité de Contrôle lorsqu'elle demande ou exige des informations supplémentaires en rapport avec les activités de Traitement de données menées par Nuance dans le cadre du présent ATDP.

(c) Si Nuance n'est pas en mesure de fournir les informations visées aux points (a) et (b) ci-dessus, le Distributeur peut procéder à un audit des pratiques de contrôle de Nuance, y compris au sein des locaux de Nuance, et la Société doit contacter Nuance conformément à la section « Avis » du Contrat. Le Distributeur remboursera à Nuance le temps consacré par les professionnels mis à sa disposition lors de l’audit sur site suivant les tarifs de Nuance en vigueur, . Avant le démarrage d’un audit sur site, le Distributeur et Nuance conviendront de la portée, du calendrier et de la durée de l'audit, ainsi que du taux de remboursement dont le Distributeur sera responsable. Les taux de remboursement doivent être raisonnables et tenir compte des dépenses de Nuance. Le Distributeur notifiera sans délai à Nuance toute non-conformité découverte au cours d'un audit et lui accordera un délai raisonnable pour y remédier.

(d) Les Parties conviennent du fait que lors de l'exécution de procédures d'audit relatives à la protection des Données Personnelles, le Distributeur prendra toutes les mesures raisonnables pour en limiter l’influence sur le cours normal des activités professionnelles habituelles de Nuance.

4. SÉCURITÉ

Suivant les dernières technologies disponibles, leur coût de mise en œuvre, la nature, la portée, le contexte et la finalité du Traitement, ainsi que selon le risque pour les droits et libertés des personnes physiques, Nuance maintiendra des mesures techniques et organisationnelles appropriées, comme indiqué dans la Description des mesures techniques et organisationnelles.(Ouvrir une nouvelle fenêtre)

5. SOUS-TRAITANCE

5.1 Les Filiales sous-traitants ultérieurs. Le Distributeur octroie une autorisation générale à Nuance pour désigner comme sous-traitant ultérieur et pour permettre la fourniture des Services, toutes les autres entités en position de contrôle, sous propriété commune ou contrôle de la société mère de Nuance, Nuance Communications, Inc. (“Filiales”), comme précisé dans la Liste des sous-traitants ultérieurs.

5.2 Autres sous-traitants ultérieurs. Le Distributeur accorde à Nuance et à ses Filiales une autorisation générale pour désigner les catégories suivantes de sous-traitants ultérieurs afin de permettre la fourniture des Services : Nuance et ses Filiales de cloud computing, de développement de logiciels, conseil et d’autres sociétés fournissant des services de conseil et d'assistance en matière de technologies de l'information et de sécurité ; les opérateurs de centres de données (« data centers ») tiers ; et les fournisseurs de services d'assistance technique externalisés.

5.3 Liste disponible. Une liste de tous les sous-traitants ultérieurs approuvés par le Distributeur ci-dessus est incluse la Liste des sous-traitants ultérieurs(Ouvrir une nouvelle fenêtre).

5.4 Changements de sous-traitant ultérieur ; droit d’opposition du Distributeur. Nuance communiquera au Distributeur le nom de tout nouveau sous-traitant ultérieur et de tout sous-traitant ultérieur de remplacement avant qu'il ne commence à traiter les Données Personnelles. Dans les dix (10) jours ouvrables suivant la réception de la notification d'un changement de Sous-traitant, le Distributeur pourra s'y opposer en adressant une notification écrite à Nuance. La notification doit décrire les raisons de l’opposition du Distributeur qui doit reposer sur des raisons valables. Le fait de ne pas notifier son opposition pendant cette période constitue une renonciation au droit d'opposition. Si le Distributeur notifie son opposition par écrit, celle-ci sera discutée de bonne foi entre lui et Nuance afin de tenter de la surmonter. Si aucune solution n'est trouvée dans les trente (30) jours suivant la notification initiale de l'opposition, et si le Contrat ne peut être exécuté sans le recours au sous-traitant (ultérieur) visé par l'opposition, le Distributeur peut mettre fin aux Services de la Société concernés moyennant un préavis écrit de soixante (60) jours, ce préavis devant être donné au plus tard quarante-cinq (45) jours après la date de sa notification initiale.

5.5 La responsabilité de Nuance. Nuance et/ou les Filiales exigeront de tout sous-traitant ultérieur qu'il conclue un accord écrit avec Nuance afin de protéger les Données Personnelles selon des exigences de protection des données équivalentes à celles du présent ATDP. Nuance restera responsable envers le Distributeur de toute violation par le sous-traitant ultérieur de son contrat; l'autorisation du sous-traitant ultérieur par le Distributeur ne supprime pas cette responsabilité.

6. TRANSFERTS DE DONNEES

6.1 Lieu d'hébergement de Nuance. Nuance fournit, exploite et maintient les centres d’hébergement de données dans les lieux décrits dans les Détails sur le Traitement des Données Personnelles(Ouvrir une nouvelle fenêtre) et la Liste des sous-traitants ultérieurs(Ouvrir une nouvelle fenêtre) pour permettre le fonctionnement des Services.

6.2 Transferts hors EEE par Nuance. Le Distributeur reconnaît que Nuance peut transférer les Données Personnelles à des sous-traitants ultérieurs en dehors de l’Espace Economique Européen (« EEE ») pour les besoins du présent ATDP. Si les Données Personnelles Traitées dans le cadre de cet ATDP sont transférées par Nuance d'un pays situé dans l’EEE vers un pays situé en dehors de l’EEE, Nuance s'assurera de la mise en place d'un mécanisme permettant d'atteindre un niveau de sécurité adéquat concernant ce Traitement tel que :

(a) L’exécution entre Nuance et ses sous-traitants ultérieurs des Clauses Contractuelles Types de l’UE (Module Trois – De Sous-traitant à Sous-traitant)(Ouvrir une nouvelle fenêtre) qui peuvent être consultées en cliquant sur le lien précédent menant aux Clauses Contractuelles Types de l’UE afin de démontrer le respect de cette obligation par Nuance ; et l'obligation pour les sous-traitants ultérieurs de se conformer aux principes de transfert ultérieur prévus par les Clauses Contractuelles Types de l'UE ; et

(b) La mise en œuvre par Nuance et ses sous-traitants ultérieurs de garanties supplémentaires, le cas échéant, pour s'assurer que pendant et après le transfert, les Données Personnelles soient soumises à un niveau de protection équivalent à celui de l'UE. Ces garanties peuvent inclure l'anonymisation des Données Personnelles, au même titre que la pseudonymisation ou le cryptage, y compris durant la transmission, en prenant en compte le niveau de protection des données dans le pays destinataire ainsi que la nature des Données Personnelles visées. De plus amples détails sur les garanties appliquées par Nuance et les Filiales sont présentés dans la Description des mesures techniques et organisationnelles(Ouvrir une nouvelle fenêtre). Les garanties supplémentaires appliquées par Nuance et ses sous-traitants ultérieurs ne libèrent pas la Société de ses propres obligations en matière de protection des données ; ou

(c) Toute autre garantie spécifiquement approuvée pour le transfert de données en vertu des Lois sur la protection des données ou d'une décision d'adéquation de la Commission européenne

6.3 Transferts hors du pays de la première juridiction par Nuance. Si des Données Personnelles Traitées dans le cadre du présent ATDP sont transférées en dehors de la juridiction du pays à partir duquel les données ont été initialement Traitées (la “Première Juridiction”) autre que l’EEE, Nuance s'assurera du respect des Lois sur la protection des données applicables au sein de la Première Juridiction régissant ce transfert. Les obligations spécifiques en matière de transfert transfrontalier de données sont détaillées dans la section 8 ci-dessous.

7. DISPOSITIONS RELATIVES A DES CATEGORIES SPÉCIFIQUES DE DONNÉES PERSONNELLES

7.1 Données relatives aux enfants. Le Distributeur comprend et s’assure que la Société garantisse par les présentes que :

(a) Le site web, les Services et les produits de la Société sont conformes au RGPD, à la loi américaine de 1998 sur la protection de la vie privée des enfants en ligne (“COPPA”) ainsi qu’aux autres Lois sur la protection des données protégeant les informations personnelles (telles que définies par la loi applicable) des enfants de moins de 16 ans (“Données relatives aux enfants”).

(b) La Société ne doit pas utiliser les Services de Nuance en relation avec un site, un service ou un produit en ligne dont le public principal est constitué d'enfants de moins de 16 ans (“Principalement destiné aux enfants”). L'expression “Principalement destiné aux enfants” se fonde sur des preuves empiriques concernant la composition de l'audience ainsi que sur des éléments concernant le public visé, tels que le sujet, le contenu visuel, l'utilisation de personnages animés ou d'activités,les incitations destinées aux enfants, la musique ou tout autre contenu audio, l'âge des modèles, la présence d'enfants ou de célébrités qui plaisent aux enfants, la langue ou d'autres caractéristiques du site web ou du service en ligne, ainsi que le fait que la publicité promouvant ou apparaissant sur le site web ou le service en ligne soit destinée aux enfants.

