(Dernière modification Mars 2025)

La présent Accord de traitement des données à caractère personnel et ses Annexes (l’« Accord») font partie intégrante du contrat conclu entre Sage et le Client s’agissant de la fourniture au Client des progiciels ou services applicatifs pour logiciels cloud de Sage (les « Services ») (le « Contrat »).

En cas de contradiction entre les dispositions du présent Accord et toute autre partie du Contrat, l’ordre hiérarchique suivant s’appliquera : (1) tout Mécanisme de Transfert des données applicable au Contrat ; (2) le présent Accord ; et (3) toute autre partie du Contrat. 

1. DÉFINITIONS

Les termes portant une majuscule utilisés dans le présent Accord et n’étant pas définis dans les présentes ont la signification qui leur est attribuée dans les Législations en matière de protection des données applicables. Une liste des termes équivalents dans les Législations en matière de protection des données est présente en Annexe 3. Les autres termes portant une majuscule dans le présent Accord auront la signification qui leur est attribuée ci-après.


«  Décision d’adéquation  » : toute conclusion de la Commission européenne, ou d’un gouvernement ou organisme autorisé à établir une conclusion, conformément aux Législations en matière de protection des données, en vertu de laquelle un pays destinataire assure un niveau adéquat de protection des Données à caractère personnel, de sorte qu’il n’est pas nécessaire de mettre en œuvre d’autres mesures/mécanismes en vertu des Législations en matière de protection des données s’agissant d’un quelconque Transfert vers un Pays non adéquat.

«  Société affiliée  » : toute entité contrôlant directement ou indirectement, ou étant contrôlée par, ou étant sous contrôle commun avec, l’entité concernée. Aux fins de la présente définition, «  Contrôle  » désigne la détention ou le contrôle (directement ou indirectement) d’au moins 50 % des droits de vote dans l’entité, ou le pouvoir d’orienter la gestion et les politiques de l’entité.

«  Client  » : l’entité Cliente ayant conclu le Contrat et, le cas échéant, toute Société affiliée du Client.

«  Législations en matière de protection des données  » : toutes lois, règles et réglementations locales, nationales ou internationales applicables en matière de confidentialité, sécurité, protection des données et/ou Traitement de Données à caractère personnel, telles que modifiées ou remplacées à tout moment. En fonction de la localisation du Client, il peut s’agir, sans que cette liste ne soit exhaustive, des législations suivantes : (a) le Règlement général sur la protection des données (EU) 2016/679 (le «  RGPD  »)  ; les législations des États membres de l’Union européenne (l’«  UE  ») en matière de protection des données  ; et la directive 2002/58/CE sur la protection de la vie privée dans le secteur des communications électroniques   ; (b) le UK Data Protection Act de 2018 (et les règlements promulgués en vertu de ce dernier) et le RGPD britannique  ; et les Privacy and Electronic Communications (EC Directive) Regulations de 2003  ; (c) le California Consumer Privacy Act de 2018 (le «  CCPA  »)  ; le California Privacy Rights Act de 2020 (le «  CPRA  »)  ; (d) la Loi canadienne sur la protection des renseignements personnels et les documents électroniques  ; (e) la Loi fédérale suisse sur la protection des données  ; (f) le South Africa Protection of Personal Information Act (POPIA) ; et (g) l’Australian Privacy Act de 1988.

«  Personne concernée  » : toute personne physique identifiée ou identifiable qui peut être identifiée, directement ou indirectement, notamment grâce à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

«  Informations désidentifiées  » : toutes informations ne pouvant pas être raisonnablement utilisées pour déduire des informations sur une Personne concernée spécifique ou être liées à celle-ci.

«  Pays non adéquat  » : tout pays n’étant pas couvert par une Décision d’adéquation.

«  Parties  » : les parties au présent Accord, en particulier (i) Sage et (ii) le Client, chacune étant une «  Partie  ».

«  Donnée à caractère personnel  » : toutes informations relatives à une personne physique incluses dans les données fournies, saisies ou envoyées par le Client, ou l’une des Sociétés affiliées du Client, les Utilisateurs ou toutes autres personnes pour le compte du Client, dans les Services fournis en vertu du Contrat, ou partagées avec Sage par toute méthode s’agissant des Services et du Contrat.

«  Transfert vers un Pays non adéquat  » : tout transfert de Données à caractère personnel vers un Pays non adéquat.

«  Mécanisme de Transfert des données  » : le module des clauses contractuelles types applicable à un Transfert restreint en vertu du règlement (UE) 2016/679 du Parlement européen et du Conseil, mis en œuvre par la décision d’exécution (UE) 2021/914 de la Commission du 4 juin 2021 (les «  CCT  »), tel qu’adapté à chaque juridiction dans la mesure autorisée par les Législations en matière de protection des données, ou tout mécanisme similaire dans toute autre juridiction, tel que le modèle d’addendum (UK Addendum) du Royaume-Uni ou le modèle d’accord international de transfert de données du Royaume-Uni (UK International Data Transfer Agreement) tel que publié par l’ICO conformément à l’article 119A du Data Protection Act de 2018.

«  Sage  » : l’entité Sage ayant conclu le Contrat.

«  Donnée à caractère personnel sensible  » : toutes Données à caractère personnel bénéficiant d’un niveau de protection plus élevé en vertu des Législations en matière de protection des données.

