Conditions relatives à la confidentialité du TAAP – Entente entre les responsables du traitement (y compris les CCT)

Annexe 4 (TAAP)

La version originale anglaise de la présente Entente entre les responsables du traitement peut avoir été traduite dans d’autres langues. En cas d’incohérence ou de divergence entre la version anglaise et toute autre version de la présente Entente rédigée dans une autre langue, la version anglaise prévaut.

PORTÉE : Lorsque Expedia et vous-même traitez des données personnelles dans le cadre d’un accord (qui peut prendre la forme de conditions générales d’achat au clic en ligne) conclu avec l’autre partie (en vertu duquel vous avez été désigné comme partenaire de marketing dans le cadre du programme TAAP, et toutes les activités pertinentes liées à cette activité sont désignées dans le présent document comme les « Activités pertinentes »), la présente entente globale entre les responsables du traitement (« Entente entre les responsables du traitement ») est complémentaire à cet accord conclu entre les parties et s’y applique (l’« Accord »), et définit des conditions et des exigences supplémentaires selon lesquelles Expedia et vous traiterez chacun les données personnelles dans le cadre de l’Accord. Dans la présente Entente entre les responsables du traitement, « Expedia », « nous » et « notre » font référence à Expedia, Inc. et/ou à toute autre société d’Expedia Group partie à l’Accord. « Vous » fait référence à l’entité nommée indiquée dans la Demande d’inscription telle que décrite dans l’Accord (et toutes les références à Expedia ou à vous seront interprétées comme des termes au pluriel dans la mesure requise par l’Accord).

1. DÉFINITIONS ET INTERPRÉTATION

1.1 La présente Entente entre les responsables du traitement est soumise aux conditions de l’Accord et est intégrée à l’Accord. Les interprétations et les termes définis énoncés dans l’Accord s’appliquent à l’interprétation de la présente Entente entre les responsables du traitement, sauf indication contraire dans la présente Entente entre les responsables du traitement; et :

  1. les termes mesures techniques et organisationnelles appropriées, responsable du traitement, données personnelles, violation de données personnelles, traiter/traitement et autorité de surveillance (ou des termes sensiblement équivalents) ont le sens qui leur est attribué dans les Lois applicables en matière de protection des données;
  2. Loi(s) applicable(s) en matière de protection des données désigne toutes les lois et réglementations applicables dans tout territoire concerné, relativement à l’utilisation ou au traitement des données personnelles;
  3. Pays membre du CBPR désigne un pays qui est membre à part entière ou membre associé du Système CBPR;
  4. Partie membre du CBPR désigne une organisation qui détient une certification en cours de validité dans le cadre du Système CBPR;
  5. Le Système CBPR désigne le système de règles relatives aux transferts transfrontaliers de données de la Coopération économique Asie-Pacifique;
  6. Fin permise signifie un objectif visant soit (i) à honorer des Réservations; (ii) à offrir de l’assistance en ce qui a trait aux Réservations; (iii) à traiter les inscriptions au programme TAAP et administrer les comptes associés (iv) à payer la Commission et d’autres montants en vertu de l’Accord; (v) à générer des rapports pour vous et tout autre traitement nécessaire à la réconciliation, au traitement des plaintes et à des activités similaires liées à la gestion de l’Accord (vi) à offrir de l’assistance en lien avec les Comptes TAAP; (vii) à communiquer avec les Membres et les Utilisateurs secondaires du programme TAAP; (viii) à améliorer de nos services, y compris en optimisant l’expérience de réservation; (ix) à créer des rapports aux fins d’analyse, de veille stratégique et de publication d’information; (x) à prévenir la fraude; (xi) à répondre aux demandes de mise en application de la loi et aux demandes de vérification de l’autorité fiscale; (xii) à faciliter les transactions liées aux actifs commerciaux (lesquelles peuvent s’étendre aux fusions, aux acquisitions ou à la vente d’actifs); (xiii) à remplir, de toute autre façon, nos obligations en vertu de l’Accord, de la politique de confidentialité d’Expedia et des lois applicables; ou (xiv) à déterminer, à calculer et à déclarer les Taxes de voyage et autres taxes applicables, comme cela peut être exigé à l’occasion;
  7. DPF désigne une certification du cadre de protection des données UE – États-Unis (EU-US Data Privacy Framework) auprès du département du Commerce des États-Unis ou tout mécanisme de certification de remplacement ou supplémentaire approuvé par la Commission européenne (ou toute autre autorité nationale compétente) de temps à autre; et comprend toutes les décisions d’adéquation supplémentaires émises par tout autre pays qui permettent l’extension du DPF entre les États-Unis et ce pays tiers (par exemple, sans s’y limiter, le Royaume-Uni et la Suisse);
  8. Pays DPF désigne un pays de l’EEE, le Royaume-Uni, la Suisse et tout autre pays ou région dont les autorités compétentes ont accepté d’étendre l’application du DPF à ce pays/cette région;
  9. EEE signifie Espace économique européen;
  10. Pays de transfert restreint désigne tout pays de l’Espace économique européen, la Suisse, le Royaume-Uni et le Brésil;
  11. Données à transfert restreint désigne les données de clients relatives à une Réservation effectuée par l’intermédiaire d’un point de vente destinées par nous à être consultées par des Clients situés dans un Pays de transfert restreint;
  12. Clauses contractuelles types ou CCT désigne les clauses contractuelles types approuvées de la Commission européenne pour le transfert de données personnelles de l’Union européenne vers des pays tiers, telles que publiées le 4 juin 2021, telles que modifiées, remplacées, complétées ou remplacées de temps à autre, et les dont la version actuelle complète peut être consultée en suivant ce lien : https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en; et
  13. Données TAAP à caractère personnel désigne les données personnelles qui nous sont fournies par l’intermédiaire du Site Web TAAP, ou traitées de toute autre façon, dans le cadre du programme TAAP ou pour faciliter le traitement des Réservations effectuées au moyen du Site Web TAAP.
RELATION ENTRE LES PARTIES

1.2 Vous, tout comme notre société, recueillerons et traiterons les données personnelles en vue d’exercer nos droits et de remplir nos obligations aux termes de l’Accord, et assumerons respectivement nos responsabilités en vertu des lois applicables. À ce titre, chaque partie s’engage (i) à traiter les données personnelles en tant que responsable indépendant et autonome du traitement; (ii) à respecter la Loi applicable en matière de protection des données; et (iii) à assumer la responsabilité de ses actes ou omissions qui contreviennent à la Loi applicable en matière de protection des données.