(c) Si la Société utilise un logiciel sous licence Nuance pour des sites, services ou produits en ligne Principalement destinés aux enfants, elle ne doit pas envoyer à Nuance (dans le cadre de la maintenance, du support et des outils concernant le logiciel sous licence Nuance, ou autrement) de Données relatives aux enfants.

(d) Si la Société utilise des Services pour des sites en ligne à audience mixte ou générale, des services ou des produits qui peuvent être accessibles aux enfants de moins de 16 ans, mais qui ne sont pas Principalement destinés aux enfants, alors le mécanisme vérifiable de consentement parental de la Société, la notification directe et la notification sur le web, comme l'exigent les Lois sur la protection des données, doivent informer de manière adéquate et encadrer suffisamment le transfert des Données relatives aux enfants à Nuance et la collecte et le traitement des Données relatives aux enfants par Nuance conformément au présent ATDP.

Les Parties conviennent et le Distributeur s’assure que la Société (et le Revendeur) comprennent que ; Nuance n'est pas un opérateur au sens où ce terme est défini dans le COPPA. Entre la Société, le Distributeur ou le Revendeur d’une part, et Nuance d’autre part, les trois premiers sont respectivement tenus pour seuls responsables face au non-respect de leurs obligations en vertu des Lois sur la protection des données ou du présent ATDP.

7.2 Conformité au Californian Consumer Privacy Act (CCPA) .

(a) Les Parties comprennent et garantissent ce qui suit, et le Distributeur s'assure que le Revendeur comprend et accepte ce qui suit :

Dans la mesure où Nuance reçoit de la Société (directement ou par le biais de parties tierces) toute “information personnelle” de tout “consommateur” soumis à la loi californienne sur la protection de la vie privée des consommateurs (“CCPA”) pour Traitement dans le cadre du présent ATDP, Nuance, le Distributeur, le Revendeur et la Société devront chacun se conformer à toutes les dispositions applicables dans le CCPA. Dans la mesure du possible, Nuance sera considérée comme un “fournisseur de services” de la Société en vertu du CCPA et ne devra pas (a) conserver, utiliser ou divulguer ces informations personnelles dans un autre but que celui de fournir des Services dans le cadre de ce ATDP ou que celui autorisé par le CCPA, y compris dans un “but commercial” valide ; (b) conserver, utiliser ou divulguer ces informations personnelles dans un “but commercial” autre que la fourniture des Services dans le cadre du présent ATDP; (c) conserver, utiliser ou divulguer ces informations personnelles en dehors de la fourniture des Services dans le cadre du présent ATDP ; ou (d) “vendre” ces informations personnelles. Nuance comprend et garantit qu'elle se conformera aux interdictions décrites dans le présent document. Les termes “informations personnelles”, “consommateur”, “fournisseur de services”, “finalité commerciale”, “but commercial” et “vendre” précités revêtent la signification qui leur est conférée par le CCPA.

(b) En cas de modification du CCPA, les Parties conviendront des changements à apporter au présent ATDP pour le mettre en conformité avec le CCPA.

7.3 Données biométriques.

7.3.1 En ce qui concerne les Données Personnelles définies à la Section 1, les Données Personnelles comprennent les Données biométriques dans la mesure où Nuance crée ou reçoit de la Société des identifiants biométriques, des informations biométriques ou des Données Personnelles résultant d'un traitement technique spécifique relatif aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique qui permettent ou confirment l'identification ou authentification unique de cette personne physique.

7.3.2 En plus des exigences énumérées dans la Section 3.6, le Distributeur doit s'assurer que la Société est responsable de la fourniture de tous les avis, de la politique écrite mise à la disposition du public ainsi que des informations relatives aux Données Personnelles requises par les Lois sur la protection des données, y compris, mais sans s'y limiter, les informations concernant :

(i) L'enregistrement des conversations avec la Société et la divulgation de ces enregistrements à Nuance, aux Filiales de Nuance et aux sous-traitants ultérieurs aux fins décrites dans la section 3.1 ci-dessus ;

(ii) Traitement par Nuance de caractéristiques physiques, physiologiques ou comportementales dans le but de créer, collecter ou stocker des Données Personnelles. Le Distributeur reconnaît que ce Traitement est effectué dans le but limité de fournir un service et que Nuance n'achète pas, ne vend pas, ne loue pas, n'échange pas ou ne tire aucun autre profit de l'identifiant biométrique ou des informations biométriques d'une personne physique ;

(iii) Durée et directives relatives à la destruction définitive de l'identifiant biométrique ou des informations biométriques collectées, stockées et utilisées comme indiqué dans le présent ATDP.

7.3.3 Le Distributeur doit s'assurer que la Société obtient tous les consentements, autorisations ou licences nécessaires pour permettre à Nuance de saisir, stocker, traiter, divulguer, utiliser et transférer à l'international les Données Personnelles conformément aux lois sur la protection des données.

7.3.4 Le Distributeur doit s'assurer que la Société fera toutes les divulgations nécessaires et obtiendra l'approbation des autorités de surveillance compétentes en vertu des Lois sur la protection des données, y compris, mais sans s'y limiter, la Loi québécoise concernant le cadre juridique des technologies de l'information (L.R.Q., c. C-1.1) régissant une base de données de caractéristiques et de mesures biométriques.

7.3.5 Lorsqu'une personne se désinscrit de l'authentification biométrique, que son compte est fermé ou que l'objectif initial de la collecte ou de l'obtention de ces informations personnelles a été satisfait, le Distributeur fournit à Nuance les instructions relatives à la suppression des informations personnelles requises par les lois sur la protection des données.

7.3.6 Le non-respect par le Distributeur des dispositions de la présente section 7.3 constitue une violation substantielle du présent ATDP et du Contrat. Le Distributeur doit mettre à la disposition de Nuance toutes les informations nécessaires pour démontrer le respect des obligations du Distributeur dans la présente section 7.3 et permettre et contribuer aux audits, y compris les inspections, menés par Nuance. En cas de demande, d'enquête ou de réclamation de la part d'un organisme de réglementation ou d'une autorité gouvernementale concernant le respect des Lois sur la protection des données, le Distributeur doit veiller à ce que Nuance reçoive des copies de tous les consentements, politiques de confidentialité, avis et divulgations nécessaires pour répondre à ladite demande, enquête ou réclamation. En outre, le Distributeur doit veiller à ce que Nuance reçoive une copie des notifications et/ou des consentements du client final applicables dans chaque juridiction au moins soixante (60) jours avant la date de déploiement de la production.

8. DISPOSITIONS APPLICABLES AUX PERSONNES situees DANS D’AUTRES PAYS.

Chacune des dispositions supplémentaires suivantes s'applique en fonction de la localisation de la personne dans le pays respectif dont les Données Personnelles sont Traitées.

8.1 DISPOSITIONS APPLICABLES A L'ARGENTINE

8.1.1 Loi sur la protection des données. En ce qui concerne les Données Personnelles des personnes situées en Argentine, les Lois sur la protection des données définies à l'article 1 comprennent les principes argentins de protection de la vie privée, tels que définis par la loi argentine 25 326 relative à la protection des données personnelles.

8.1.2 Obligation générale de traitement. Nuance Traitera les Données Personnelles conformément aux dispositions des Lois sur la protection des données.

8.1.3 Transfert hors d'Argentine par la Société. Si, dans le cadre du présent ATDP, des Données Personnelles sont transférées par la Société, le Distributeur ou le Revendeur à Nuance d'Argentine vers un Pays Adéquat, ce transfert sera régi par les Clauses Contractuelles Types d'Argentine.(Ouvrir une nouvelle fenêtre)

8.1.4 Transferts hors d'Argentine par Nuance. Le Distributeur reconnaît et s’assure que la Société et le Revendeur prévoient que Nuance puisse, dans le cadre de l'exécution du présent ATDP, transférer des Données Personnelles à des Filiales et autres sous-traitants ultérieurs établis en dehors d'Argentine. Lorsque ce sous-traitant ultérieur n'est pas situé dans un Pays Adéquat, Nuance s'assurera qu'un mécanisme permettant d'atteindre le niveau de protection requis en ce qui concerne le Traitement est mis en place, de sorte que :

(a) Le consentement de chaque personne dont les Données Personnelles sont transférées vers un Pays non Adéquat soit recueilli ;

(b) L'exécution par Nuance, pour elle-même et/ou pour le compte de la Société, du Distributeur ou du Revendeur, des Clauses Contractuelles Types d’Argentine. Sur demande, Nuance fournira à la Société, au Revendeur ou au Distributeur respectivement pour examen, ces copies des clauses contractuelles, sous réserve de la suppression des informations commerciales confidentielles non pertinentes pour les exigences du présent ATDP. Le Distributeur autorise et s’assure que la Société et le Revendeur autorisent Nuance et ses Filiales à conclure des Clauses Contractuelles Types d’Argentine conformes au présent ATDP et aux Clauses Contractuelles Types d ’Argentine(Ouvrir une nouvelle fenêtre) pour les transferts de Responsables de Traitement vers Sous-traitants, au nom de la Société, du Distributeur ou du Revendeur respectivement ;

(c) L'existence d'un cadre d'autorégulation ou de règles d'entreprise contraignantes assurant une protection adéquate des Données Personnelles transférées.