«  Sous-traitant ultérieur » : toute autre partie engagée par un Sous-traitant dans le but de contribuer au Traitement de Données à caractère personnel pour le compte d’un Responsable du traitement.

«  Utilisateur  » : toute personne autorisée à utiliser les Services (par exemple, les personnes ayant reçu un identifiant d’utilisateur et un mot de passe de la part du Client, ou de Sage à la demande du Client). Les Utilisateurs peuvent inclure des employés, consultants, prestataires, mandataires ou autres tiers du Client.

2. RÔLES EN MATIÈRE DE TRAITEMENT
   
   
   1. Sauf disposition contraire indiquée en Annexe 1 (Finalité(s) du Traitement, partie (b)), les Parties conviennent que, lorsque des Législations en matière de protection des données s’appliquent au Traitement de Données à caractère personnel, le Client est le Responsable du traitement et Sage est le Sous-traitant au regard du Traitement (plus amplement décrit en Annexe 1) et Sage agira conformément aux instructions du Client documentées et conformément aux Législations en matière de protection des données dans le cadre dudit Traitement.
      
      
   2. Lorsque le Client agit lui-même en tant que Sous-traitant en vertu des Législations en matière de protection des données dans le cadre du Traitement des Données à caractère personnel décrit en Annexe 1 pour le compte de ses propres clients ou d’autres parties, Sage sera le Sous-traitant ultérieur du Client et les obligations prévues par le présent DPA s’appliqueront à Sage en tant que Sous-traitant ultérieur.
      
      
3. OBLIGATIONS DU CLIENT
   
   
   1. Le Client devra respecter les Législations en matière de protection des données et faire en sorte que toutes Sociétés affiliées du Client, Utilisateurs, autres contacts du Client ou autres tiers pouvant utiliser les Services, respectent les Législations en matière de protection des données dans le cadre du Traitement de Données à caractère personnel avant de les partager dans le cadre de la fourniture de Services au Client par Sage.
      
      
   2. Le Client garantit en permanence que :
      
      
      1. il dispose d’un fondement juridique adéquat en vertu des Législations en matière de protection des données pour partager des Données à caractère personnel avec Sage dans le cadre de la fourniture de Services  ; et
         
         
      2. lorsqu’il agit en tant que Sous-traitant en vertu des Législations en matière de protection des données, le Responsable du traitement concerné ait autorisé : (i) les instructions de Traitement des Données à caractère personnel du Client à Sage (telles que définies dans le présent Accord)  ; (ii) la désignation par le Client de Sage en tant que Sous-traitant ultérieur  ; et (iii) le recours par Sage à d’autres Sous-traitants ultérieurs, tel que décrit à l’article 4.9 (Recours à des Sous-traitants ultérieurs).
         
         
   3. Le Client s’engage en outre à :
      
      
      1. si nécessaire et comme l’exigent les Législations en matière de protection des données, fournir aux Personnes concernées des informations suffisantes concernant le Traitement de leurs Données à caractère personnel, ou faire en sorte que ce soit le cas, aux fins que : (i) le Client partage des Données à caractère personnel avec Sage aux fins de la fourniture des Services  ; et (ii) Sage Traite les Données à caractère personnel pour les finalités énoncées dans le Contrat et conformément aux Législations en matière de protection des données  ;
         
         
      2. s’abstenir de prendre ou de faire en sorte que Sage prenne toute mesure qui placerait Sage en situation de manquement aux Législations en matière de protection des données ou aux droits d’une quelconque Personne concernée  ; et
      3. fournir une assistance raisonnable à Sage dans le but de satisfaire aux obligations de Sage en vertu des Législations en matière de protection des données, y compris en concluant tous avenants ou compléments au présent Accord pouvant être nécessaires pour refléter tout changement dans les activités de Traitement des Données à caractère personnel du Client ou de Sage, ou tel qu’exigé par les Législations en matière de protection des données.
         
         
4. OBLIGATIONS DE SAGE
   
   INSTRUCTIONS
   
   
   1. En concluant le Contrat, lorsque Sage agit en tant que Sous-traitant ou Sous-traitant ultérieur, le Client donne instruction à Sage de Traiter les Données à caractère personnel dans le but de lui fournir les Services et toute assistance connexe. Les activités de Traitement de Données à caractère personnel de Sage mises en place à ces fins sont plus amplement décrites en Annexe 1. Le Client donne en outre instruction à Sage de se conformer à ses obligations en matière de Traitement des Données à caractère personnel en qualité de Sous-traitant ou Sous-traitant ultérieur, comme prévu par les autres dispositions du présent Accord.
      
      
   2. Sage devra informer le Client de toute exigence légale qui pourrait l’empêcher de se conformer aux instructions du Client telles qu’énoncées dans le présent Accord, à moins que l’exigence légale ne l’interdise.
      
      
   3. Sage devra informer le Client dans les plus brefs délais si, de l’avis de Sage, les instructions communiquées par le Client sont contraires aux Législations en matière de protection des données.
      
      
   4. Sage devra informer le Client dans les plus brefs délais s’il lui est impossible de continuer à satisfaire à ses obligations en vertu des Législations en matière de protection des données ou du présent Accord.
      
      
   5. Sage devra respecter les Législations en matière de protection des données tant que de telles Données à caractère personnel sont sous son contrôle.
      