VOS RESPONSABILITÉS

1.3 Vous devez notamment :

  1. respecter une base juridique afin de mettre à notre disposition les Données TAAP à caractère personnel que nous traiterons aux Fins permises;
  2. veiller à informer les Clients, par l’intermédiaire de votre politique de confidentialité et par tout autre moyen approprié, que leurs données personnelles seront partagées avec nous aux Fins permises;
  3. diriger les Clients vers notre politique de confidentialité dans le cas où ils voudraient obtenir des détails à propos de la façon dont nous traitons leurs données personnelles;
  4. coopérer avec nous et nous fournir du soutien, dans la mesure du possible, afin de nous aider à respecter les Lois applicables en matière de protection des données dans le cadre de nos opérations de traitement des Données TAAP à caractère personnel aux termes de l’Accord; et
  5. respecter une base juridique pour envoyer des communications de marketing aux clients.
NOS RESPONSABILITÉS

1.4 Nous (et les Membres de notre groupe, s’il y a lieu) nous engageons à : 

  1. traiter les Données TAAP à caractère personnel uniquement dans le cadre des Fins permises;
  2. ne divulguer à personne des Données TAAP à caractère personnel, en tout ou en partie, sauf à l’égard des Fins permises;
  3. coopérer avec vous et à vous fournir du soutien, dans la mesure du possible, afin de vous aider à respecter les Lois applicables en matière de protection des données dans le cadre de vos opérations de Traitement des Données TAAP à caractère personnel aux termes de l’Accord; et
  4. afficher et respecter notre avis au sujet des témoins (si nécessaire), qui est à jour et conforme à la loi, ainsi que notre politique de confidentialité sur le Site Web TAAP.
CLIENTS ET TIERS

1.5 Vous reconnaissez que nous pouvons :

  1. envoyer des courriels aux Clients concernant des Réservations;
  2. transmettre des Données TAAP à caractère personnel (y compris des renseignements bancaires) à notre fournisseur de services tiers aux fins :
    1. d’administration, de gestion et d’assistance en ce qui a trait à votre Compte TAAP, au Compte TAAP de vos Représentants et à celui de vos Utilisateurs secondaires;
    2. d’assistance en lien avec les Réservations; et
    3. du paiement de la Commission et d’autres montants en vertu de l’Accord.
SÉCURITÉ DES DONNÉES ET VIOLATIONS

1.6 Vous et nous, en notre qualité respective de responsables du traitement, convenons que nous nous engageons à :

  1. maintenir des mesures techniques et organisationnelles appropriées pour protéger les données personnelles que vous et nous traitons contre une éventuelle violation de données personnelles; et
  2. advenant une violation de données personnelles confirmée dans des systèmes que possède ou administre la partie concernée, informer rapidement l’autre partie si ladite violation à la fois (i) se rapporte à des Données TAAP à caractère personnel qui sont aussi traitées par l’autre partie aux termes de l’Accord; et (ii) doit être signalée à une autorité de surveillance en fournissant tous les détails liés à l’incident. Le cas échéant, les deux parties doivent collaborer de façon raisonnable et en toute bonne foi pour remédier au problème de violation de données personnelles ou en atténuer les effets, et les coûts raisonnables de cette collaboration seront à la charge de la partie ayant été victime de la violation de données personnelles.
TRANSFERTS DE DONNÉES TRANSFRONTALIERS

1.7 Transferts de données transfrontaliers

Les Parties conviennent et reconnaissent que, dans la présente Clause 1.7, chaque fois que le terme « transfert » est utilisé, il inclut l’accès fourni par un responsable du traitement/sous-traitant à un autre responsable du traitement/sous-traitant et : 

  1. Général : aucune des Parties ne transférera (et n’autorisera aucune autre partie à transférer) les Données personnelles pertinentes en dehors du territoire d’origine, à moins que cette Partie ne prenne toutes les mesures de conformité nécessaires pour permettre ce transfert en toute légalité, conformément à la Loi applicable en matière de protection des données.
  2. Région Asie-Pacifique et pays membres du Forum mondial sur les règles relatives aux transferts transfrontaliers de données (CBPR − Cross-Border Privacy Rules) :

    1. Les Parties conviennent et reconnaissent :

      1. qu’une Partie CBPR est tenue par un ensemble d’obligations juridiquement contraignantes visant à fournir une protection comparable à celle prévue par les Lois applicables en matière de protection des données; et
      2. qu’Expedia est une Partie CBPR.

      Lorsque la Société est également une Partie CBPR, les dispositions du présent paragraphe (b) seront interprétées comme s’appliquant dans les deux sens.

    2. Sous réserve du paragraphe (iii) ci-dessous, les Parties conviennent que lorsque :

      1. des Données personnelles pertinentes sont transférées d’un Pays CBPR vers un autre Pays CBPR; et
      2. que l’importateur de données est une Partie CBPR,

      alors, dans la mesure où et aussi longtemps que le Système CBPR est une méthode de transfert reconnue par une autorité de surveillance compétente, le Système CBPR sera le mécanisme convenu pour les transferts transfrontaliers de Données personnelles pertinentes vers cette Partie CBPR.

    3. Le Système CBPR ne s’appliquera qu’aux transferts impliquant au moins une des Parties situées dans un pays de la région Asie-Pacifique qui est également un Pays CBPR.