8.2 DISPOSITIONS APPLICABLES A L’AUSTRALIE

8.2.1 Loi sur la protection des données. En ce qui concerne les Données Personnelles des personnes physiques situées en Australie, les Lois sur la protection des données définies à la Section 1 comprennent la législation fédérale, étatique et territoriale applicable en matière de protection de la vie privée.

8.2.2 Obligation générale de traitement. Nuance Traitera les Données Personnelles d'une manière compatible avec les Lois sur la protection des données.

8.2.3 Obligation de Notification des Violations. Si la Société, le Distributeur ou le Revendeur selon la nature des Données Personnelles Traitées, est situé en Australie, alors la définition de Violation de Données Personnelles énoncée à la Section 1 doit inclure toute “violation de données admissibles” telle que prévue par le régime australien de notification des violations de données.

8.2.4 Transferts hors d'Australie. Outre les exigences de l'article 6.3, dans le cas où Nuance transférerait des Données Personnelles hors d'Australie, Nuance conclura, ou aura conclu, avec les cessionnaires des accords prévoyant des protections contractuelles, substantiellement similaires aux principes australiens de protection de la vie privée, portant sur les Données Personnelles, dans la même mesure que celle requise par les obligations imposées à Nuance par le présent ATDP.

8.3 DISPOSITIONS APPLICABLES AU BRÉSIL

8.3.1 Loi sur la protection des données. En ce qui concerne les Données Personnelles des personnes situées au Brésil, les Lois sur la protection des données définies à la Section 1 comprennent la “LGPD” ou le règlement général brésilien sur la protection des données, loi n° 13.709/2018, qui régit le Traitement des Données Personnelles au Brésil.

8.3.2 Obligation générale de Traitement. Nuance traitera les Données Personnelles conformément au règlement général brésilien sur la protection des données, la loi n° 13.709/2018.

8.3.3 Transferts hors du Brésil. Outre les exigences instaurées à la Section 6.3., dans le cas où Nuance transférerait des Données Personnelles vers un autre pays qui n’est pas considéré comme un Pays Adéquat, Nuance conclura, ou aura conclu, avec les cessionnaires, des accords comprenant des protections contractuelles pour sécuriser et protéger les Données Personnelles dans la même mesure que celles requises par les obligations imposées à Nuance par le présent ATDP.

8.4 DISPOSITIONS APPLICABLES AU CANADA

8.4.1 Responsable de Traitement. En ce qui concerne le Traitement des Données Personnelles des individus au Canada, le terme "Responsable de Traitement" défini à la Section 1 vise les organisations qui collectent, utilisent ou divulguent des informations personnelles dans le cadre de leurs activités commerciales ; mais également les détenteurs de données de santé, les dépositaires de données, les organismes publics, les entreprises, les fiduciaires ainsi que toute autre désignation similaire prévue par les Lois sur la protection des données applicables.

8.4.2 Lois sur la protection des données. En ce qui concerne les Données Personnelles des individus situés au Canada, les Lois sur la protection des données définies à la Section 1 comprennent la législation fédérale et provinciale applicable en matière de protection de la vie privée.

8.4.3 Données Personnelles. Les Données Personnelles définies à la Section 1 comprennent les informations personnelles et concernant la santé tels que ces termes sont définis par les Lois sur la protection des données.

8.4.4 Sous-traitant. En ce qui concerne le Traitement des Données Personnelles des personnes physiques situées au Canada, le terme Sous-traitant défini à la Section 1 comprend tout agent, fournisseur, prestataire de services ou désignation similaire en vertu des Lois sur la protection des données applicables.

8.4.5 Obligation générale de Traitement. Nuance traitera les Données Personnelles conformément aux Lois sur la protection des données. Cet ATDP s'applique à toutes les Données Personnelles traitées par Nuance pour le compte de la Société, qu’elles soient reçues directement ou indirectement de la Société, y compris les Données Personnelles de la Société fournies à Nuance par un Distributeur ou un Revendeur dans le cadre de la fourniture de services d'assistance à la Société.

8.4.6 Transferts hors du Canada. La Société reconnaît que Nuance peut, dans le cadre de l'exécution du présent ATDP, transférer des Données Personnelles en-dehors du Canada, à condition de respecter le principe de responsabilité. Nuance conclura ou aura conclu avec les cessionnaires des accords prévoyant des protections pour sécuriser et protéger les Données Personnelles dans la même mesure que celles requises par les obligations imposées à Nuance par le présent ATDP.

8.4.7 Droit applicable. Le présent Contrat sera régi par les lois de la province où la Société est située ("Province Concernée") et par les lois fédérales du Canada applicables, sans tenir compte des principes de conflit de lois. Les Parties aux présentes acceptent de soumettre tous les litiges liés au présent Contrat exclusivement à la compétence des tribunaux de la Province Concernée. Les Parties aux présentes renoncent à toute objection relative au lieu de juridiction.

8.5 DISPOSITIONS APPLICABLES AU CHILI

8.5.1 Loi sur la protection des données. En ce qui concerne les Données Personnelles des personnes situées au Chili, les Lois sur la protection des données définies à la Section 1 doivent inclure la loi chilienne 19.628 sur la protection de la vie privée, dans la langue originelle.

8.6 DISPOSITIONS APPLICABLES EN COLOMBIE

8.6.1 Loi sur la protection des données. En ce qui concerne les Données Personnelles des individus situés en Colombie, les Lois sur la protection des données définies à la Section 1 visent la loi colombienne 1581 de 2012 et le décret 1074 de 2015.

8.6.2 Obligation générale de Traitement. Nuance traitera les Données Personnelles conformément aux principes colombiens de protection de la vie privée, tels que définis à l'article 4 de la loi 1581 de 2012.

8.6.3 Décisions relatives à l'adéquation. Par “Pays Adéquat Colombien”, il convient d’entendre les pays ou les organisations internationales certifiées par l'autorité colombienne de protection des données (« Superintendance » de l'industrie et du commerce).

8.6.4 Transferts en dehors de la Colombie. Nuance peut transférer ou transmettre les Données Personnelles Traitées dans le cadre du présent ATDP et du Contrat, à tout pays ou territoire, même s'il n'est pas considéré comme un pays adéquat selon la loi colombienne, sauf si la Société, le Distributeur ou le Revendeur respectivement en charge du Traitement des Données Personnelles prévoit expressément et par écrit de ne pas transférer ou transmettre ces données au pays en question. Le Distributeur garantit que les transferts ou transmissions effectuées par Nuance sont autorisés par le consentement accordé par la Personne Concernée.

8.6.5 Notification de Violation de Données Personnelles. Le Distributeur et Nuance oeuvreront de concert afin de répondre à leur obligation de notifier à la Surintendance de l’industrie et du commerce toute violation des mesures de sécurité ainsi que de l'existence de risques dans le Traitement des Données Personnelles, dans un délai de quinze (15) jours ouvrables à compter de la date à laquelle la violation des Données Personnelles a été détectée.

8.7 DISPOSITIONS APPLICABLES AU JAPON

8.7.1 Lois sur la protection des données. En ce qui concerne les Données Personnelles des individus situés au Japon, les Lois sur la protection des données définies à la Section 1 visent la loi japonaise sur la protection des informations personnelles ainsi que les directives relatives publiées par la Commission japonaise de protection des informations personnelles.

8.7.2 Transferts hors du Japon. Nuance peut transférer ou transmettre les Données Personnelles Traitées dans le cadre du présent ATDP et du Contrat, vers tout pays ou territoire, même s'il n'est pas considéré comme un Pays Adéquat en vertu de la loi japonaise, sauf dans les cas où le Distributeur exige expressément et par écrit de ne pas transférer ou transmettre vers ce pays en particulier. Le Distributeur doit s'assurer que la Société garantisse le fait que les transferts ou transmissions effectués par Nuance sont autorisés par le consentement accordé par la Personne Concernée.

8.8 DISPOSITIONS APPLICABLES AU MEXIQUE

8.8.1 Loi sur la protection des données. En ce qui concerne les Données Personnelles des personnes situées au Mexique, les Lois sur la protection des données définies à la Section 1 visent la loi fédérale mexicaine sur la protection des données personnelles détenues par des Parties Privées.