      
   6. Lorsque le CCPA (tel que modifié par le CPRA) s’applique :
      
      
      1. si Sage reçoit des Informations déidentifiées de la part du Client, Sage devra (a) prendre des mesures raisonnables pour garantir que les Informations anonymisées ne puissent pas être associées à une Personne concernée ou à un foyer, (b) s’engager publiquement à conserver et utiliser les Informations déidentifiées de manière anonymisée, et (c) ne pas tenter de réidentifier de quelconques Informations déidentifiées, sauf dans le seul but de déterminer si nos processus d’anonymisation satisfont aux exigences des Législations en matière de protection des données applicables.
         
         
      2. Lorsque Sage agit en tant que Prestataire de services, Sage ne devra pas combiner de Données à caractère personnel avec les Données à caractère personnel que nous recevons de toute autre personne ou pour le compte de celle-ci, ou que nous collectons dans le cadre de nos propres interactions avec une Personne concernée, sauf aux fins d’une finalité commerciale, tel que défini dans les Législations en matière de protection des données applicables.
         
         
      3. Sage devra s’abstenir de partager, vendre, louer, publier, divulguer, diffuser, mettre à disposition, transférer ou communiquer à l’oral, par écrit ou par des moyens électroniques ou toute autre méthode, toutes Données à caractère personnel à une autre personne ou entité pour : (i) toute contrepartie monétaire ou autre contrepartie de valeur  ; ou (ii) toute publicité contextuelle au profit d’une entreprise dans laquelle aucun échange d’argent n’est effectué.
         
         
      4. Sous réserve d’un préavis, le Client aura le droit de suspendre et de remédier à tout Traitement non autorisé de Données à caractère personnel.
         
         
   SÉCURITÉ
   
   
   7. Sage devra avoir en place à tout moment des mesures techniques et organisationnelles appropriées pour empêcher tout Traitement non autorisé ou illicite, ou toute perte ou destruction accidentelle de Données à caractère personnel, en tenant compte des progrès technologiques, des coûts de mise en œuvre, de la nature du Traitement des Données à caractère personnel concerné et du risque pour les droits et libertés des Personnes concernées. Ces mesures de sécurité peuvent inclure :
      
      
      1. la pseudonymisation ou le chiffrement de Données à caractère personnel  ;
         
         
      2. la capacité à rétablir dans les plus brefs délais la disponibilité et l’accès aux Données à caractère personnel en cas d’incident  ;
         
         
      3. la capacité à garantir en permanence la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes de Traitement  ; et
         
         
      4. un processus permettant de tester et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles. De plus amples informations sont disponibles sur la page suivante : https://www.sage.com/fr-fr/confiance-securite/
         
         
   8. Sage devra :
      
      
      1. prendre des mesures raisonnables pour garantir la fiabilité de tout collaborateur susceptible d’avoir accès à des Données à caractère personnel  ;
         
         
      2. s’assurer que l’accès, le cas échéant, à des Données à caractère personnel est strictement limité aux personnes ayant besoin d’en connaître et/ou d’accéder aux Données à caractère personnel aux fins énoncées dans le Contrat  ; et
         
         
      3. veiller à ce que le personnel autorisé à Traiter des Données à caractère personnel se soit engagé à garantir la confidentialité ou soit soumis à une obligation légale de confidentialité adéquate.
         
         
   RECOURS À DES SOUS-TRAITANTS ULTÉRIEURS
   
   
   9. Le Client autorise par la présente Sage à recourir à des Sous-traitants ultérieurs et à utiliser la liste des critères utilisés par Sage pour sélectionner et désigner tout Sous-traitant ultérieur, qui est la suivante :
      
      
      1. Sage procédera à une vérification raisonnable des mesures de confidentialité et de sécurité des données des Sous-traitants ultérieurs proposés avant de leur donner accès à des Données à caractère personnel  ;
         
         
      2. Sage effectuera des évaluations d’impact sur la protection des données avant de nommer un Sous-traitant ultérieur lorsque tout Traitement de Données à caractère personnel par un Sous-traitant ultérieur est susceptible d’entraîner un risque élevé pour les droits et libertés des Personnes concernées  ;
         
         
      3. tel qu’exigé par les Législations en matière de protection des données, Sage veillera à mettre en place un contrat avec tout Sous-traitant ultérieur désigné qui impose au Sous-traitant ultérieur, en substance, les mêmes obligations de protection des données que celles imposées à Sage par le présent Accord  ; et
         
         
      4. Sage procédera à des examens de ses relations avec les Sous-traitants ultérieurs et prendra toute autre mesure qui pourrait être requise en vertu des Législations en matière de protection des données ou en relation avec toute modification apportée aux activités de Traitement des Données à caractère personnel du Client ou de Sage.
         
         
   10. Sage restera pleinement responsable envers le Client de l’exécution des obligations du Sous-traitant ultérieur en vertu du contrat conclu par ce dernier avec Sage.
       
       
   11. Une liste des Sous-traitants de Sage est disponible ici. Compte tenu de l’organisation internationale de Sage, les Sociétés affiliées de Sage peuvent être impliquées dans le Traitement de Données à caractère personnel, notamment à des fins d’assistance. Dans ce cas, les Sociétés affiliées de Sage agissent en tant que Sous-traitants ultérieurs et les accords de traitement de données intra-groupe régissent le Traitement des Données à caractère personnel. Veuillez contacter Sage si vous avez besoin d’informations sur les Sous-traitants ultérieurs dans le cadre d’un Service qui ne figure pas dans la liste à partir du lien ci-dessus.
       