    4. Expedia confirme qu’elle fournira au moins le même niveau de protection pour les Données personnelles pertinentes que celui requis par le Système CBPR; et elle informera rapidement l’autre Partie si elle détermine qu’elle ne peut plus fournir ce niveau de protection. Dans un tel cas, ou si l’autre Partie estime raisonnablement qu’Expedia ne protège pas les Données personnelles pertinentes conformément aux normes requises par le Système CBPR, l’autre Partie peut soit :

      1. exiger d’Expedia qu’elle prenne des mesures raisonnables et appropriées pour mettre fin à tout traitement non autorisé et y remédier, auquel cas les Parties coopéreront rapidement et de bonne foi pour identifier, convenir et mettre en œuvre ces mesures;
      2. convenir d’une autre mesure de protection pouvant s’appliquer au traitement en vertu de la Loi applicable en matière de protection des données; ou
      3. si (A) et (B) ne parviennent pas à résoudre le problème, résilier la présente Entente entre les responsables du traitement et l’Accord (ou, au choix de l’autre Partie, toute partie concernée de celle-ci) sans pénalité en adressant une notification à Expedia.

      Si l’autre Partie détient également une certification de Système CBPR en cours de validité, les dispositions ci-dessus seront réputées applicables comme si les obligations étaient réciproques.

  3. DPF : Les Parties conviennent qu’en ce qui concerne les transferts de Données à transfert restreint entre les Parties vers les États-Unis ou vers un pays qui n’a pas été jugé « adéquat » en vertu des Lois applicables en matière de protection des données du Pays à transfert restreint d’origine :
    1. dans la mesure où et aussi longtemps que le DPF est une méthode de transfert reconnue comme telle par une autorité compétente, le DPF sera le mécanisme convenu pour les transferts transfrontaliers de données provenant d’un Pays de transfert restreint vers Expedia aux États-Unis; et
    2. dans la mesure où et aussi longtemps que le DPF n’est pas une méthode de transfert valide (y compris pour les transferts de Données à transfert restreint vers un pays qui n’a pas été jugé « adéquat » en vertu de la Loi applicable en matière de protection des données du Pays à transfert restreint d’origine), 

      les CCT s’appliquent à ces transferts et nous les conclurons aux conditions énoncées au paragraphe (h) ci-dessous. Lorsque la Société détient également une certification DPF en cours de validité, les transferts de Données à transfert restreint vers la Société peuvent également être effectués dans le cadre du DPF, les CCT servant de mécanisme de secours, comme indiqué dans le présent paragraphe, et tous les paragraphes pertinents du DPF seront interprétés comme s’appliquant dans les deux sens.
  4. En ce qui concerne le DPF, Expedia convient qu’elle offrira le même niveau de protection que celui requis par le DPF. Si la Société estime raisonnablement que nous ne protégeons pas les Données à transfert restreint conformément aux normes requises par le DPF, Expedia peut soit :
    1. s’appuyer sur les CCT énoncées au paragraphe (h) ci-dessous;
    2. si les CCT ne constituent pas une solution viable ou appropriée, proposer à la Société des mesures raisonnables et appropriées pour mettre fin à tout traitement non autorisé et y remédier, que nous mettrons en œuvre de bonne foi en déployant des efforts commercialement raisonnables; ou
    3. si les mécanismes de secours prévus aux paragraphes (i) ou (ii) ci-dessus ne sont pas viables, résilier la présente Entente entre les responsables du traitement et l’Accord sans pénalité.
  5. Si la Société est certifiée dans le cadre du DPF, la Société se conformera aux principes de notification et aux principes de choix de DPF (tels que définis dans le DPF UE−États-Unis). Pour éviter toute ambiguïté, si la Société n’est pas certifiée DPF ou n’accède pas ou ne reçoit pas les Données à transfert restreint dans un pays jugé « adéquat » par la Commission européenne, les CCT seront alors utilisées pour les transferts de Données à transfert restreint d’Expedia vers la Société.
  6. Les Parties conviennent qu’elles peuvent chacune divulguer la présente Entente entre les responsables du traitement et toute disposition pertinente en matière de confidentialité contenue dans l’Entente avec le ministère américain du Commerce (US Department of Commerce), la Federal Trade Commission, toute autorité européenne chargée de la protection des données ou tout autre organisme judiciaire ou réglementaire américain ou européen à leur demande, et que cette divulgation ne sera pas considérée comme une violation de la confidentialité.
  7. Extension des CCT aux Pays de transfert non restreint : en ce qui concerne les transferts de Données personnelles pertinentes entre les Parties provenant d’un pays qui n’est pas un Pays de transfert restreint mais qui est soumis à des garanties qui, conformément à la Loi applicable en matière de protection des données, doivent être appliquées avant qu’un transfert de ces Données personnelles pertinentes puisse être effectué en dehors du pays d’origine (chacun étant un Pays de transfert non restreint), les Parties conviennent de ce qui suit :
    1. les CCT énoncées au paragraphe (h) ci-dessous sont réputées s’étendre à ces transferts supplémentaires dans la mesure où cette extension réputée satisfait aux garanties de ce pays particulier; et/ou
    2. lorsque les mesures énoncées au paragraphe (h) ci-dessous sont insuffisantes ou nécessitent des mesures supplémentaires, les Parties conviennent de prendre ces mesures supplémentaires, y compris, par exemple, la signature de documents pertinents, la collecte de consentements, le dépôt des documents requis, qui peuvent être nécessaires de temps à autre afin de satisfaire à la Loi applicable en matière de protection des données.
  8. CCT : sous réserve des paragraphes précédents de la Clause 3.4, les Parties conviennent par les présentes de conclure les CCT qui sont incorporées par référence dans l’Accord sur une base inchangée, à l’exception des choix suivants :
    1. Lorsque la Société est située dans l’Espace économique européen ou dans un pays considéré comme « adéquat » conformément à l’article 45 du RGPD (Pays adéquat), le Module un (1) des CCT s’applique uniquement dans un seul sens, à savoir pour les transferts de la Société vers Expedia. Autrement, le Module un (1) s’applique dans les deux sens pour couvrir les transferts à la fois de la Société vers Expedia et d’Expedia vers la Société.
    2. Aux fins de la Clause 11(a) des CCT, le texte optionnel est supprimé.
    3. Aux fins de la Clause 13 des CCT, le paragraphe pertinent est « L’autorité de surveillance de l’État membre dans lequel le représentant au sens de l’article 27, paragraphe 1, du règlement (UE) 2016/679 est établi, comme qu’indiqué à l’Annexe I.C, agit en qualité d’autorité de surveillance compétente. »
    4. Aux fins de la Clause 17 des CCT, le droit applicable est celui de l’Irlande.
    5. Aux fins de la Clause 18(b) des CCT, la sélection est l’Irlande.

