Addenda mondial sur le traitement modulaire des données par CoStar

Dernière mise à jour : 15 janvier 2026

En savoir plus sur notre ATD mondial. Voir notre aperçu du fonctionnement de nos conditions de traitement modulaire des données.

Cet addenda sur le traitement des données (cet « ATD »), y compris les clauses contractuelles types et tout autre avenant de transfert (collectivement, les « Accords de transfert »), comme applicable et incorporé par référence, fait partie et complète l’accord de service existant entre CoStar Realty Information, Inc. et ses sociétés affiliées (« CoStar » ou la « Société ») d’une part et la contrepartie identifiée dans l’accord et ses sociétés affiliées (le « Client ») d’autre part, y compris tout avenant ou annexe à l’accord (collectivement, « l’Accord »). Cet ATD définit les obligations des parties en matière de protection des données chaque fois que des renseignements personnels sont traitées en lien avec les services, y compris (a) lors des échanges entre responsables du traitement et (b) lorsque l’annexe A désigne expressément CoStar en tant que sous-traitant de reseignements personnels du client désigné. Le présent ATD s’applique automatiquement à chaque fonctionnalité et à chaque produit identifié dans l’Annexe A qui est acheté(e) ou activé(e) par le Client ; les sections concernant les produits non achetés ou non activés ne s’appliquent pas. Dans la mesure où vous utilisez des Services en l’absence de tout accord hors ligne, vous serez réputé avoir accepté le présent ATD et les Accords de Transfert en vigueur dès l’acceptation ou la signature des conditions d’utilisation applicables.

Les termes commençant par une majuscule ont la signification qui leur est donnée dans la Section 1. CoStar et le Client sont désignés individuellement en tant que « Partie », et ensemble en tant que les « Parties ». En cas de conflit entre le présent ATD et l’Accord, cet ATD prévaut dans la mesure où le conflit concerne le traitement des renseignements personnels ou des transferts de données internationaux.

1. DÉFINITIONS

« Évaluation de l’impact algorithmique » : une évaluation conçue pour identifier et atténuer les impacts potentiels (y compris sur l’exactitude, le biais, l’équité, la sécurité, la confidentialité et les risques pour la sécurité) découlant de l’utilisation de Systèmes d’IA ou d’analytiques avancées en lien avec les Services. 

« Avenant approuvé » ou « Avenant pour le Royaume-Uni » : le modèle d’avenant émis par le bureau du Commissaire à l’information du Royaume-Uni en vertu de l’Article 119A de la Loi sur la protection des données de 2018 (en vigueur à compter du 21 mars 2022), tel que modifié occasionnellement. 

« Pays adéquat » concerne tout pays ou territoire qui, selon la Commission européenne, offre un niveau adéquat de protection des renseignements personels. « Pays adéquat selon le Royaume-Uni » : un pays ou un territoire que le gouvernement du Royaume-Uni a déterminé comme offrant une protection adéquate des renseignements personnels aux fins de transfert depuis le Royaume-Uni. 

« Loi applicable en matière de protection des données » : toute loi et réglementation supranationale, nationale, étatique ou locale applicable, telle que révisée occasionnellement, relative à la protection des données, la confidentialité et la sécurité, qui s’applique aux Parties en ce qui concerne le traitement des renseignements personnels en vertu du présent ATD, y compris, dans la mesure où elles sont applicables, (a) les lois sur la protection des données de l’UE/de l’EEE/du Royaume-Uni/de la Suisse, notamment le RGPD, le RGPD britannique et le UK Data Protection Act 2018 (tel que modifié par le UK Data Use and Access Act 2025), la directive vie privée et communications électroniques et les mises en œuvre nationales, et la loi fédérale sur la protection des données de la Suisse ; et (b) les Lois sur la protection des données en dehors de l’UE, y compris, mais sans s’y limiter : le California Consumer Privacy Act modifié par le California Privacy Rights Act of 2020 (« CCPA »), le Colorado Privacy Act (« CPA »), le Connecticut Data Privacy Act (« CTDPA »), le Virginia Consumer Data Protection Act (« VCDPA »), le Utah Consumer Privacy Act (« UCPA »), le Texas Data Privacy and Security Act (« TDPSA »), l’Oregon Consumer Privacy Act (« OCPA »), le Delaware Personal Data Privacy Act (« DPDPA »), le New Jersey Data Privacy Act (« NJDPA »), le Tennessee Information Protection Act (« TIPA »), le Minnesota Consumer Data Privacy Act (« MCDPA »), le Maryland Online Data Privacy Act (« MODPA »), le Florida Digital Bill of Rights (« FDBR »), le Washington My Health My Data Act (« MHMD »), la Loi sur la protection des renseignements personnels et les documents électroniques du Canada (« LPRPDE »), la Loi 25 du Québec, et la Lei Geral de Proteção de Dadoss du Brésil (« LGPD »), dans chaque cas tel que modifié(e) ou remplacé(e). 