       
   12. Dans l’hypothèse où Sage souhaite apporter des modifications aux Sous-traitants ultérieurs, Sage devra mettre à jour la liste et informer le Client lorsque nous considérons que ladite modification a une incidence significative sur les Services fournis au Client, comme l’exigent les Législations en matière de protection des données et comme décrit dans les conditions spécifiques à la région. Le Client peut raisonnablement s’opposer à ces modifications dans un délai de trente (30) jours.
       
       
   TRANSFERTS INTERNATIONAUX
   
   
   13. Le Client reconnaît et accepte que la fourniture des Services peut impliquer le Traitement de Données à caractère personnel par Sage ou ses Sous-traitants ultérieurs dans des pays en dehors du pays dans lequel le Client, les Sociétés affiliées du Client ou les Utilisateurs sont basés, sous réserve des conditions du présent Accord.
       
       
   14. Sage devra respecter les Législations en matière de protection des données lors de tout transfert international de Données à caractère personnel. En fonction du transfert et de la région dans laquelle le Client, les Sociétés affiliées du Client ou les Utilisateurs sont situés, des dispositions spécifiques aux transferts internationaux s’appliqueront, qui peuvent inclure, le cas échéant, les accords de traitement de données intra-groupe de Sage ou tout autre Mécanisme de transfert des données. Aux fins du respect de la présente clause 4.14, les CCT de l’UE figurant à l’Annexe 2 sont incorporées dans le présent Accord afin de couvrir, lorsque nécessaire, lesdits transferts.
       
       
   15. Le Client accepte que Sage puisse transférer des Données à caractère personnel entre les Sociétés affiliées de Sage en vertu des conditions de ses accords de traitement de données intra-groupe, qui intègrent des mécanismes de transfert de données adéquats.
       
       
   16. Dans le cas où un Transfert vers un Pays non adéquat est nécessaire entre le Client et une Société affiliée de Sage, car aucun autre mécanisme valide ne s’applique audit transfert, le transfert ne sera pas effectué tant que le Client et la Société affiliée de Sage concernée n’auront pas conclu d’accord contractuel intégrant les CCT de l’UE (module responsable du traitement/responsable du traitement, module responsable du traitement/sous-traitant et/ou module sous-traitant/sous-traitant) qui s’appliqueront en fonction des rôles respectifs de chaque partie en tant que responsable du traitement ou de sous-traitant, tel que plus amplement décrit en Annexe 2.
       
       
   VIOLATION DE DONNÉE À CARACTÈRE PERSONNEL
   
   
   17. En cas de Violation de données à caractère personnel, Sage devra en informer le Client dans les plus brefs délais et prendre les mesures que Sage considère raisonnablement nécessaires et possibles pour contenir et atténuer les effets de cette Violation de données à caractère personnel (sous réserve des instructions du Client à ce sujet).
       
       
   18. La notification visée à l’article 4.17 ci-dessus devra au moins :
       
       
       1. décrire la nature de la Violation de données à caractère personnel, y compris, si possible, les catégories et le nombre approximatif de Personnes concernées et les catégories et le nombre approximatif de fichiers de Données à caractère personnel concernés  ;
          
          
       2. communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre interlocuteur auprès duquel des informations supplémentaires peuvent être obtenues  ;
          
          
       3. décrire les conséquences probables de la Violation de données à caractère personnel  ; et
          
          
       4. décrire les mesures prises ou proposées par le responsable du traitement pour remédier à la Violation de données à caractère personnel, y compris, le cas échéant, les mesures visant à atténuer ses éventuels effets négatifs. Lorsque, et dans la mesure où, il n’est pas possible de fournir les informations simultanément, les informations peuvent être fournies par étapes dans les plus brefs délais.
          
          
   AUDIT
   
   
   19. Sous réserve des dispositions d’audit prévues par le Contrat, Sage fournira au Client les informations raisonnablement nécessaires pour démontrer la conformité de Sage avec le présent Accord ou permettra au Client de procéder à un audit du Traitement mis en place par Sage s’agissant des Données à caractère personnel concernées, aux frais exclusifs du Client.
       
       
   20. La fréquence des inspections énoncée à l’article 4.19 ci-dessus ne doit pas dépasser une fois par an et le périmètre de l’audit doit être convenu au moins 30 jours avant la date de l’audit. Cette disposition s’applique sans préjudice du droit du Client de procéder à d’autres inspections sur une base ponctuelle en cas de manquement aux obligations de protection des données par Sage ou les Sous-traitants ultérieurs de Sage.
       
       
   AUTRES
   
   
   21. Sage doit, dans les plus brefs délais, informer le Client de toute communication reçue d’une Personne concernée, d’une Autorité de contrôle ou de tout autre organisme concernant des Données à caractère personnel.
       