    6. Données à transfert restreint. Une nouvelle Clause 19 est ajoutée aux CCT afin de couvrir les transferts de données personnelles provenant du Royaume-Uni, de la Suisse, du Brésil, de l’Arabie saoudite ou de la Thaïlande vers un pays qui n’est pas considéré comme adéquat au regard de la Loi applicable en matière de protection des données du pays d’origine et qui n’est pas non plus exempté de l’obligation de conclure des clauses contractuelles types, comme suit :

      « Clause 19

      Transferts au Royaume-Uni, en Suisse, au Brésil, en Arabie saoudite et en Thaïlande

      Les Parties conviennent que les présentes Clauses s’étendent et s’appliquent, dans la mesure où elles concernent le transfert en question, aux transferts extraterritoriaux qui relèvent du champ d’application de la Loi de référence applicable à la protection de la vie privée (désignés dans la présente Clause comme des Transferts de référence). Aux fins de ces Transferts de référence, la loi applicable sera considérée comme étant la Loi applicable de référence pertinente, le choix du tribunal sera le Pays de référence, et l’Autorité de surveillance de référence sera l’autorité de surveillance compétente. Les Parties conviennent en outre que ces modifications supplémentaires seront considérées comme apportées aux Clauses relatives au Transfert de référence, dans la mesure où elles sont jugées nécessaires par l’Autorité de surveillance de référence pour se conformer aux Lois de référence applicables à la protection de la vie privée, et les Clauses seront interprétées conformément aux exigences relatives aux Transferts de référence découlant de ces lois ou telles qu’énoncées dans les directives émises par l’Autorité de surveillance de référence, sans que les Parties aient à conclure des clauses contractuelles types distinctes préparées spécifiquement pour leurs Transferts de référence. Les Parties prennent en outre toutes les mesures nécessaires pour assurer le respect des Lois de référence applicables à la protection de la vie privée lors des Transferts de référence.

      Pays

      Loi de référence applicable à la protection de la vie privée (Reference Privacy Law)

      Transfert de référence

      Loi applicable de référence

      Pays de référence

      Autorité de surveillance de référence

      Royaume-Uni

      Règlement général sur la protection des données du Royaume-Uni (UK GDPR) et Loi sur la protection des données de 2018 (Data Protection Act 2018)

      Transfert depuis le Royaume-Uni

      Royaume-Uni

      Royaume-Uni

      Information Commissioner’s Office (ICO)

      Suisse

      Loi fédérale sur la protection des données (LPD)

      Transfert depuis la Suisse

      Suisse

      Suisse

      Préposé fédéral à la protection des données et à la transparence (PFPDT)

      Brésil

      Loi brésilienne n° 13 709/18 relative à la protection générale des données (Lei Geral de Proteção de Dados)

      Transfert depuis le Brésil

      Brésil

      Brésil

      Autorité nationale brésilienne chargée de la protection des données (ANPD)

      Arabie saoudite

      Loi saoudienne sur la protection des données personnelles (Personal Data Protection Law − PDPL)

      Transfert depuis l’Arabie saoudite

      Arabie saoudite

      Arabie saoudite

      Autorité saoudienne pour les données et l’intelligence artificielle (Saudi Authority for Data and Artificial Intelligence − SDAIA)

      Thaïlande

      Loi saoudienne sur la protection des données personnelles (Personal Data Protection Law − PDPL)

      Transfert depuis la Thaïlande

      Thaïlande

      Thaïlande

      Personal Data Protection Committee (PDPC)

    7. toute référence à la Loi de référence applicable à la protection de la vie privée désigne les lois de référence telles que modifiées, complétées ou remplacées de temps à autre.
    8. toute référence à une Autorité de surveillance de référence désigne l’autorité mentionnée ou tout organisme qui lui succède.
    9. en ce qui concerne le Royaume-Uni, les dispositions de l’Addenda relatif au transfert international de données aux clauses contractuelles types de la Commission européenne s’appliquent telles qu’elles sont énoncées dans le formulaire joint en annexe. »

    10. Transferts depuis un pays tiers : une nouvelle Clause 20 est ajoutée afin de couvrir les transferts de données personnelles depuis tout autre pays non spécifié jusqu’à présent, lorsque les CCT peuvent être étendues afin de garantir des garanties appropriées pour les transferts de données personnelles provenant de ce pays vers une Partie située en dehors de ce pays, comme suit :

      « Clause 20

      Autres transferts depuis un pays tiers

      Les Parties conviennent que les présentes Clauses s’étendent et s’appliquent, dans la mesure où elles concernent le transfert en question, aux transferts transfrontaliers qui relèvent du champ d’application de toute autre loi ou réglementation applicable dans toute juridiction concernée, relative à l’utilisation ou au traitement des données personnelles (Lois applicables en matière de protection des données) exigeant des conditions et des protections largement équivalentes aux présentes Clauses afin de transférer des données personnelles de ce pays (désigné dans la présente Clause comme le Pays tiers) vers un autre (désigné dans la présente Clause comme un Transfert depuis un pays tiers). Aux fins de ces Transferts depuis un pays tiers, les lois applicables seront considérées comme étant celles du Pays tiers, le choix du tribunal compétent sera celui du Pays tiers et l’autorité de protection des données ou tout autre organisme de réglementation compétent de ce pays sera l’autorité de surveillance compétente. Les Parties conviennent en outre que ces modifications supplémentaires seront considérées comme apportées aux Clauses relatives au Transfert depuis un pays tiers, dans la mesure où elles sont jugées nécessaires par ladite autorité de surveillance pour se conformer à la Loi applicable en matière de protection des données dudit Pays tiers, et les Clauses seront interprétées conformément aux exigences relatives aux Transferts depuis un pays tiers découlant de ces lois ou telles qu’énoncées dans les directives émises par l’autorité de surveillance compétente, sans que les Parties aient à conclure des clauses contractuelles types distinctes préparées spécifiquement pour leurs Transferts depuis un pays tiers. Les Parties prennent en outre toutes les mesures nécessaires pour assurer le respect de la ou des Lois applicables en matière de protection des données lors des Transferts depuis un pays tiers. »