8.8.2 Transferts hors du Mexique. Dans le cas où Nuance transférerait des Données Personnelles en-dehors du Mexique, elle conclura ou aura conclu avec les cessionnaires des accords prévoyant de sécuriser et de protéger les Données Personnelles dans la même mesure que les obligations imposées à Nuance par le présent ATDP.

8.9 Dispositions APPLICABLES A l'Afrique du Sud

8.9.1 Lois sur la protection des données. En ce qui concerne les Données Personnelles des personnes résidant en République d'Afrique du Sud (“Afrique du Sud"), les Lois sur la protection des données définies dans la Section 1 comprennent la loi sud-africaine sur la protection des informations personnelles (“POPIA”).

8.9.2 Obligation générale de Traitement. Nuance traitera les Données Personnelles conformément à la POPIA, telle que définie par les Lois sur la protection des données applicables.

8.9.3 Transfert hors d'Afrique du Sud par la Société. Si, dans le cadre du présent ATDP, la Société fournit des Données Personnelles à Nuance en-dehors de l'Afrique du Sud, ce transfert sera régi par les Clauses Contractuelles Types énoncées à la Section 6.4, avec les modifications suivantes : (i) l'autorité de contrôle compétente sera le Régulateur de l'information d'Afrique du Sud ; (ii) le droit applicable sera le droit sud-africain ; (iii) la juridiction compétente sera les tribunaux d'Afrique du Sud ; et (iv) les obligations prévues aux clauses 14 et 15 ne s'appliqueront pas.

8.10 DISPOSITIONS APPLICABLES EN CORÉE DU SUD

Nuance peut transférer ou transmettre les Données Personnelles Traitées dans le cadre du présent ATDP et du Contrat, vers tout pays ou territoire, sauf dans les cas où le Distributeur exige expressément et par écrit de ne pas transférer ou transmettre vers un pays particulier, auquel cas Nuance pourrait ne pas être en mesure de fournir les Services, ce qui, pour éviter tout doute, ne constituera pas une violation du Contrat. Le Distributeur doit s'assurer que la Société garantit que les transferts ou transmissions par Nuance sont autorisés par le consentement accordé par la Personne Concernée.

8.11 DISPOSITIONS APPLICABLES AU Royaume-Uni

8.11.1 Lois sur la protection des données. En ce qui concerne les Données Personnelles des personnes physiques résidant au Royaume-Uni, les Lois sur la protection des données et le RGPD définis à la Section 1 visent le Règlement (UE) 2016/679 dans la mesure où il fait partie du droit de l'Angleterre et du Pays de Galles, de l'Écosse et de l'Irlande du Nord conformément à et tel que modifié par toute législation découlant du retrait du Royaume-Uni de l'Union européenne.

8.11.2 Transferts en dehors du Royaume-Uni. Le Distributeur veille à ce que la Société reconnaisse que Nuance puisse, dans le cadre de l'exécution du présent ATDP, transférer des Données Personnelles à des Filiales et autres sous-traitants ultérieurs établis en dehors du Royaume-Uni. Si ce sous-traitant n'est pas situé dans un Pays Adéquat du Royaume-Uni, Nuance veillera à ce qu'un mécanisme permettant d'assurer l'adéquation du Traitement soit mis en place, par exemple :

(a) Le consentement de chaque personne dont les Données Personnelles sont transférées vers un Pays non Adéquat du Royaume-Uni ;

(b) La réalisation par Nuance, au nom de la Société, des Clauses Contractuelles Types de l'UE en vertu de la décision 2010/87/UE de la Commission du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers conformément à la directive 95/46/CE du Parlement européen et du Conseil, qui sont disponibles sur le lien suivant http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:32010D0087(Ouvrir une nouvelle fenêtre) (les “ Clauses contractuelles types du Royaume-Uni ”). Sur demande, Nuance fournira au Distributeur, pour examen, de telles copies de contrats, sous réserve de la rédaction d'informations commerciales confidentielles non pertinentes pour les exigences du présent ATDP. Le Distributeur autorise Nuance et ses Filiales, et s'assure que le Revendeur ou la Société autorise Nuance et ses Filiales (selon le cas) à conclure des Clauses contractuelles types du Royaume-Uni conformes au présent ATDP et aux Clauses contractuelles types du Royaume-Uni relatives aux relations entre Responsable de Traitement et Sous-traitants, au nom du Distributeur, du Revendeur ou de la Société;

(c) L'existence d'un cadre d'autorégulation ou de règles d'entreprise contraignantes assurant une protection adéquate des Données Personnelles transférées.

9. DROIT APPLICABLE

Le présent ATDP est régi par les lois du pays, indiquées ci-dessous, et les Parties se soumettent par les présentes à la compétence des tribunaux situés dans la juridiction ci-dessous et à la signification ou notification applicable. Le texte officiel du présent ATDP ou tout avis requis par les présentes seront rédigés en anglais.

Pays de constitution du Distributeur	Droit applicable	Juridiction
États-Unis, Taïwan, Corée, Japon ou Mexique	Lois du Commonwealth du Massachusetts, États-Unis	Tribunaux fédéraux ou d'État du Massachusetts
Canada	Comme indiqué ci-dessus dans la section 8.4.7	Province compétente et lois fédérales du Canada applicables
Colombie	Lois de Colombie	Tribunaux de Colombie
Hong Kong ou la Chine	Lois de la Région administrative spéciale de Hong Kong	Tribunaux de la Région administrative spéciale de Hong Kong
Inde ou Singapour	La loi singapourienne	Tribunaux de Singapour
Australie ou Nouvelle-Zélande	Lois de la Nouvelle-Galles du Sud	Tribunaux de la Nouvelle-Galles du Sud, Australie
Royaume-Uni	Lois d'Angleterre et du Pays de Galles	Tribunaux d'Angleterre et du Pays de Galles
Reste du monde	Lois de la République d'Irlande	Tribunaux de Dublin, Irlande

Si une disposition du présent ATDP est invalide ou inapplicable, le reste du présent ATDP reste valable. Les dispositions invalides ou inapplicables seront soit (i) modifiées si nécessaire, de sorte à permettre leur validité et leur applicabilité, tout en préservant le plus possible les intentions des Parties ou, si cela n'est pas possible, (ii) réputées non écrites.

10. DISPOSITIONS DIVERSES

10.1 Conflit avec d’autres dispositions : si des dispositions du présent ATDP entrent en conflit avec des dispositions du Contrat, le présent ATDP prévaut quant à l'objet spécifique de ses dispositions. Si Nuance édite cet ATDP dans plus d'une langue à l’adresse de facturation du pays de la Société et qu'il y a une divergence entre le texte anglais et le texte traduit, alors le texte anglais prévaudra. Lorsque Nuance introduit de nouvelles fonctionnalités, offres, suppléments ou logiciels connexes (c'est-à-dire qui n'étaient pas inclus auparavant dans les Services), elle peut prévoir des conditions ou effectuer des mises à jour de cet ATDP qui s'appliqueront à l'utilisation faite par la Société de ces nouvelles fonctionnalités, offres, suppléments ou logiciels connexes. Le présent ATDP remplace tous les accords, arrangements et arrangements antérieurs entre les Parties et constitue l'intégralité de l'accord entre les Parties concernant l'objet des présentes.

Les conditions complémentaires suivantes font partie du présent ATDP et sont intégrées dans celui-ci comme indiqué ci-dessus.

Previous Versions

Data processing agreement

for Nuance Distributors

FOR THE AVOIDANCE OF ANY DOUBT, THIS DPA SHALL NOT BE BINDING TO ANY ENTITY THAT IS NOT: (1) A PARTY TO THE MAIN AGREEMENT OR (2) A COMPANY AFFILIATE NOT CONTRACTUALLY PERMITTED TO USE THE SERVICES. IT SHALL ALSO NOT BE BINDING TO ANY ENTITY THAT IS RECEIVING SERVICES FROM NUANCE THROUGH A NUANCE AUTHORIZED DISTRIBUTOR OR RESELLER.

Last Modified April 30, 2022 / Previous Versions

This Data Processing Agreement (“DPA”) is made upon acceptance of the Agreement as defined below, between the entity accepting the terms of the Agreement (“Distributor”) and the Nuance entity entering into the Agreement (“Nuance”),

each a “Party” and together the “Parties”.

RECITALS

(A) Nuance and Distributor have entered into one or more agreements, including a Master Distribution Agreement (referred to collectively as the “Agreement”) under which Nuance has granted Distributor the right to distribute and resell Nuance’s Services, as defined below, to end-customers (each a “Company”), whether directly or through resellers (each a “Reseller”). The Services include hosting, maintenance, support services, and updates for Companies, who are the Data Controllers of the Personal Data.

(B) The Parties have agreed that in order for Nuance and its Affiliates to provide Services to Companies, Nuance will Process Personal Data of Companies to whom Distributor or its Resellers have sold Nuance Services under agreements between Distributor or Reseller and Company (each a “Company Agreement”). Additionally, it will be necessary for Nuance to also Process certain Personal Data in respect of which the Distributor or Resellers will be Data Controllers.