       
   22. En tenant compte de la nature du Traitement, Sage devra :
       
       
       1. assister le Client par des mesures techniques et organisationnelles appropriées, dans la mesure du possible, s’agissant de toutes les obligations qui incombent au Client en vertu des Législations en matière de protection des données afin de répondre aux demandes des personnes souhaitant exercer leurs droits  ; et
          
          
       2. fournir au Client une assistance raisonnable aux fins de se conformer à toutes les obligations qui lui incombent en vertu des Législations en matière de protection des données en ce qui concerne : (i) la garantie de la sécurité des Données à caractère personnel  ; (ii) les notifications de Violations de donnés à caractère personnel aux Autorités de contrôle  ; (iii) les consultations préalables avec les Autorités de contrôle  ; (iv) la communication de toute Violation de données à caractère personnel aux Personnes concernées  ; et (v) les évaluations d’impact sur la protection des données.
          
          
   23. Lorsque Sage agit en tant que Sous-traitant ou Sous-traitant ultérieur au nom du Client, Sage devra, au terme de la fourniture des Services et à la discrétion du client, supprimer ou restituer au Client toutes les Données à caractère personnel traitées par Sage pour le compte du Client et supprimer les copies existantes, sauf si les Législations en matière de protection des données exigent le stockage des Données à caractère personnel.
       
       

Annexe 1 – DESCRIPTION DU TRAITEMENT DES DONNÉES À CARACTÈRE PERSONNEL

Catégories de Personnes concernées dont les Données à caractère personnel sont Traitées

En fonction des Données à caractère personnel que le Client, une Société affiliée du Client ou un Utilisateur soumet aux Services, ou partage(nt) avec Sage dans le cadre des Services fournis en vertu du Contrat, Sage peut Traiter des Données à caractère personnel relatives aux personnes suivantes :

 •tous employés, prestataires, ouvriers, candidats ou autres membres du personnel du Client  ;
 •tous fournisseurs, clients, partenaires opérationnels ou prospects du Client (lorsque ces parties sont des personnes physiques)  ;
 •tous Utilisateurs ne relevant pas des catégories ci-dessus  ; et
 •tous autres contacts du Client (lorsqu’il s’agit de personnes physiques et ne relevant pas des catégories ci-dessus).

Catégories de Données à caractère personnel traitées

Les Données à caractère personnel que vous soumettez aux Services fournis en vertu du Contrat, ou que vous partagez avec Sage ou une Société affiliée de Sage afin que Sage puisse fournir ces Services, sont déterminées par vos soins à votre discrétion. Dans la mesure où un grand nombre de nos Services sont personnalisables, les Données à caractère personnel soumises/partagées dépendront souvent des options et de la méthode de commercialisation que vous choisissez.

Une répartition des Données à caractère personnel traitées par Sage pour fournir nos principaux Services est présentée ci-dessous (sous réserve que lesdites données concernent une personne).

Informations sur le profil de l’entreprise :	nom et coordonnées, informations d’immatriculation, type d’entreprise, lieu d’immatriculation, informations sur le paiement, informations et historique des transactions, dossiers fiscaux, informations sur les relations et correspondance avec l’entreprise.
Informations sur la facture :	nom et coordonnées, informations sur le compte, informations d’immatriculation, numéro fiscal, montant du paiement, conditions de paiement et détails des Services concernés par la facture.
Informations de paie (uniquement pour les produits de paie/modules de paie) :	nom et coordonnées, numéros d’enregistrement/de référence, montant de la paie de base, types et montants d’imposition, types et montants de cotisations, montants et fréquence des paiements, coordonnées bancaires, code fiscal, numéro de sécurité sociale, période de paie, revenus bruts et nets, nombre total d’heures, montants des cotisations de maladie et de congés.
Informations RH (uniquement pour les produits RH/modules RH) :	nom, fonction, niveau dans l’entreprise, adresse et autres coordonnées, informations sur la paie (voir ci-dessus), date de naissance, fichiers d’évaluation, absences, maladies, informations sur les congés (dates de congés, durée, motif, fréquence), dossiers disciplinaires et de griefs, historique des postes et des salaires, proches, personnes à charge, coordonnées du contact d’urgence.
Informations de planification et de prévision (uniquement pour les produits ou modules de reporting/prévision) :	informations dans les catégories ci-dessus (le cas échéant), fichiers d’inventaire, fichiers de commande et de stockage.
Informations sur la gestion des clients (uniquement pour les produits/modules de gestion des clients) :	nom, adresse et coordonnées et autres informations personnelles sur les lettres de mission et les propositions, informations relatives à la lutte contre le blanchiment d’argent (AML) et aux vérifications d’identité et de conformité des clients (know your customer - KYC).
Informations collectées par le biais de toute autre fonctionnalité complémentaire spécifique requise (selon le type de fonctionnalité) :	informations dans les catégories ci-dessus (le cas échéant), informations bancaires, informations de reporting (notamment transactions mises en correspondance avec les facteurs d’émission créant une estimation initiale de l’empreinte carbone), informations de prévision et de prédiction (coûts prévus, ventes, dépenses, trésorerie, bénéfices, obligations fiscales, factures en retard, budgets et comparaisons).

Des Données à caractère personnel sensibles (notamment les données de «  catégorie spéciale  » au sens du RGPD, c’est-à-dire les données révélant l’origine ethnique, les opinions politiques, les croyances religieuses ou philosophiques ou l’appartenance à un syndicat, ainsi que les données génétiques, les données biométriques aux fins d’identifier de manière unique une personne physique, les données concernant la santé ou les données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique) peuvent parfois être collectées et transférées dans le cadre des Services, si elles sont partagées par une Personne concernée décrite ci-dessus.