1.8 Aux fins des CCT : :

L’Annexe un (1) (Aperçu du traitement des CCT) de la présente Partie cinq (5) (Aperçu du traitement de l’Entente entre les responsables du traitement) constitue l’Annexe un (1) des CCT;

  1. Dans le cas où la Société est l’importateur de données dans le cadre des CCT, la Partie deux (2) (Mesures de sécurité) et la Partie trois (3) (Continuité des activités) des Exigences constitueront l’Annexe deux (2) (Mesures techniques et organisationnelles) des CCT en ce qui concerne la Société; et
  2. Dans le cas où Expedia est l’importateur de données dans le cadre des CCT, l’Annexe deux (2) (Mesures techniques et organisationnelles) de la présente Partie cinq (5) constituera l’Annexe deux (2) (Mesures techniques et organisationnelles) des CCT en ce qui concerne Expedia.

1.9 OBLIGATIONS SUPPLÉMENTAIRES:

  1. Aux fins exclusives du présent Article 1.9, les termes « accès », « en masse », « pays concerné », « transaction de données couvertes », « personne couverte », « données personnelles sensibles » et « personne américaine » ont la signification qui leur est attribuée dans le titre 28 du Code of Federal Regulations (CFR), partie 202 (« Règles du département de la Justice des États-Unis relatives aux données sensibles en masse »).
  2. Sans porter atteinte aux autres obligations de la Société en vertu de l’Accord, dans la mesure où la Société reçoit, obtient ou traite de toute autre manière des données personnelles sensibles relatives à des personnes américaines dans le cadre de l’Accord, la Société s’engage à :
  3. ne pas transférer ou transférer ultérieurement ces données personnelles sensibles à une personne couverte ou un pays concerné,
    1. ni permettre à ceux-ci d’y avoir accès; ni
    2. à aucun sous-traitant, société affiliée ou tiers, sauf si des protections contractuelles équivalentes à celles prévues dans la présente clause sont en place;
  4. ne pas s’engager dans toute autre activité ou conduite qui entraînerait une violation des Règles du département de la Justice des États-Unis relatives aux données sensibles en masse par Expedia ou la Société; et
  5. signaler rapidement à Expedia toute violation connue ou présumée de la présente clause.
  6. La Société confirme que, aux fins des présentes Exigences, elle se conforme aux dispositions du titre 28 du CFR, partie 202, ainsi qu’à toute autre interdiction, restriction ou disposition applicable aux données soumises aux présentes Exigences. La Société s’engage à certifier sa conformité aux dispositions du titre 28 du CFR, partie 202, à Expedia, sur demande raisonnable. La Société s’engage à ne pas contourner, enfreindre ou tenter d’enfreindre les interdictions énoncées dans le décret n° 14117 ou dans le titre 28 du CFR, partie 202.

1.10 DURÉE ET RÉSILIATION.:

  1. La présente Entente entre les responsables du traitement restera pleinement en vigueur tant que l’Accord restera en vigueur.
  2. Toute disposition de la présente Entente entre les responsables du traitement qui, expressément ou implicitement, devrait entrer en vigueur ou rester en vigueur à compter de la résiliation de l’Entente afin de protéger les Données personnelles du responsable du traitement restera pleinement en vigueur.
ANNEXE I – APERÇU DU TRAITEMENT DES CCT
MODULE UN : de responsable du traitement à responsable du traitement (de vous à nous)
A. LISTE DES PARTIES

Exportateur(s) de données :

Partie

La ou les parties désignées par les termes « vous », Membre du programme TAAP ou l’équivalent

Adresse

Telle qu’indiquée dans l’Accord

Nom, poste et coordonnées de la personne-ressource pour toutes les parties d’Expedia Group

Gestionnaire de compte utilisant l’adresse courriel communiquée à la personne-ressource d’Expedia de temps à autre

Activités relatives aux données transférées dans le cadre des CCT

 

Réservations effectuées par l’intermédiaire du site Web TAAP mises à votre disposition par nous conformément à l’Accord

Rôle

Responsable du traitement

Importateur(s) de données:

Partie

Les parties non membres de l’UE désignées par les termes « nous » ou « Expedia » dans l’Accord

Adresse

Telle qu’indiquée dans l’Accord

Nom, poste et coordonnées de la personne-ressource

Gestionnaire de compte utilisant l’adresse courriel communiquée à la personne-ressource du Membre TAAP de temps à autre

Activités relatives aux données transférées en vertu des présentes clauses

Réservations effectuées par l’intermédiaire du site Web TAAP mises à votre disposition par nous conformément à l’Accord

Rôle

Responsable du traitement

 

B. DESCRIPTION DU TRANSFERT

 

Catégories de sujets relatifs aux données

Membres TAAP et leurs Utilisateurs secondaires

Catégories de données à caractère personnel

Agence hôte/Gestion de compte : 

Données d’identification :

  • nom de marque de l’agence
  • type d’accréditation de voyage (IATA/ARC/CLIA/True ID/Autre) et numéro
  • numéro d’entreprise enregistrée

Coordonnées :

  • adresse URL du site Web de l’agence (requise au Canada et en Italie; optionnelle ailleurs)
  • adresse (rue, ville, État/province, code postal, pays)
  • numéro de téléphone de l’agence
  • numéro de télécopieur (requis uniquement au Japon)

Données financières :

  • nom figurant sur le compte bancaire
  • numéro de compte bancaire
  • renseignements bancaires
  • renseignements de la carte de paiement
  • numéro d’identification fiscale

Autres renseignements (demandés par le Membre TAAP et convenus avec lui, y compris, sans s’y limiter, les données personnelles requises en relation avec ce qui suit) :

  • rapports, surveillance et analyses (y compris les données relatives à la commission et à la réservation)
  • authentification unique, programmes de fidélité

Agents individuels/Utilisateurs secondaires : 

Données d’identification :