• « EEE » désigne l’Espace économique européen (l’Union européenne, l’Islande, le Liechtenstein et la Norvège).
• « UE » désigne l’Union européenne.
• « Loi européenne sur la protection des données » désigne le Règlement général sur la protection des données (« RGPD »), la Directive vie privée et communications électroniques (2002/58/CE) et ses transpositions nationales, ainsi que les lois connexes des États membres.
• « Lois sur la protection des données hors UE » a la signification indiquée dans la section « Loi applicable en matière de protection des données » ci-dessus.
• « Suisse » désigne la Confédération suisse.
• « Loi suisse sur la protection des données » désigne la loi fédérale suisse sur la protection des données et les ordonnances connexes.
• « Royaume-Uni » désigne le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord.
• « UK Data Protection Law » désigne le UK GDPR et la loi de 2018 sur la protection des données, telle que modifiée par la loi britannique de 2025 sur les données (utilisation et accès), ainsi que les réglementations connexes.

« Systèmes d’IA » « Intelligence artificielle » ou « IA » désigne un système automatisé conçu pour fonctionner avec différents niveaux d’autonomie, pouvant faire preuve d’adaptabilité après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu’il reçoit, comment générer des résultats tels que des prévisions, du contenu, des recommandations ou des décisions susceptibles d’influencer des environnements physiques ou virtuels. 

« Rôles dans la loi sur l’IA » (« Fournisseur », « Déployeur »/« Utilisateur », « Importateur », « Distributeur », « IA à usage général (GPAI) », « GPAI systémique », « Système d’IA à haut risque », « Système d’IA à faible risque ») ont les significations qui leur sont données dans la loi européenne sur l’intelligence artificielle, telles qu’applicables aux Services. 

Les termes « Entreprise », « Fournisseur de services » et « sous-traitant » ont la signification qui leur est donnée dans la CCPA. 

« Renseignements personnels contrôlés par l’entreprise » désigne les Renseignements Personnels que l’Entreprise décide de recueillir ou de traiter à ses propres fins (p. ex. données de compte, télémétrie de la plateforme, gestion des répertoires/listes, prévention de la fraude, analytiques et publicité/mesures, lorsque cela est permis). 

« Évaluation de la conformité » désigne le processus requis en vertu de la législation européenne applicable (y compris la loi européenne sur l’IA) afin de déterminer si un système d’IA répond à des exigences spécifiées en matière de sécurité, de qualité et de performance avant d’être mis à disposition, importé ou déployé dans l’UE. 

Les termes « responsable du traitement », « sous-traitant », « responsable conjoint du traitement », « violation de données à caractère personnel » et « traiter » (et « traitement ») ont la signification qui leur est donnée dans le RGPD (et incluent les termes équivalents dans d’autres lois applicables en matière de protection des données). Lorsque le CCPA (California Consumer Privacy Act) est applicable : « Responsable du traitement » inclut « Entreprise » ; « Sous-traitant » inclut « Fournisseur de services »/« Fournisseur ».

« Renseignements personnels du Responsable du traitement » : tout Rensegnement personnel qu’une Partie fournit ou met à disposition de l’autre Partie en vertu de l’Accord, dans le cadre de la fourniture ou de l’utilisation par cette Partie des Services en tant que Responsable du traitement. 

« Renseignements personnels du client » désigne les données personnelles fournies par le client à la société afin que celle-ci les traite conformément aux instructions documentées du client, lorsque le contrat ou une annexe identifie la société comme sous-traitant. 

« Cadre de protection des données » ou « CPD » : désigne, selon le cas, le Cadre de protection des données UE–États-Unis, l’Extension britannique au Cadre de protection des données UE–États-Unis, et/ou le Cadre de protection des données Suisse–États-Unis. 

« Personne concernée » désigne une personne physique identifiée ou identifiable dont les renseignements personnels sont traités dans le cadre ou en relation avec l’Accord (et comprend des termes équivalents, tels que « consommateur », en vertu d’autres lois applicables en matière de protection des données). 