Sage s’assure d’appliquer des restrictions ou des garanties supplémentaires s’agissant du Traitement de Données à caractère personnel sensibles, notamment en s’assurant que : (i) le Traitement de Données à caractère personnel sensibles soit évité autant que possible  ; (ii) des processus de responsabilité (par exemple la réalisation d’évaluations d’impact sur la protection des données) soient suivis en ce qui concerne le Traitement des Données à caractère personnel sensibles  ; (iii) le personnel reçoive une formation adéquate sur le traitement des Données à caractère personnel sensibles  ; (iv) des mesures contractuelles et de vérification supplémentaires soient appliquées  ; et (v) des mesures d’anonymisation, de pseudonymisation et de protection par mot de passe soient appliquées aux Données à caractère personnel sensibles lorsque cela est possible.

Fréquence du Traitement

Sur une base continue en fonction de l’utilisation des Services par le Client ou une Société affiliée du Client.

Nature du traitement

Sage peut traiter les Données à caractère personnel décrites ci-dessus de la manière suivante afin de fournir les Services au Client : collecte, enregistrement, organisation, structuration, stockage, copie, affichage, reformatage, adaptation ou modification, anonymisation, récupération, consultation, utilisation, divulgation par transmission, diffusion ou mise à disposition par tout autre moyen, alignement ou combinaison, restriction, effacement ou destruction, synchronisation avec des services dans le cloud.

Finalité(s) du Traitement

a) Les Données à caractère personnel sont Traitées par Sage en qualité de Sous-traitant (ou Sous-traitant ultérieur, lorsque le Client est un Sous-traitant) aux fins de fournir, protéger, soutenir, activer, améliorer et maintenir les Services dans le cadre du Contrat. Si le Client choisit de s’abonner ou d’interagir avec des Services supplémentaires spécifiques (tels que décrits dans le Contrat), Sage peut télécharger, copier et/ou transférer les Données à caractère personnel du Client pour mettre en place ces options. Le cas échéant, il peut s’agir de la synchronisation des Données à caractère personnel du Client avec certains services cloud de Sage. Si le Client choisit de connecter les Services à des produits ou services tiers, Sage utilisera les Données à caractère personnel du Client pour établir cette connexion. Lorsque Sage reçoit des Données à caractère personnel en raison de cette connexion, Sage utilisera ces Données à caractère personnel conformément au Contrat.

b) Si le Client demande à Sage de Traiter des Données à caractère personnel dans le cadre d’un Service qui a recours à l’intelligence artificielle, cette mesure peut être mise en place par Sage en qualité de Responsable du traitement. Sage Traite également des Données à caractère personnel en tant que Responsable du traitement aux fins énoncées dans la Politique de confidentialité de Sage. Dans ces hypothèses, Sage respectera toutes les dispositions du présent Accord applicables et les exigences des Législations en matière de protection des données.

c) Nonobstant toute disposition contraire à l’article précédent, lorsque le CCPA (tel que modifié par le CPRA) s’applique, si le Client choisit ou donne instruction à Sage de Traiter des Données à caractère personnel dans le cadre d’un Service qui a recours à l’intelligence artificielle, Sage Traitera les Données à caractère personnel en tant que Prestataire de services pour des utilisations internes uniquement, lorsque cela est autorisé par les Législations en matière de protection des données. Lorsque les Législations en matière de protection des données interdisent à Sage de Traiter des Données à caractère personnel à des fins uniquement internes, Sage se conformera aux dispositions suivantes :

 1. Sage Traitera uniquement des Données à caractère personnel aux fins limitées et spécifiées de fournir le Service ayant recours à l’intelligence artificielle.

 2. Sage respectera les Législations en matière de protection des données, notamment en offrant le même niveau de protection des Données à caractère personnel que celui requis par les Législations en matière de protection des données.

 3. Le Client peut prendre des mesures raisonnables et adéquates pour s’assurer que Sage utilise les Données à caractère personnel d’une manière conforme aux obligations imposées par les Législations en matière de protection des données, et le Client peut, sous réserve d’un préavis, prendre des mesures raisonnables et adéquates pour remédier à toute utilisation non autorisée des Données à caractère personnel.

d) Sage informera le Client dans les plus brefs délais s’il lui est impossible de continuer à satisfaire à ses obligations en vertu des Législations en matière de protection des données ou du présent Accord.