  • prénom et nom de famille de l’agent
  • nom de marque de l’agence (l’agence de l’agent, le cas échéant)
  • nom de l’agence hôte (l’agence avec laquelle l’agent est affilié)
  • nom de marque de l’agence
  • type d’accréditation de voyage (IATA/ARC/CLIA/True ID/Autre) et numéro
  • numéro d’entreprise enregistrée

Coordonnées :

  • adresse (rue, ville, État/province, code postal, pays)
  • numéro de téléphone de l’agence

Renseignement sur les voyages : historique des réservations et préférences de voyage

Autres renseignements (demandés par le Membre TAAP et convenus avec lui, y compris, sans s’y limiter, les données personnelles requises en relation avec ce qui suit) :

  • rapports, surveillance et analyses (y compris les données relatives à la commission et à la réservation)
  • authentification unique, programmes de fidélité

Données sensibles

Aucune, à moins qu’elles ne soient fournies volontairement par une personne pour répondre à ses besoins d’accessibilité lors de ses voyages.

Fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue)

De manière continue ou ponctuelle selon les besoins de l’entreprise du Membre TAAP

Nature du traitement

Toutes les opérations de traitement nécessaires pour parvenir aux fins énoncées ci-dessous

Fin(s) du transfert de données et traitement ultérieur

Fins permises, telles que définies dans l’Accord

Durée de conservation des données personnelles ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée

Conformément à la politique de conservation des données d’Expedia Group, dans la mesure où des données personnelles sont conservées après la résiliation de l’Accord à des fins de sauvegarde ou pour des raisons juridiques, Expedia continuera à protéger ces données personnelles conformément à l’Accord

Pour les transferts vers des préposés (ou sous-traitants), précisez également l’objet, la nature et la durée du traitement

https://support.ean.com/hc/en-us/articles/360000986389-EAN-Data-Services-Vendor-List, comme mise à jour de temps à autre

Catégories de sujets relatifs aux données

Clients

Catégories de données personnelles

Données d’identification :

  • nom(s) et prénom(s)
  • programme de fidélité et numéro (vols)
  • numéro TSA (vols)

Coordonnées :

  • adresse courriel
  • numéros de téléphone (fixe et cellulaire)
  • date de naissance (pour les vols)
  • nationalité (du passeport)

Renseignements financiers :

  • renseignements de la carte de paiement
  • numéro d’identification fiscale (points de vente au Brésil uniquement)

Données sensibles

Aucune, à moins qu’elles ne soient fournies volontairement par une personne pour répondre à ses besoins d’accessibilité lors de ses voyages.

Fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue)

De manière continue ou ponctuelle selon les besoins de l’entreprise du Membre TAAP

Nature du traitement

Toutes les opérations de traitement nécessaires pour parvenir aux fins énoncées ci-dessous

Fin(s) du transfert de données et traitement ultérieur

Fins permises, telles que définies dans l’Accord

Durée de conservation des données personnelles ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée

Conformément à la politique de conservation des données d’Expedia Group, dans la mesure où des données personnelles sont conservées après la résiliation de l’Accord à des fins de sauvegarde ou pour des raisons juridiques, Expedia continuera à protéger ces données personnelles conformément à l’Accord

Pour les transferts vers des préposés (ou sous-traitants), précisez également l’objet, la nature et la durée du traitement

https://support.ean.com/hc/en-us/articles/360000986389-EAN-Data-Services-Vendor-List, comme mise à jour de temps à autre

 

C. AUTORITÉ DE SURVEILLANCE COMPÉTENTE

Déterminez la ou les autorité(s) de surveillance compétente(s) conformément à la clause 13 des CCT

Autorité de protection des données de l’Irlande

 

MODULE UN : entre les responsables du traitement (de nous à vous)

A. LISTE DES PARTIES

Exportateur(s) de données : 

La ou les parties désignées comme importateurs de données dans le module un (1) (de vous à nous) ci-dessus. Consultez les détails ci-dessus.

 

Importateur(s) de données :

La ou les parties désignées comme exportateur(s) de données dans le module un (1) (de vous à nous) ci-dessus. Consultez les détails ci-dessus.

B. DESCRIPTION DES TRANSFERTS
  • Catégories de sujets relatifs aux données
  • Catégories de données personnelles
  • Données sensibles

Selon le module un (1)

  • Fréquence de transfert
  • Nature du traitement
  • Fins

Selon le module un (1)

Durée de conservation des données personnelles ou, si cela n’est pas possible, les critères utilisés pour déterminer cette durée

Conformément à la politique de conservation du Membre TAAP

Pour les transferts vers des préposés (ou sous-traitants), précisez également l’objet, la nature et la durée du traitement

S.O.

 

C. AUTORITÉ DE SURVEILLANCE COMPÉTENTE

Selon le module un (1)

 

ANNEXE II – MESURES TECHNIQUES ET ORGANISATIONNELLES 

Les mesures techniques et organisationnelles qui s’appliquent aux fins du module un (1) sont décrites ci-dessous.

OBJET

MESURE

Mesures de pseudonymisation et de chiffrement des données personnelles

  • Expedia Group prend en charge les protocoles de chiffrement standard de l’industrie pour la transmission de données, conformément à la Norme de classification et de traitement des renseignements (Information Classification and Handling Standard) d’Expedia Group.
  • Les exigences en matière de traitement des données sont fondées sur la catégorie de données. En fonction des données traitées, différentes exigences de sécurité sont mises en place au sein d’Expedia Group. Par exemple, les données de cartes de crédit sont considérées comme hautement sensibles et doivent être chiffrées tant lors de leur transmission que lorsqu’elles sont inactives.
  • Les données personnelles du client (et de ses employé(e)s) sont pseudonymisées (et anonymisées) par Expedia Group lorsque cela est possible et conformément à la Norme de classification et de traitement des renseignements d’EG.
  • Les numéros de carte de crédit sont segmentés en jetons/pseudonymisés pour éliminer le traitement des numéros de carte de crédit en clair.
  • Expedia Group utilise des connexions cryptées au moyen de VPN, SSL, etc. et utilise des mécanismes d’authentification multifactorielle.