« Loi sur l’IA de l’UE » désigne le règlement (UE) 2023/206 du Parlement européen et du Conseil du 20 juillet 2023 fixant des règles harmonisées en matière d’intelligence artificielle (loi sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union, visant à assurer le développement, le déploiement et l’utilisation sûrs et licites de l’intelligence artificielle au sein de l’Union européenne. 

« Renseignements personnels » désigne les données ou informations relatives à une personne identifiée ou identifiable (et inclut les termes équivalents, tels que « informations personnelles », en vertu d’autres lois applicables en matière de protection des données. « Informations personnelles »). 

« Services » désigne les services décrits dans l’Accord, y compris l’accès et l’utilisation des produits ou plateformes de la Société et toute assistance connexe. 

« Partager », « partagé » ou « partage » signifie la divulgation de renseignement personnels à une autre partie à des fins de publicité comportementale ou ciblée dans différents contextes, que ce soit ou non en échange d’une contrepartie financière ou autre. 

« Clauses contractuelles types » ou « SCC » désigne, selon le cas : (a) les clauses contractuelles types de la Commission européenne pour les transferts internationaux de renseignements personnels (actuellement la décision d’exécution (UE) 2021/914 de la Commission), y compris, en fonction des rôles des parties, le module Un (responsable du traitement-responsable du traitement), le module deux (responsable du traitement-sous-traitant) et/ou le module trois (sous-traitant-sous-traitant) ; (b) pour les transferts au Royaume-Uni, l’addendum approuvé aux SCC ; et (c) pour les transferts en Suisse, l’addendum spécifique à la Suisse nécessaire à l’utilisation des SCC, dans chaque cas tel que mis à jour ou remplacé. 

2. RÔLES ET CHAMP D’APPLICATION

2.1 Application. Le présent ATD régit le traitement des renseignements personnels par les Parties dans le cadre des services, dans la mesure où ce traitement est soumis à la Loi applicable en matière de protection des données. Chaque Partie doit à tout moment se conformer à toutes les exigences applicables des Lois applicables en matière de protection des données. 

2.2 Rôles par défaut (Responsable du traitement). Sauf indication expresse dans l’Annexe A, chaque Partie agit en tant que Responsable du traitement indépendant pour les renseignements personnels qu’elle traite dans le cadre des services, et la section 3 (Responsable du traitement/Responsable du traitement) s’applique. 

2.3 Conditions relatives au Sous-traitant. Les conditions de la relation entre Responsable du traitement et Sous-traitant de la Section 4 s’appliquent automatiquement et uniquement aux ensembles de données ou fonctionnalités spécifiques de tout produit identifié dans l’Annexe A comme faisant l’objet d’un traitement par le Sous-traitant (y compris lorsque le Client agit pour le compte d’un Responsable du traitement tiers et désigne CoStar en tant que Sous-traitant ultérieur). Ces conditions s’appliqueront lorsque le Client achète ou active un produit ou une fonctionnalité applicable. CoStar traitera les renseignements personnels du Client uniquement (a) selon les instructions documentées du Client ; et (b) pour les finalités et la durée applicables à ce produit ou cette fonctionnalité. Pour tout autre traitement, les Parties sont des Responsables du traitement indépendants, et la Section 3 s’applique. 

2.4 Produits non achetés ou non activés. Les sections relatives aux produits ou fonctionnalités que le Client n’achète pas ou n’active pas ne s’appliqueront pas. 

2.5 Conflits. En cas d’incohérence concernant les rôles pour un produit ou un ensemble de données, l’Annexe A contrôle ce produit ou cet ensemble de données. Dans tous les cas, les transferts internationaux sont régis en premier lieu par la Section 3.4 et par tout Accord de transfert applicable. Les conflits entre le présent ATD et tout Accord de transfert applicable seront régis par l’Accord de transfert. 

3. MODULE RESPONSABLE DU TRAITEMENT

3.1 Responsables du traitement indépendants. Aux fins de la Loi applicable en matière de protection des données, chaque Partie est un Responsable du traitement indépendant des renseignements personnels du Responsable du traitement qu’elle collecte ou Traite autrement en vertu de l’Accord. Chaque Partie est individuellement et séparément responsable de respecter les obligations qui lui incombent en tant que Responsable du traitement en vertu de la Loi applicable en matière de protection des données. Les Parties conviennent qu’elles ne sont pas des Responsables conjoints du traitement en ce qui concerne les renseignements personnels du Responsable du traitement. Chaque Partie déterminera individuellement les finalités et les moyens de son Traitement des renseignements personnels du Responsable du traitement. Si les Parties conviennent ultérieurement qu’elles agissent en tant que Responsables conjoints du traitement pour une activité particulière, elles documenteront par écrit un accord de responsabilité conjointe distinct. 