Annexe 2 – Mécanisme de transfert des données

1.1 OPTIONS ET PARTIES I, II ET III DES CCT DE L’UE

OPTIONS :
Module utilisé
(1) Le module 1 des CCT devra être utilisé lorsque le Client et Sage agissent chacun en tant que Responsable du traitement des Données à caractère personnel.
(2) Le module 2 des CCT devra être utilisé lorsque le Client agit en tant que Responsable du traitement et Sage en tant que Sous-traitant des Données à caractère personnel.
(3) Le module 3 des CCT devra être utilisé lorsque le Client agit en tant que Sous-traitant et Sage en tant que Sous-traitant ultérieur des Données à caractère personnel.
Clause 7 (Clause d’adhésion) La clause d’adhésion facultative doit être incluse
Clause 9 (a) (Recours à des Sous-traitants ultérieurs) Pour les modules 2 et 3, l’option 2 s’applique et le délai spécifié doit être un délai raisonnable
Clause 11 (Voies de recours) La langue facultative ne doit pas être incluse
Clause 13 (Contrôle) L’autorité de contrôle compétente sera l’autorité de contrôle de :
(a) l’État membre de l’UE dans lequel l’exportateur de données est établi ;
(b) si l’exportateur de données n’a pas d’établissement dans l’UE, l’État membre de l’UE dans lequel le représentant de l’exportateur de données est établi ; ou (c) si l’exportateur de données n’a pas d’établissement dans l’UE et n’est pas tenu de désigner un représentant, l’un des États membres dans lesquels les personnes concernées sont situées
Clause 17 (Governing Law) – option 2 shall apply and the specified law shall be Irish law.
Clause 18 (Élection de for et juridiction) Conformément aux dispositions du Contrat concernant le choix de juridiction, ou si en dehors de l’EEE/du Royaume-Uni, le droit applicable dans le pays dans lequel l’exportateur de données est établi (uniquement pour les CCT de l’UE).

Les sections supplémentaires du module Sous-traitant/Sous-traitant figurant aux clauses 14, 15 et 16 doivent être incluses lorsque le module Sous-traitant/Sous-traitant s’applique au transfert.

ANNEXE I A : : LISTE DES PARTIES :
Exportateur(s) de données : Client
Nom et adresse : tels que fournis à Sage
Nom, fonction et coordonnées de la personne à contacter : tels que fournis à Sage Activités relatives aux données transférées en vertu des présentes clauses : obtention des Services en vertu du Contrat.
Signature et date : telles que confirmées par le Contrat ou signées par le Client
Rôle (responsable du traitement/sous-traitant) : Responsable du traitement ou Sous-traitant, en fonction du rôle du Client.

Importateur(s) de données : (en fonction du Service) : Brightpearl, Inc., Intacct Software Private Ltd, Ocrex Australia Pty Ltd, Ocrex, Inc. (US), Sage Budgeta, Inc., Sage Business Solutions Pty Limited, Sage Business Technology (India) Private Limited (anciennement Ocrex Enterprises Private Limited), Sage Global Services Limited, Sage Intacct, Inc., Sage Software Holdings, Inc., Sage Software, Inc., Sage Software North America, Sage South Africa Proprietary Limited, et potentiellement d’autres importateurs du groupe Sage (cf. pages de signature).
Activités relatives aux données transférées en vertu des présentes clauses : fourniture des Services en vertu du Contrat.
Rôle (responsable du traitement/sous-traitant) : Sous-traitant

ANNEXE I B :DESCRIPTION DU TRANSFERT :
Cf. Annexe 1. En outre :
(a) La fréquence du transfert (par ex., si les données sont transférées de manière ponctuelle ou continue) : les Données à caractère personnel peuvent être transférées de manière continue pendant toute la durée des Services. (b) Le délai pendant lequel les Données à caractère personnel seront conservées ou, si cela n’est pas possible, les critères utilisés pour déterminer ce délai : les Données à caractère personnel décrites en Annexe 1 doivent être conservées aussi longtemps que nécessaire pour fournir les Services et pour que l’importateur de données satisfasse à toutes les exigences ou obligations légales applicables. (c) Pour les transferts à des Sous-traitants (ultérieurs), précisez également l’objet, la nature et la durée du Traitement : l’objet, la nature et la durée du sous-traitement sont tels que décrits en Annexe 1 et ci-dessus.
ANNEXE I C : AUTORITÉ DE CONTRÔLE COMPÉTENTE
Conformément à l’article 13 (Supervision) des Options
ANNEXE II : MESURES TECHNIQUES ET ORGANISATIONNELLES
Disponible sur https://www.sage.com/fr-fr/confiance-securite/securite/ ou sur demande
ANNEXE III : LISTE DES SOUS-TRAITANTS ULTÉRIEURS
Consultez la liste ici

1.2 PARTIES 1 ET 2 DE L’ADDEDUM BRITANNIQUE  (les termes définis utilisés dans la présente section auront la signification qui leur est attribuée dans l’Addedum britannique. S’ils ne sont pas définis dans l’Addendum britannique, ils auront la signification qui leur est attribuée dans l’Accord).

Partie 1 : Tableaux
Tableau 1 : Parties

Date de début	Date de début du Contrat
Les parties	EExportateur (expéditeur du Transfert vers un Pays non adéquat)	Importateur (destinataire du Transfert vers un Pays non adéquat)
Coordonnées des parties	Client	Comme indiqué à la section 1.1 de la présente Annexe 2.
Contact principal	Comme indiqué à Sage	Comme indiqué à la section 1.1 de la présente Annexe 2.