Mesures pour assurer la confidentialité, l’intégrité, la disponibilité et la résilience continues des systèmes et services de traitement

  • Expedia Group assume les responsabilités et les procédures relatives à la gestion et au fonctionnement de toutes les installations de traitement de l’information afin d’assurer un traitement intégral, valide et exact des données.
  • La surveillance des principales installations de traitement est en place, avec un solide logiciel SOX où les contrôles sur le traitement et l’intégrité des données sont testés et validés en permanence.
  • La tenue de journaux et la surveillance selon les normes de l’industrie sont effectuées sur les systèmes d’Expedia Group afin d’assurer une protection contre tout accès, toute modification et/ou toute suppression illicites.
  • Expedia Group assure la résilience du service grâce à une architecture redondante, à la réplication des données et à la vérification de leur intégrité.

Mesures visant à assurer la capacité de rétablir la disponibilité des données personnelles et l’accès à celles-ci en temps utile en cas d’incident physique ou technique

  • Les systèmes d’Expedia Group sont spécialement conçus pour empêcher ou prévenir les attaques courantes et garantir leur disponibilité pour leur fonctionnement, leur surveillance et leur maintenance. À cette fin, Expedia Group effectue régulièrement des essais simulés et des audits afin de confirmer que ses systèmes maintiennent leur disponibilité.
  • Les serveurs sont dotés de correctifs conformes à la politique rigoureuse d’Expedia Group en matière de correctifs et protégés par des programmes antivirus/anti-logiciel malveillant conformes aux normes de l’industrie. De plus, des évaluations de vulnérabilité, des tests approfondis et des examens du réseau sont effectués pour garantir que les systèmes d’Expedia Group sont maintenus.
  • Un système de surveillance de la disponibilité et de la fiabilité est en place afin de garantir que les sites d’Expedia demeurent en ligne, avec un minimum d’interruptions de service.
  • Expedia Group dispose d’un Plan de reprise après sinistre qui tient compte des situations d’urgence et des plans d’urgence afin de garantir la continuité des services à la clientèle en fonction de la gravité et qui est testé régulièrement pour en assurer la viabilité.

Procédures permettant de tester, d’analyser et d’évaluer régulièrement l’efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement

  • Les mesures techniques et organisationnelles prises par Expedia Group font l’objet d’un audit annuel réalisé par des évaluateurs externes et de tests internes rigoureux.
  • Expedia Group procède à des évaluations annuelles de la norme PCI en faisant appel à un évaluateur tiers et veille à ce que la norme soit respectée en permanence.
  • La fonction de test interne complète d’Expedia Group comprend des tests trimestriels de vulnérabilité, des tests d’intrusion internes et externes, des analyses et des examens du réseau, du système et du pare-feu. De plus, un service de vérification interne procède à des évaluations annuelles des risques afin de prioriser les vérifications opérationnelles.

Mesures d’identification et d’autorisation des utilisateurs Mesures de protection des données pendant la transmission Mesures de protection des données pendant le stockage

  • Les systèmes d’Expedia Group sont conformes aux pratiques exemplaires du secteur et appliquent des pratiques de communication, comme la déconnexion pour dépassement de temps, les protocoles de verrouillage et des contrôles rigoureux en matière de mots de passe et d’authentification.
  • Expedia Group maintient des exigences en matière de création et de supervision des comptes afin d’empêcher tout accès non autorisé ou toute utilisation abusive des renseignements d’Expedia Group et utilise, au besoin, les pratiques exemplaires de l’industrie, telles que le principe de privilège minimal, les identifiants uniques et l’authentification multifactorielle à des fins d’authentification renforcée.

Mesures pour assurer la sécurité physique des lieux de traitement des données personnelles

  • Un centre d’opérations de sécurité (Global Security Operations Center) assure une surveillance en tout temps et met en œuvre un plan officiel de réponse aux incidents, examiné et testé au moins une fois par an.
  • Un centre d’opérations de sécurité (Global Security Operations Center) assure une surveillance en tout temps et met en œuvre un plan officiel de réponse aux incidents, examiné et testé au moins une fois par an.
  • Chaque client d’Expedia Group reçoit son propre identifiant de client. Tous les ensembles de données du client correspondant sont stockés sous ce numéro d’identification et toutes les données du client sont séparées logiquement. En raison des droits d’administration et des structures de base de données, le client ne peut accéder qu’aux ensembles de données qui sont attribués à ce numéro d’utilisateur et aux centres de données/contrôles AWS.
  • Seules les personnes expressément autorisées par Expedia et ayant un « besoin de savoir » ont accès aux données personnelles. Des contrôles et une surveillance sont en place pour garantir l’accès selon le principe de privilège minimal et éviter les tentatives d’accès non autorisé au système.

Mesures pour garantir la tenue de journaux des événements

Expedia Group applique des exigences strictes en matière de journalisation et de surveillance afin de tenir compte de la personne responsable, de l’objet, du lieu, de la date, de la cible, de la source et du succès ou de l’échec de l’événement consigné.

Mesures pour garantir la configuration du système, y compris la configuration par défaut Mesures relatives à la gouvernance et à la gestion internes des technologies de l’information et de la sécurité informatique Mesures pour la certification/l’assurance des processus et des produits

  • Le Programme de sécurité de l’information d’Expedia Group (EG) est conforme aux cadres et normes du secteur. Il s’appuie sur son programme de gestion des risques pour garantir une sécurité robuste et intégrale. Expedia Group maintient des processus opérationnels sécurisés afin de garantir la sécurité, la disponibilité, l’intégrité et la confidentialité de l’environnement et des données des clients.
  • Les normes de construction d’Expedia Group n’autorisent que les composants, les services et les protocoles du système qui répondent à une exigence commerciale. Les systèmes d’exploitation, les bases de données et les applications prêtes à l’emploi doivent être consultables pour satisfaire aux exigences légales et réglementaires en matière de vérification, doivent prendre en charge les outils de gestion de la configuration ou déployer une gestion de la configuration qui applique correctement les contrôles de sécurité, doivent permettre le chiffrement de tous les accès administratifs à distance à un système et doivent afficher l’utilisation correcte du système. Le système doit être surveillé de façon à détecter les utilisations incorrectes et autres activités illicites. Il n’y a pas d’attente en matière de confidentialité lors de l’utilisation du système.
  • Expedia Group adopte une stratégie de sécurité à plusieurs niveaux et de défense en profondeur. Des capacités et des contrôles critiques sont en place dans toute l’entreprise (p. ex. anti-logiciels malveillants, coupe-feu d’applications Web, segmentation du réseau, prévention de la perte de données, etc.), utilisant un ensemble de politiques, d’opérations et de technologies pour garantir que l’environnement est surveillé par une organisation centrale de sécurité et que les alertes sont traitées de manière appropriée.
  • Les systèmes d’Expedia sont hébergés sur Amazon Web Services (AWS) et dans des centres de données qui fournissent à Expedia Group des rapports SOC 2 annuels afin de garantir leur conformité.