(C) The Parties have agreed to enter into this overarching DPA in order to address the compliance obligations imposed under Data Protection Laws, and to ensure that adequate safeguards are put in place with respect to the protection of such Personal Data.

(D) Except as otherwise expressly set forth in the Agreement, the provision of Services shall be governed by this DPA pursuant to applicable Data Protection Laws and this DPA is hereby incorporated into the Agreement by reference.

1. DEFINITIONS. The following expressions are used in this DPA: In the event the definitions herein differ from the Agreement relating to data protection, this DPA shall prevail as to the specific subject matter of such definition.

(a) “Services” refers to the application, product or services and other activities to be supplied to or carried out on behalf of Company/Company affiliate pursuant to the Agreement.

(b) “Data Subject Request” means a request from or on behalf of a Data Subject relating to access of, or the rectification of, erasure of or data portability of that person’s Personal Data or an objection from or on behalf of a Data Subject to the Processing of his or her Personal Data.

(c) “Data Protection Laws” means all laws and regulations, and amendments thereto, applicable to the Processing of Personal Data under the Agreement, including but not limited to the GDPR.

(d) “GDPR” means Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the Processing of personal data and on the free movement of such data (known as the General Data Protection Regulation).

(e) “EU Standard Contractual Clauses” means the standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council, based on the European Commission Implementing Decision (EU) 2021/914 of 4 June 2021, or any European Commission’s decision amending or replacing the decision of 4 June 2021.

(f) “Personal Data” shall have the meaning given to it by Data Protection Laws.

(g) “Biometric Data” has, in each relevant jurisdiction, the meaning given to (or in the nearest equivalent term) in the applicable Data Protection Laws for that jurisdiction, and “biometric identifiers” and “biometric information” will be interpreted accordingly.

(h) “Personal Data Breach” means a "personal data breach" or "data breach" as defined under Data Protection Laws that is within Nuance’s scope of responsibility by any of its staff, sub‑processors or any other identified or unidentified third party after Nuance becomes aware with a reasonable degree of certainty that such Personal Data Breach has occurred.

(i) “Adequate Country” means a country, territory, or specified sectors within a country and international organization that is recognized under Data Protection Laws from time to time as providing adequate protection for Personal Data from time to time, including but not limited to those published by the European Commission in the Official Journal of the European Union for which it has decided that an adequate level of protection is ensured.

(j) “Process”, “Processing”, “Controller”, “Data Controller”, “Processor”, “Data Processor”, “Data Subject” and “Supervisory Authority” or “National Authority” shall have the meanings given to them by GDPR.

2. STATUS OF THE PARTIES

2.1 Company is the Data Controller of the Personal Data of customers (e.g. patients, consumers, purchasers and the like), staff, personnel and authorized users of the Services (“Company Data”).

2.2 Distributor is the Processor of Company Data if no Reseller is used.

2.3 If Distributor uses a Reseller, Reseller is the Processor of Company Data. Distributor is then a sub-processor of Company Data.

2.4 If Distributor does not use a Reseller, Nuance is a sub-processor of Company Data; otherwise Nuance is a sub-sub-processor.

2.5 Nuance’s Affiliates and service providers as set forth in the Sub-Processor List are sub‑sub‑processors or sub-processors of any lower degree that results from the respective (onward-)transfer of Company Data, depending on whether they are instructed by Nuance directly or by an Affiliate and whether Distributor uses a Reseller. In the following, they are collectively referred to as sub-processors.

2.6 Under its Agreement with Distributor, Nuance is a Data Processor, through its CRM and support ticketing system, for Distributor.

2.7 As further described in Section 3 below, Distributor grants Nuance the right to Process Personal Data in accordance with this DPA to deliver the Services. Distributor shall ensure that Company and Reseller, respectively, obtain all necessary consents required (if any) under EU Data Protection Laws to allow Nuance to Process the Personal Data as described in this DPA.

3. PROCESSING REQUIREMENTS

3.1 Data Processing Details. Distributor, on behalf of Company, instructs Nuance and its sub‑processors to Process the Personal Data, only under the documented instructions of Distributor, as represented by the Agreement, this DPA, any other instructions of Distributor agreed in writing by Distributor and Nuance and in compliance with Data Protection Laws, and except as required to comply with a legal obligation to which Nuance is subject, in such case, Nuance will inform Company of that legal requirement before Processing, unless that law, regulation or order prohibits such information on important grounds of public interest. Any oral instructions shall be confirmed in writing and agreed by both Parties. Any additional or alternate instructions must be agreed upon, and may be charged for, separately. Distributor accepts and ensures Company accepts that the following all amount to instructions: (a) Processing in accordance with the Agreement and, if so agreed, order form(s) or statement(s) of work; and (b) Processing initiated by users of the Services (for example, when sending an output file by email to another person). Distributor will hold Company responsible for establishing the lawful bases for Processing the Personal Data, including obtaining all necessary consent, and will comply with all applicable Data Privacy Laws with respect thereto. Company instructs Nuance and its sub-processors and Affiliates to use, compile (including creating statistical and other models), annotate and otherwise analyze the Personal Data for the purposes of operating, maintaining, tuning, enhancing, improving and providing technical support services for the speech recognition, natural language understanding and other Nuance software and technologies that are embodied in the Services. Personal Data Processing instructions can be modified, amended or replaced through an amendment to this DPA through the established change control process. Instructions not foreseen in or covered by the Agreement or this DPA shall be treated as requests for amendments to this DPA. Nuance shall, immediately upon becoming aware, inform Distributor if, in Nuance’s opinion, an instruction infringes Data Protection Laws. The type of Personal Data Processed pursuant to this DPA as well as the subject matter, nature and purpose of the Processing, the Data Subjects involved, and the location(s) and duration of the Processing are as described in the Data Processing Details.

3.2 Compliance with Data Protection Laws. Each Party warrants to the other that it will comply with all Data Protection Laws applicable to its performance under the Agreement. As between Nuance and Distributor, Distributor shall obligate each Company, either directly or indirectly through a Reseller, (i) to ensure the accuracy, quality, and legality of the Personal Data to be Processed, (ii) provide a lawful basis upon which to Process Personal Data and (iii) enter into a written agreement with equivalent data protection obligations to those in this DPA.

3.3 Nuance Disclaimer. Nuance Processes Personal Data that may be incorporated by Company into official records. Nuance does not maintain the Company’s system of records, and therefore Nuance does not store or maintain any official records or part thereof for Company. The originals of any records, including medical records, will be maintained by Company or its other contractors. Nuance only has access to parts of the records via remote access over Company’s computer system in connection with the provision of the Services set forth in the Company Agreement. Nuance shall own all intellectual property rights in all enhancements and improvements to its software and Services that result from its Processing of Personal Data.

3.4 Confidentiality. Nuance shall treat all Personal Data as strictly confidential. Nuance shall take appropriate steps so that only authorized personnel who are subject to binding obligations of confidentiality, either contractual or statutory, will have access to the Personal Data. Termination or expiration of this DPA shall not discharge Nuance from its confidentiality obligations.

3.5 Data Protection Officer (DPO). Nuance has appointed a data protection officer, who can be reached at: Privacy@Nuance.com or by mail (Worldwide) at:

Chief Privacy Officer
Nuance Communications, Inc.
1 Wayside Road
Burlington MA 01803
USA

Data Protection Officer
Nuance Communications Ireland, Ltd
The Harcourt Building, 4th Floor
57B Harcourt Street
Dublin 2, D02 F721
IRELAND

Any changes to this contact information will be published at https://www.nuance.com/about-us/company-policies/privacy-policies.html.

3.6 Data Subject Notices. For Personal Data that is provided to Nuance and covered by this DPA, Distributor shall ensure that Company will be responsible for providing any notices and information required by Data Protection Laws to be given at the time of collection, including, but not limited to notice with respect to:

i) Sharing of Personal Data with sub-processors as permitted by Section 5 below; and

ii) Transfer of Personal Data to Nuance’s Affiliates and sub-processors as outlined in the Sub‑Processor List, for the purposes as outlined in Section 3.1 above. Nuance shall also comply with the transfer requirements set forth in Section 6 below.

The foregoing is without prejudice to any notification obligations to which Nuance or its sub‑processors may be subject under the EU Standard Contractual Clauses.

3.7 Data Subject Requests. Nuance shall promptly notify Distributor if it receives a Data Subject Request. As between the Parties, Distributor shall be responsible for addressing all Data Subject Requests and the Parties shall reasonably assist each other in dealing with Data Subject Requests in connection with the Agreement. Taking into account the nature of the Processing and insofar as possible, Nuance shall assist Distributor by appropriate technical and organizational measures in fulfilment of the obligation to respond to said Data Subject Request under Data Protection Laws. To the extent legally permitted, Distributor shall be responsible for any costs arising from Nuance’s provision of such assistance.