3.2 Obligations des Parties. Chaque Partie déclare et garantit : (a) qu’elle a le droit et l’autorité nécessaires pour conclure le présent ATD et la capacité de s’acquitter de ses obligations dans le cadre de celui-ci ; (b) que sa conclusion et son exécution dans le cadre du présent ATD et de l’Accord n’enfreindront aucun accord auquel elle est partie ; et (c) qu’elle a fourni toutes les informations requises aux Personnes concernées, y compris, le cas échéant, que les Données personnelles du Responsable du traitement peuvent être transmises à des tiers aux fins de l’Accord et qu’elle dispose d’une base légale pour un tel Traitement. 

1. 3.2.1 Sans limiter ce qui précède, chaque Partie maintiendra une politique de confidentialité, accessible au public sur son site web, qui est conforme aux Lois applicables en matière de protection des données et qui décrit au minimum son Traitement en tant que Responsable du traitement, ainsi que les catégories de renseignements personnels traités, les finalités de ce traitement et les droits disponibles pour les Personnes concernées.
2. 3.2.2 Chaque Partie notifiera rapidement l’autre si elle estime qu’une demande ou une proposition d’échange de renseignements personnels entre les Parties enfreindrait la Loi applicable en matière de protection des données.
3. 3.2.3 Sous réserve du présent ATD, chaque Partie, agissant en tant que Responsable du traitement, peut traiter les renseignements personnels du Responsable du traitement conformément à l’Accord et aux fins de celui-ci, et peut autoriser la divulgation des renseignements personnels du Responsable du traitement décrites dans l’Accord ou autrement dans les présentes pour les Services du Responsable du traitement applicables auxquels le Client souscrit aux fins décrites dans la politique de confidentialité de cette Partie (la « Finalité autorisée »). Nonobstant ce qui précède, les données obtenues par une Partie indépendamment de l’utilisation par le Client des Services qui sont les mêmes ou similaires aux renseignements personnels du Responsable du traitement décrites dans les présentes ne seront pas limitées par le présent ATD, par un accord de licence ou par les conditions générales de ces Services. Pour éviter toute ambiguïté, toute Partie peut utiliser tous les renseignements personnels du Responsable du traitement collectées sur une base agrégée ou dépersonnalisée, comme indiqué dans la politique de confidentialité de ces parties, à condition que cette utilisation ne révèle pas la Société, le Client ou les Personnes concernées, directement ou indirectement.
4. 3.2.4 Les types de renseignements personnels du Responsable du traitement peuvent inclure, mais ne sont pas nécessairement limités à, le courriel, les identifiants de connexion et le nom d’utilisateur, les identifiants d’appareil, et d’autres identifiants en ligne.
5. 3.2.5 Les Personnes concernées dont les données sont contenues dans les renseignements personnels du Responsable du traitement peuvent inclure, mais ne sont pas nécessairement limitées aux utilisateurs finaux des Services et/ou, dans la mesure permise par la Loi applicable en matière de protection des données, les renseignements personnels des employés, des consultants ou d’autres relations d’une Partie. 

3.3 Sécurité et confidentialité. Chaque Partie doit mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées visant à protéger les renseignements personnels du Responsable du traitement contre tout accès, perte, divulgation, altération ou destruction non autorisés ou illicites. Si une Partie subit une Violation de Données personnelles, telle que définie par la Loi applicable en matière de protection des données, qui est connue ou raisonnablement suspectée d’affecter les Données personnelles du Responsable du traitement, cette Partie doit notifier l’autre dans les meilleurs délais (et en tout état de cause au plus tard 72 heures après confirmation) d’une Violation des Données personnelles susceptible d’affecter les Données personnelles du Responsable du traitement, sous réserve de toute restriction légale sur la divulgation. Dans la mesure du possible, la Partie notifiante communiquera les projets d’avis destinés aux régulateurs et/ou aux personnes physiques faisant référence à l’autre Partie, pour recueillir ses observations de bonne foi avant l’envoi. Les Parties s’engagent à coopérer de bonne foi pour convenir et prendre les mesures nécessaires afin d’atténuer ou de remédier aux effets de la Violation des Données personnelles et de prévenir toute récurrence. Aucune disposition des présentes n’interdit à une Partie de notifier une Violation des Données personnelles aux autorités réglementaires comme cela peut être requis par la Loi applicable en matière de protection des données avant de notifier l’autre Partie, à condition que la Partie notifiante informe l’autre Partie dans les meilleurs délais. Chaque Partie s’assurera que tous les membres de son personnel qui traitent des Données personnelles du Responsable du traitement sont soumis à une obligation de confidentialité concernant lesdites données. 