Mesures pour assurer la minimisation des données Mesures pour assurer la qualité des données Mesures pour assurer une conservation limitée des données Mesures pour assurer la responsabilité

  • Minimisation : Expedia Group veille à ce que seule une quantité minimale de données soit recueillie, traitée et stockée. Nous n’utilisons que des formats identifiables lorsque cela est nécessaire.
  • Conservation : la politique de conservation des données d’Expedia Group définit différentes périodes de conservation et de sauvegarde en fonction de la catégorie de données, tenant compte notamment de toute obligation légale ou autre dérogation exigeant que ces données soient conservées jusqu’à l’expiration de certaines obligations légales, telles que les obligations fiscales et comptables.
  • Qualité : Expedia Group dispose d’un programme officiel de gestion de la qualité, le programme de gestion de l’expérience client. Nous cherchons constamment à améliorer l’environnement d’EG et à rationaliser les processus pour une plus grande efficacité, permettant ainsi d’offrir des services et des interactions cohérents et de haute qualité avec nos partenaires, nos clients et nos voyageurs.
  • Responsabilité : Expedia Group assure la surveillance de la responsabilité grâce à la mise en œuvre cohérente des politiques, des réglementations/cadres du secteur et des exigences légales en maintenant un programme de gouvernance officiel et un organisme juridique/de protection de la vie privée.

Mesures visant à permettre la portabilité des données et à garantir leur effacement

  • Expedia Group est directement responsable de garantir la conformité avec les lois sur la protection des données (y compris en ce qui concerne les demandes des personnes concernées). Expedia Group répond à toutes les demandes des personnes concernées, y compris celles relatives à l’accès, à la suppression et à la portabilité, conformément à la loi applicable en matière de protection des données.
  • La politique de conservation des données d’Expedia Group définit différentes périodes de conservation et de sauvegarde en fonction de la catégorie de données, tenant compte notamment de toute obligation légale ou autre dérogation exigeant que ces données soient conservées jusqu’à l’expiration de certaines obligations légales, telles que les obligations fiscales et comptables. Dans le cas où Expedia Group n’est pas en mesure de détruire les données personnelles, Expedia Group continuera à appliquer les protections pertinentes de l’Accord entre les parties régissant ces données personnelles et mettra fin à tout traitement ultérieur.

Pour les transferts à des préposés (ou sous-traitants) du traitement des données, décrire également les mesures techniques et organisationnelles particulières que le préposé (sous-traitant) doit prendre pour être à même de fournir un soutien au responsable du traitement et, pour les transferts d’un préposé à un sous-traitant, à l’exportateur de données.

  • Expedia Group fait preuve de diligence raisonnable en ce qui concerne les pratiques de ses fournisseurs en matière de sécurité de l’information et exige de ces derniers qu’ils respectent des exigences de sécurité exhaustives, notamment l’obligation de mettre en place et de maintenir des mesures techniques et organisationnelles appropriées.
  • Expedia Group a formalisé un processus détaillé d’évaluation de l’impact sur la sécurité (Security Impact Assessment − SIA). Tous les nouveaux fournisseurs ayant accès aux données font l’objet d’une vérification avant de se voir confier un contrat et, le cas échéant, pendant la durée du contrat.  
  • De plus, Expedia Group impose également à tous ses fournisseurs des conditions strictes en matière de traitement des données, garantissant ainsi le respect des obligations par l’ensemble de leurs sous-traitants.

 

Addenda sur le transfert international de données aux clauses contractuelles types de la Commission européenne (Addenda)

Cet Addenda a été publié par le Commissaire à l’information pour les Parties effectuant des Transferts restreints. Le Commissaire à l’information considère qu’il offre des mesures de sécurité appropriées pour les Transferts restreints lorsqu’ils sont conclus sous la forme d’un contrat juridiquement contraignant.

Partie 1 Tableaux

Tableau 1 : parties

Date de début

La date des CCT auxquelles celles-ci sont jointes (CCT de l’UE).

Parties

Personne-ressource principale

Exportateur : conformément aux CCT de l’UE.

 

Importateur : conformément aux CCT de l’UE.

 

Tableau 2 : CCT, modules et clauses sélectionnés

Addenda aux CCT de l’UE

La version des CCT approuvées de l’UE à laquelle cet addenda est annexé.

Tableau 3 : renseignements en annexes

Les « Renseignements en annexe » désignent les renseignements qui doivent être fournis pour les modules sélectionnés, comme indiqué dans l’annexe des CCT approuvées de l’UE (autres que les Parties), et qui, pour le présent Addenda, sont énoncés dans :

Annexe IA : Liste des Parties

Annexe IB : description du transfert

Annexe IB : Description des transferts

Conformément aux CCT de l’UE

Tableau 4 : Résiliation de cet Addenda lorsque l’Addenda approuvé change

Parties pouvant résilier cet Addenda comme indiqué à l’article 19

Aucune des parties

Part 2: clauses obligatoires

Clauses obligatoires de l’Addenda approuvé, étant le modèle d’Addenda B.1.0 émis par l’ICO et déposé devant le Parlement conformément à l’article 119A du Data Protection Act 2018 le 2 février 2022, tel qu’il est révisé en vertu de l’article 18 de ces Clauses obligatoires.

 

Dernière mise à jour : 1er janvier 2026