3.8 Notice of Personal Data Breach. Nuance maintains an Incident Management Policy and shall notify Distributor of any Personal Data Breach without undue delay. In the event of a Personal Data Breach, Nuance shall make reasonable efforts to identify the cause of such Personal Data Breach and take reasonable steps as Nuance deems necessary and reasonable under industry standards, in order to remediate the cause of such breach to the extent the remediation is within Nuance’s reasonable control, in fulfilling Company’s or Distributor’s obligation under Data Protection Laws. Nuance shall not be responsible for incidents that are caused by Distributor, Reseller, Company or Company’s end users.

3.9 Deletion of Personal Data. As reasonably practicable following the termination of this DPA or the Agreement, Nuance shall delete all Personal Data, except to the extent applicable law requires Nuance to continue to store the Personal Data. Distributor acknowledges that Nuance’s deletion of Personal Data represents compliance with any legal obligation to return Personal Data to Company.

3.10 Audit and Records. Subject to reasonable prior notice from Distributor, Nuance shall provide Distributor with reasonable evidence to demonstrate Nuance’s compliance with this DPA and Data Protection Laws and shall allow for and contribute to audits, including inspections, conducted by Distributor or another auditor mandated by Distributor. Distributor’s right of audit under Data Protection Laws may be satisfied by Nuance through Nuance providing to Distributor:

(a) an audit report not older than 18 months by a registered and independent external auditor demonstrating that Nuance’s technical and organizational measures described in the Description of Technical and Organizational Measures are sufficient and in accordance with an accepted industry audit standard such as SSAE 18, SOC 1, SOC 2, SOC 3, ISO 27001, ISAE 3402; and/or

(b) additional information in Nuance’s possession or control to a Supervisory Authority when it requests or requires additional information in relation to the data Processing activities carried out by Nuance under this DPA.

(c) If Nuance is unable to provide the information in (a) and (b) above, Distributor may audit Nuance’s control practices, including on-site at Nuance’s facilities, and Distributor shall contact Nuance in accordance with the “Notices” section under the Agreement. Distributor shall reimburse Nuance for any time expended for any such on-site audit at Nuance’s then-current professional services rates, which shall be made available to Distributor upon request. Before the commencement of any such on-site audit, Distributor and Nuance shall mutually agree upon the scope, timing, and duration of the audit in addition to the reimbursement rate for which Distributor shall be responsible. All reimbursement rates shall be reasonable, taking into account the resources expended by Nuance. Distributor shall promptly notify Nuance with information regarding any noncompliance discovered during the course of an audit and allow reasonable time for remediation.

(d) The Parties agree that when carrying out audit procedures relevant to the protection of Personal Data, Distributor shall take all reasonable measures to limit any impact on Nuance and Nuance’s usual course of business operations.

4. SECURITY

Taking into account the most recent available technology, the costs of implementation and the nature, scope, context and purposes of Processing, as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, Nuance will maintain appropriate technical and organizational protections as set forth in the Description of Technical and Organizational Measures.

5. SUB-PROCESSING

5.1 Affiliates as Sub-Processors. Distributor grants a general authorization to Nuance to appoint as sub-processors to support the delivery of the Services any other entities controlling, under common ownership with or under control of, Nuance’s parent corporation, Nuance Communications, Inc. (“Affiliates”), as specified in the Sub‑Processor List(Ouvrir une nouvelle fenêtre).

5.2 Other Sub-Processors. Distributor grants Nuance and Affiliates a general authorization to appoint the following types of sub-processors to support the delivery of the Services: Nuance and its Affiliates’ cloud, software engineering, consulting, and other firms providing information technology and security advisory and support services; third party data center operators and providers of outsourced technical support services.

5.3 List Available. A list of all sub-processors approved by Distributor above is included in the Sub‑Processor List.

5.4 Sub-Processor Changes; Distributor's Right to Object. Nuance will notify Distributor of the names of any new and replacement sub-processors prior to them beginning sub-processing of Personal Data. Within ten (10) business days of receiving notice of a sub-processor change, Distributor may object by providing written notice to Nuance. The notice shall describe the basis for the Distributor’s objection, which must have reasonable grounds. Failure to notify an objection during such time period shall constitute waiver of the right to object. If Distributor gives written notice of objection, Nuance and Distributor will discuss the objection in good faith to seek to resolve it. If no resolution is found within 30 days after initial notice of objection is given, and if the Agreement cannot be performed without the use of the objected-to (sub-)sub-processor, Distributor may terminate the affected Company’s Services on 60 days’ written notice, such notice to be given no later than 45 days after the date of the initial notice of objection.

5.5 Nuance’s Responsibility. Nuance and/or Affiliates will require all sub-processors to enter into a written agreement with Nuance to protect Personal Data with equivalent data protection obligations to those in this DPA. Nuance shall remain liable to Distributor for any breach by the sub-processor of its agreement with Nuance; Distributor’s authorization of the sub-processor does not remove this responsibility.

6. DATA TRANSFERS

6.1 Nuance Hosting Location. Nuance provides, operates, and maintains the data hosting centers in the locations described in the Data Processing Details and the Sub-Processor List to support the operation of the Services.

6.2 Transfers outside EEA by Nuance. Distributor agrees that Nuance may transfer Personal Data to sub-processors outside of the European Economic Area (“EEA”) for purposes of this DPA. If Personal Data Processed under this DPA is transferred by Nuance from a country within the EEA to a country outside the EEA, Nuance shall ensure that a mechanism to achieve adequacy in respect to the Processing is in place, such as:

(a) The execution between Nuance and its sub-processors of EU Standard Contractual Clauses (Module Three - Processor to Processor), which can be viewed by accessing the before link to the EU Standard Contractual Clauses, to demonstrate Nuance’s compliance with this obligation; and the requirement of sub‑processors to comply with onward transfer principles under EU Standard Contractual Clauses; and

(b) The application by Nuance and its sub-processors of additional safeguards, where necessary, to ensure that during and after the transfer, the Personal Data is subject to a level of protection equivalent to that of the EU. Such safeguards might include anonymization of Personal Data as well as pseudonymization and encryption, including during transmission, in each case taking account of the level of data protection in the recipient country and the nature of the Personal Data concerned. Further details on the safeguards applied by Nuance and Affiliates are set out in the Description of Technical and Organizational Measures, whereas the additional safeguards applied by Nuance and its sub-processors do not release Company from its own data protection obligations; or

(c) Any other specifically approved safeguard for data transfer under Data Protection Laws or a European Commission finding of adequacy.

6.3 Transfers outside of other jurisdictions by Nuance. If Personal Data Processed under this DPA is transferred outside of the jurisdiction of the country from which the data was initially Processed (the “First Jurisdiction”) other than the EEA, Nuance shall ensure compliance with applicable Data Protection Laws within the First Jurisdiction governing such transfer. Specific cross-border data transfer obligations are detailed in Section 8 below.

7. ADDITIONAL PROVISIONS FOR SPECIFIC TYPES OF PERSONAL DATA

7.1 Children Data. Distributor understands and ensures that company warrants that:

(a) Company’s website, services and products comply with the GDPR, US Children's Online Privacy Protection Act of 1998, (“COPPA”) and other Data Protection Laws protecting Personal Information (as such term is defined by applicable law) from children under 16 (“Child Data”).

(b) Company shall not use Nuance’s Services in connection with an online site, service, or product that targets children under 16 as its primary audience (“Primarily Child-Directed”). Primarily Child Directed is based on empirical evidence regarding audience composition, and evidence regarding the intended audience, such as subject matter, visual content, use of animated characters or child-oriented activities and incentives, music or other audio content, age of models, presence of child celebrities or celebrities who appeal to children, language or other characteristics of the web site or online service, as well as whether advertising promoting or appearing on the web site or online service is directed to children.

(c) If Company uses Nuance licensed software for Primarily Child-Directed online sites, services or products, then Company must not send to Nuance (in connection with maintenance, support and tools regarding the Nuance licensed software, or otherwise) any Child Data.

(d) If Company uses Services for mixed audience or general audience online sites, services or products which may be accessed by children under 16, but are not Primarily Child-Directed, then Company’s verifiable parental consent mechanism, direct notice, and web notice, as required by Data Protection Laws, shall adequately disclose and sufficiently cover the transfer of Child Data to Nuance and Nuance's collection and Processing of Child Data consistent with this DPA.

The Parties agree and Distributor ensures that Company (and Reseller) understand the following: Nuance is not an operator as that term is defined in COPPA. As between Company, Distributor or Reseller on the one side and Nuance on the other side, Company, Distributor or Reseller respectively is solely responsible for any liability arising from its noncompliance with its responsibilities and obligations under the Data Protection Laws or this DPA.