Tableau 2 : CCT, modules et clauses de l’UE sélectionnées

CCT de l’UE de l’Addendum	La version des CCT de l’UE approuvées à laquelle le présent Addendum est annexé.
Module	Module en fonctionnement	Clause 7 (Clause d’adhésion)	Clause 11 (Option)	Clause 9a (Autorisation préalable ou autorisation générale)	Clause 9a (Délai)	Les Données à caractère personnel reçues de l’Importateur sont-elles combinées aux Données à caractère personnel collectées par l’Exportateur ?
1	Module 1	Oui	Non	N/A	N/A	Possibilité, en fonction des exigences de l’Exportateur
1	Module 2	Oui	Non	Autorisation générale	Délai raisonnable	Possibilité, en fonction des exigences de l’Exportateur
2	Module 3	Oui	Non	Autorisation générale	Délai raisonnable	Possibilité, en fonction des exigences de l’Exportateur

Tableau 3 : Informations de l’annexe
“Informations de l’annexe” désigne les informations qui doivent être communiquées pour les modules sélectionnés, comme visé en annexe des CCT de l’UE approuvées (autres que les Parties), et qui figurent en section 1.1 de la présente Annexe 2 pour le présent Addendum.

Tableau 4 : Résiliation du présent Addendum en cas de modification de l’Addendum approuvé

Résiliation du présent Addendum en cas de modification de l’Addendum approuvé

Quelles Parties peuvent résilier le présent Addendum comme indiqué à la section ‎ 19 :  Importateur  Exportateur Aucune partie

Partie 2 : Clauses obligatoires

Partie 2 : Les Clauses obligatoires de l’Addendum approuvé, soit le modèle d’Addendum B.1.0 publié par l’ICO et présenté au Parlement conformément à l’Article 119A du Data Protection Act de 2018 le 2 février 2022, comme révisé en vertu de la section ‎‎18 desdites Clauses obligatoires, sont intégrées aux présentes.

1.3 PARTIES 1 - 4 DE L’IDTA BRITANNIQUE

Partie 1 : Tableaux
Tableau 1 : Parties et signatures
Cf. section 1.1 de la présente Annexe 2.
Tableau 2 : Détails du transfert

Droit du pays du Royaume-Uni qui régit l’IDTA :	Angleterre et Pays de Galles
Lieu principal pour les actions en justice à introduire par les Parties	Angleterre et Pays de Galles
Le statut de l’Exportateur	Cf. section 1.1 de la présente Annexe 2
Le statut de l’Importateur	Cf. section 1.1 de la présente Annexe 2
Accords liés	(a) Si l’importateur est un Responsable du traitement : – le Contrat (y compris l’Accord) (b) Si l’Importateur est le Sous-traitant ou Sous-traitant ultérieur de l’Exportateur : – le Contrat (y compris l’Accord) (c) Si l’Exportateur est un Sous-traitant ou Sous-traitant ultérieur : le ou les accords conclus entre l’Exportateur et la ou les Parties qui définissent les instructions de l’Exportateur pour le Traitement des Données transférées
	L’Importateur peut Traiter les Données transférées pendant le délai suivant : Le délai pendant lequel l’Accord lié (a) est en vigueur
Résiliation de l’IDTA avant la fin de la Durée	Les Parties peuvent résilier l’IDTA avant la fin de la Durée moyennant un préavis écrit de six mois, tel que décrit à la section 29 (Comment résilier le présent IDTA sans commettre de violation ?).
Résiliation de l’IDTA en cas de modification de l’IDTA approuvé	Quelles Parties peuvent résilier l’IDTA comme indiqué à la section ‎ 29.2 : Importateur ou exportateur‎29.2: Importer or Exporter
L’Importateur peut-il effectuer d’autres transferts des Données transférées ?	L’Importateur peut transférer les Données transférées à une autre entreprise ou personne (étant une personne morale différente) conformément à la section 16.1 (Transfert des Données transférées).
Restrictions spécifiques lorsque l’Importateur peut transférer les Données transférées	Aucune restriction spécifique ne s’applique.
Dates de révision	Les Parties doivent réviser les Exigences de sécurité chaque fois qu’un changement est apporté aux Données transférées, aux Finalités, aux Informations sur l’importateur, à l’évaluation des risques inhérents au transfert (TIA) ou à l’évaluation des risques.

Tableau 3 : Donnée transférée

Donnée transférée	Cf. Annexe 1 de l’Accord
Catégories spéciales de Données à caractère personnel et sanctions et infractions pénales	Cf. Annexe 1 de l’Accord
Personnes concernées	Cf. Annexe 1 de l’Accord
Finalité	Cf. Annexe 1 de l’Accord

Tableau 4 : Exigences de sécurité
Cf. partie II de l’Annexe 2

Clauses obligatoires

Les clauses suivantes sont intégrées aux suivantes : Partie 4 : Les Clauses obligatoires de l’IDTA approuvé, soit le modèle d’IDTA A.1.0 publié par l’ICO et présenté au Parlement conformément à l’Article 119A du Data Protection Act de 2018 le 2 février 2022, tel que révisé en vertu de la section ‎‎5,4 desdites Clauses obligatoires.

1.4 SIGNATURES DES SOCIÉTÉS AFFILIÉES DE SAGE (dans la mesure où elles agissent en qualité d’importateurs de données) cf. pages ici.

Annexe 3 – Termes équivalents

Tableau 3 : Donnée transférée

 

Terme dans l’Accord	Termes équivalents dans d’autres Législations en matière de protection des données
Donnée à caractère personnel	Information personnelle, élément d’identification
Responsable du traitement	Partie responsable, entreprise
Violation de donnée à caractère personnel	Faille de sécurité, violation de donnée POPIA
Sous-traitant	Opérateur, prestataire de services, fournisseur
Personne concernée	Client