7.2 CCPA Compliance.

(a) The Parties understand and certify, and Distributor will ensure that Reseller will understand and certify that:

To the extent Nuance receives from Company (directly or through third parties) any “personal information” of any “consumer” subject to the California Consumer Privacy Act (“CCPA”) for Processing within the scope of this DPA, Nuance, Distributor, Reseller and Company shall each comply with all applicable provisions of the CCPA. To the extent applicable, Nuance shall be considered a “service provider” to Company under the CCPA, and shall not (a) retain, use or disclose such personal information for any purpose other than for the specific purpose of performing Services under this DPA or as otherwise permitted by the CCPA, including for a valid “business purpose”; (b) retain, use or disclose such personal information for a “commercial purpose” other than providing the Services under this DPA; (c) retain, use or disclose such personal information outside the provision of the Services under this DPA; or (d) “sell” such personal information. Nuance understands and certifies that it will comply with the prohibitions outlined herein. For the purposes of this paragraph, the terms “personal information”, “consumer”, “service provider”, “business purpose”, “commercial purpose” and “sell” shall have the meanings set forth in the CCPA.

(b) In case of any amendments to the CCPA, the Parties will agree upon any changes to this DPA which may be necessary to make this DPA compliant with the CCPA as amended.

7.3 Biometric Data.

7.3.1 With respect to the Personal Data defined in Section 1, Personal Data shall include biometric data to the extent that Nuance creates or receives from Company biometric identifiers, biometric information or Personal Data resulting from specific technical processing relating to the physical, physiological or behavioral characteristics of a natural person, which allow or confirm the unique identification or authentication of that natural person.

7.3.2 In addition to the requirements listed in Section 3.6, Distributor shall ensure that Company is responsible for providing any notices, written policy, made available to the public, and information related to Personal Data required by Data Protection Laws, including, but not limited to information with respect to:

i) Recording of conversations with Company and disclosure of such recordings to Nuance, Nuance’s Affiliates and sub‑processors for the purposes as outlined in Section 3.1 above;

ii) Processing by Nuance of physical, physiological or behavioural characteristics for the purpose of creating, collecting or storing Personal Data. Distributor acknowledges that such Processing is for the limited purpose of providing service and Nuance is not buying, selling, leasing, trading, or otherwise profiting from a natural person's biometric identifier or biometric information;

iii) Length of term and guidelines for permanently destroying biometric identifier or biometric information being collected, stored, and used as outlined in this DPA.

7.3.3 Distributor shall ensure that Company obtains all necessary consents, releases or licenses, to allow Nuance to capture, store, process, disclose, use, and transfer internationally the Personal Data in accordance with Data Protection Laws.

7.3.4 Distributor shall ensure that Company will make all necessary disclosures to, and obtain approval from supervisory authorities required under the Data Protection Laws, including but not limited to the Quebec Act to Establish a Legal Framework for Information Technology (R.S.Q., c. C-1.1) governing a database of biometric characteristics and measurements.

7.3.5 When a person unenrolls in biometric authentication, their account is closed or when the initial purpose for collecting or obtaining such Personal Information has otherwise been satisfied, Distributor shall provide Nuance with instructions regarding the deletion of Personal Information required by Data Protection Laws.

7.3.6 Distributor’s failure to comply with the terms of this Section 7.3 is a material breach of this DPA and the Agreement. Distributor shall make available to Nuance all information necessary to demonstrate compliance with Distributor’s obligations in this Section 7.3 and allow for and contribute to audits, including inspections, conducted by Nuance. In the event of any inquiry, investigation or claim by any governmental regulator or authority related to compliance with Data Protection Laws, Distributor shall ensure that Nuance is provided with copies of all applicable consents, privacy policies, notices and disclosures necessary to respond to said inquiry, investigation or claim. In addition, Distributor shall ensure that Nuance is provided with a copy of the end customer notifications and/or consents applicable in each jurisdiction at least sixty (60) days prior to the production deployment date.

8. ADDITIONAL PROVISIONS FOR INDIVIDUALS LOCATED IN CERTAIN COUNTRIES.

Each one or more of the following additional provisions apply based on the location of the individual in the respective country whose Personal Data is being Processed.

8.1 ADDITIONAL PROVISIONS FOR ARGENTINA

8.1.1 Data Protection Law. With respect to the Personal Data of individuals in Argentina, the Data Protection Laws defined in Section 1 shall include the Argentinian Privacy Principles, as defined in Argentine Personal Data Protection Law 25 326.

8.1.2 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with the provisions of the Data Protection Laws.

8.1.3 Transfer outside Argentina by Company. If, in connection with this DPA, any Personal Data is provided by Company, Distributor or Reseller to Nuance outside Argentina and not in an Adequate Country, such transfer will be governed by the Argentina Standard Contractual Clauses.

8.1.4 Transfers outside Argentina by Nuance. Distributor acknowledges, and ensures that Company and Reseller acknowledge, that Nuance may, in the performance of this DPA, transfer Personal Data to Affiliates and other sub-processors established outside Argentina. Where such sub‑processor is not located in an Adequate Country, Nuance shall ensure that a mechanism to achieve adequacy in respect to the Processing is in place, such as:

(a) The consent of each individual whose Personal Data is transferred to a non‑Adequate Country;

(b) The execution by Nuance, for itself and/or on behalf of Company, Distributor or Reseller, of the Argentina Standard Contractual Clauses. Upon request, Nuance will provide to Company, Reseller or Distributor respectively for review such copies of agreements, subject to redaction for confidential commercial information not relevant to the requirements under this DPA. Distributor authorizes, and ensures that Company and Reseller authorize, Nuance and its Affiliates to enter into Argentina Standard Contractual Clauses consistent with this DPA and the Argentina Standard Contractual Clauses controller‑to‑processor, on behalf of Company, Distributor or Reseller respectively;

(c) The existence of any self-regulation framework or binding corporate rules providing adequate protection to the transferred Personal Data.

8.2 ADDITIONAL PROVISIONS FOR AUSTRALIA

8.2.1 Data Protection Law. With respect to the Personal Data of individuals in Australia, the Data Protection Laws defined in Section 1 shall include the applicable federal, state and territorial privacy legislation.

8.2.2 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with Data Protection Laws.

8.2.3 Breach Notification Obligation. If Company, Distributor or Reseller respectively, depending on whose Personal Data is Processed, is located in Australia, the definition of Personal Data Breach set forth in Section 1 shall include any “eligible data breaches” as defined under the Australian Notifiable Data Breach Scheme.

8.2.4 Transfers outside Australia. In addition to the requirements of Section 6.3, in the event that Nuance transfers Personal Data outside Australia, Nuance will enter or have entered into agreements with the transferees that include contractual protections substantially similar to the Australian Privacy Principles to secure and protect the Personal Data to the same extent as required by the obligations imposed on Nuance by this DPA.

8.3 ADDITIONAL PROVISIONS FOR BRAZIL

8.3.1 Data Protection Law. With respect to the Personal Data of individuals in Brazil, the Data Protection Laws defined in Section 1 shall include the “LGPD” or the Brazilian General Data Protection Regulation, Law Nº 13.709/2018 which regulates the Processing of Personal Data in Brazil.

8.3.2 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with the Brazilian General Data Protection Regulation, Law Nº 13.709/2018.

8.3.3 Transfers outside Brazil. In addition to the requirements of Section 6.3, in the event that Nuance transfers Personal Data to a country outside Brazil that is not deemed an Adequate Country, Nuance will enter or have entered into agreements with the transferees that include contractual protections to secure and protect the Personal Data to the same extent as required by the obligations imposed on Nuance by this DPA.

8.4 ADDITIONAL PROVISIONS FOR CANADA

8.4.1 Controller. With respect to the processing of Personal Data of individuals in Canada, the term Controller defined in Section 1 shall include an organization in respect of personal information that the organization collects, uses or discloses in the course of commercial activities; or a health information custodian, custodian, public body, enterprise, trustee, or similar designation under Applicable Data Protection Law.

8.4.2 Data Protection Laws. With respect to the Personal Data of individuals in Canada, the Data Protection Laws defined in Section 1 shall include the applicable federal and provincial privacy legislation.

8.4.3 Personal Data. Personal Data defined in Section 1 shall include personal information and personal health information as those terms are defined in applicable Data Protection Law.

8.4.4 Processor. With respect to the processing of Personal Data of individuals in Canada, the term Processor defined in Section 1 shall include an agent, a provider, service provider or similar designation under Applicable Data Protection Law.

8.4.5 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with Data Protection Laws. This DPA applies to all Personal Data processed by Nuance on behalf of Company, regardless of whether the Personal Data is received directly or indirectly from Company, including Company Personal Data provided to Nuance by a distributor or reseller in the provision of support services to Company.

8.4.6 Transfers outside Canada. Company acknowledges that Nuance may, in the performance of this DPA, transfer Personal Data outside Canada, and in such event, in compliance with the accountability principle, Nuance will enter or have entered into agreements with the transferees that include contractual protections to secure and protect the Personal Data to the same extent as required by the obligations imposed on Nuance by this DPA.

8.4.7 Governing Law. This Agreement will be governed by the laws of the Province where Company is located (“Applicable Province”), and the federal laws of Canada applicable therein, without regard to principles of conflict of laws. The parties hereto agree to submit all disputes related to this Agreement exclusively to the courts in the Applicable Province, to which each party consents to the jurisdiction of such courts and waives any objection it may have with respect to venue.

8.5 ADDITIONAL PROVISIONS FOR CHILE

8.5.1 Data Protection Law. With respect to the Personal Data of individuals in Chile, the Data Protection Laws defined in Section 1 shall include the Chilean Law 19,628 on the Protection of Private Life to existing language.

8.6 ADDITIONAL PROVISIONS FOR COLOMBIA

8.6.1 Data Protection Law. With respect to the Personal Data of individuals in Colombia, the Data Protection Laws defined in Section 1 shall include Colombian Law 1581 of 2012 and Decree 1074 of 2015.

8.6.2 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with the Colombian Privacy Principles, as defined in article 4 Law 1581 of 2012.

8.6.3 Adequacy Decisions. “Colombian Adequate Country” means a country and international organization published by the Colombian Data Protection Authority (Superintendence of Industry and Commerce).

8.6.4 Transfers outside Colombia. Nuance may transfer or transmit the Personal Data Processed under the scope of this DPA and the Agreement, to any country or territory, even if it is not considered as an Adequate Country under Colombian law, except in cases where Company, Distributor or Reseller respectively, depending on whose Personal Data is Processed, expressly and by writing requires not to transfer or transmit to a particular country. Distributor guarantees that transfers or transmissions by Nuance are allowed under the scope of the consent provided by the Data Subject.

8.6.5 Notice of Personal Data Breach. Distributor and Nuance will work cooperatively to meet their obligation to report to the Superintendence of Industry and Commerce any violation of the security measures and the existence of risks in the administration of the Personal Data, within 15 working days from the date in which the Personal Data Breach is detected.

8.7 ADDITIONAL PROVISIONS FOR JAPAN

8.7.1 Data Protection Laws. With respect to the Personal Data of individuals in Japan, the Data Protection Laws defined in Section 1 shall include the Japanese Act on Protection of Personal Information and relevant guidelines issued by the Personal Information Protection Commission of Japan.

8.7.2 Transfers outside Japan. Nuance may transfer or transmit the Personal Data Processed under the scope of this DPA and the Agreement, to any country or territory, even if it is not considered as an Adequate Country under Japanese law, except in cases where Distributor expressly and by writing requires not to transfer or transmit to a particular country. Distributor shall ensure that Company guarantees that transfers or transmissions by Nuance are allowed under the scope of the consent provided by the Data Subject.

8.8 ADDITIONAL PROVISIONS FOR MEXICO

8.8.1 Data Protection Law. With respect to the Personal Data of individuals in Mexico, the Data Protection Laws defined in Section 1 shall include Mexican Federal Law on the Protection of Personal Data held by Private Parties.

8.8.2 Transfers outside Mexico. In the event that Nuance transfers Personal Data outside Mexico, Nuance will enter or have entered into agreements with the transferees that include contractual protections to secure and protect the Personal Data to the same extent as required by the obligations imposed on Nuance by this DPA.

8.9 ADDITIONAL PROVISIONS FOR SOUTH AFRICA

8.9.1 Data Protection Laws. With respect to the Personal Data of individuals residing in the Republic of South Africa ("South Africa"), the Data Protection Laws defined in Section 1 shall include South Africa's Protection of Personal Information Act ("POPIA").

8.9.2 General Processing Obligation. Nuance will Process the Personal Data in a manner consistent with POPIA, as defined in the applicable Data Protection Laws.

8.9.3 Transfer outside South Africa by Company. If, in connection with this DPA, any Personal Data is provided by Company to Nuance outside of South Africa, such transfer will be governed by the Standard Contractual Clauses set out in Section 6.4, with the following amendments: (i) the competent supervisory authority shall be South Africa's Information Regulator; (ii) the governing law shall be the laws of South Africa; (iii) the choice of forum shall be the courts of South Africa; and (iv) the obligations under Clauses 14 and 15 shall not apply.

8.10 ADDITIONAL PROVISIONS FOR SOUTH KOREA

Nuance may transfer or transmit the Personal Data Processed under the scope of this DPA and the Agreement to any country or territory, except in cases where Distributor expressly and by writing requires not to transfer or transmit to a particular country, in which case Nuance may not be able to provide the Services, which for the avoidance of doubt shall not amount to a breach of the Agreement. Distributor shall ensure that Company guarantees that transfers or transmissions by Nuance are allowed under the scope of the consent provided by the Data Subject.

8.11 ADDITIONAL PROVISIONS FOR UNITED KINGDOM

8.11.1 Data Protection Laws. With respect to the Personal Data of individuals in United Kingdom, the Data Protection Laws and GDPR defined in Section 1 shall include the Regulation (EU) 2016/679 as it forms part of the law of England and Wales, Scotland and Northern Ireland pursuant to and as amended by any legislation arising out of the withdrawal of the United Kingdom from the European Union.

8.11.2 Transfers outside United Kingdom. Distributor acknowledges and ensures Company acknowledges that Nuance may, in the performance of this DPA, transfer Personal Data to Affiliates and other sub-processors established outside United Kingdom. Where such sub-processor is not located in a United Kingdom Adequate Country, Nuance shall ensure that a mechanism to achieve adequacy in respect to the Processing is in place, such as:

(a) The consent of each individual whose Personal Data is transferred to a United Kingdom non‑Adequate Country;

(b) The execution by Nuance, on behalf of Company, of the EU standard contractual clauses under Commission Decision 2010/87/EU of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council that are available at the following link http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex:32010D0087(Ouvrir une nouvelle fenêtre) (the “UK Standard Contractual Clauses”). Upon request, Nuance will provide to Distributor for review such copies of agreements, subject to redaction for confidential commercial information not relevant to the requirements under this DPA. Distributor authorizes Nuance and its Affiliates, and ensures that Reseller or Company authorizes Nuance and its Affiliates (as applicable) to enter into UK Standard Contractual Clauses consistent with this DPA and the UK Standard Contractual Clauses for controller-to-processors, on behalf of Distributor, Reseller, or Company respectively;

(c) The existence of any self-regulation framework or binding corporate rules providing adequate protection to the transferred Personal Data.

9. GOVERNING LAW

This DPA shall be governed by the laws of the country indicated below, and the Parties hereby submit to the jurisdiction of the courts located in the jurisdiction below and the applicable service of process. The official text of this DPA or any notices required hereby shall be in English.

Country of incorporation of Distributor	Governing Law	Jurisdiction
United States, Taiwan, Korea, Japan, or Mexico	Laws of Commonwealth of Massachusetts, U.S.	Federal or state courts of Massachusetts
Canada	As stated above in Section 8.4.7	Applicable Province and the federal laws of Canada applicable therein
Colombia	Laws of Colombia	Courts of Colombia
Hong Kong or China	Laws of Hong Kong Special Administrative Region	Courts of Hong Kong Special Administrative Region
India or Singapore	Singaporean Law	Courts of Singapore
Australia or New Zealand	Laws of New South Wales	Courts of New South Wales, Australia
United Kingdom	Laws of England and Wales	Courts of England and Wales
Rest of world	Laws of the Republic of Ireland	Courts of Dublin, Ireland

Should any provision of this DPA be invalid or unenforceable, then the remainder of this DPA shall remain valid and in force. The invalid or unenforceable provisions shall be either (i) amended as necessary to ensure their validity and enforceability, while preserving the Parties’ intentions as closely as possible or, if this is not possible, (ii) construed in a manner as if the invalid or unenforceable part had never been contained therein.

10. MISCELLANEOUS PROVISIONS

10.1 Order of Precedence. To the extent that any provisions of this DPA conflict with any provisions in the Agreement, this DPA shall prevail as to the specific subject matter of such provisions. If Nuance provides this DPA in more than one language for the country of Company’s billing address, and there is a discrepancy between the English text and the translated text, the English text will govern. When Nuance introduces features, offerings, supplements or related software that are new (i.e., that were not previously included with the Services), Nuance may provide terms or make updates to this DPA that apply to Company´s use of those new features, offerings, supplements or related software. This DPA shall supersede any prior agreements, arrangements and understandings between the Parties and constitutes the entire agreement between the Parties relating to the subject matter hereof.

The following additional terms are part of this DPA and are incorporated herein as stated above.

Previous Version

Accord relatif au traitement des données personnelles

ACCORD RELATIF AU TRAITEMENT DES DONNÉES PERSONNELLES

Data processing agreement