3.4 Transferts de Données personnelles du Responsable du traitement. Lorsque les Parties échangent des Données personnelles du Responsable du traitement nécessitant des protections de transfert en vertu de la Loi applicable en matière de protection des données, les Parties concluront des Accords de transfert applicables nécessaires pour garantir la conformité des transferts de Données personnelles. Lorsque les Parties échangent des Données personnelles soumises à la Loi de l’UE sur la protection des données, à la Loi suisse sur la protection des données et/ou à la Loi britannique sur la protection des données, les Parties conviennent par les présentes de conclure le Module Un des CCT intégrées à l’Annexe 1, à moins que l’un des cas suivants ne s’applique : (a) la Partie recevant les Données personnelles du Responsable du traitement se trouve dans un Pays adéquat (ou un Pays adéquat selon le Royaume-Uni), y compris par le biais d’une auto-certification à un Cadre de protection des données applicable si la Partie destinataire se trouve aux États-Unis ; (b) une autre garantie, telle que des règles d’entreprise contraignantes, s’applique ; ou (c) une dérogation est appropriée. 

3.5 Demandes des Personnes concernées. Chaque Partie traitera ses propres demandes émanant des Personnes concernées exerçant leurs droits. En ce qui concerne les objections ou les demandes de retrait (opt-outs) concernant les Données personnelles partagées, les Parties coopéreront de manière raisonnable pour honorer de telles demandes. 

3.6 Coopération en matière de conformité. Les parties conviennent de coopérer et de s’entraider de manière raisonnable dans le cadre de toute consultation, enquête, plainte ou investigation réglementaire concernant les données personnelles du responsable du traitement partagées entre les parties. Cela inclut une coopération raisonnable dans la mise en œuvre des mesures de transparence pour se conformer à la Loi sur l’IA de l’UE pour les Systèmes d’IA à risque limité, le cas échéant. 

3.7 Conservation des données. Les Parties s’engagent à respecter leurs obligations concernant leurs durées de conservation des données respectives, telles qu’énoncées dans leurs politiques de confidentialité respectives et définies dans les calendriers internes de suppression et de conservation de chaque Partie. La suppression des supports de sauvegarde se fera dans le cadre du cycle de rotation des sauvegardes et des tests de restauration, à moins qu’une suppression anticipée ne soit exigée par la loi. 

4. MODULE RESPONSABLE DU TRAITEMENT/SOUS-TRAITANT 

4.1 Application. Les conditions de la relation entre Responsable du traitement et Sous-traitant de cette Section 4 s’appliquent uniquement aux ensembles de données ou aux fonctionnalités de tout produit identifié dans l’Annexe A comme faisant l’objet d’un Traitement par le Sous-traitant (y compris lorsque le Client agit pour le compte d’un Responsable du traitement tiers et désigne CoStar en tant que Sous-traitant ultérieur). Pour tout autre Traitement, la Section 3 s’applique.

4.2 Rôle des Parties 

1. 4.2.1 Traitement conformément à la Loi applicable en matière de protection des données. Pour les ensembles de données ou les fonctionnalités désignés comme traitement par le sous-traitant dans l’annexe A, le client est le responsable du traitement (ou agit pour le compte d’un responsable du traitement) et CoStar est le sous-traitant. Chaque Partie se conformera à la Loi applicable en matière de protection des données pour son rôle. Le Client reste seul responsable de l’exactitude, de la qualité et de la légalité des renseignements personnels le concernant, ainsi que de l’existence d’une base légale et des notifications et autorisations requises.
2. 4.2.2 Systèmes d’IA à risque limité. Si la Société traite des renseignements personnels en utilisant des Systèmes d’IA à risque limité, tels que définis par la Loi sur l’IA de l’UE, la Société doit garantir le respect de toutes les obligations de transparence applicables, notamment en fournissant aux Personnes concernées des informations claires sur l’utilisation de ces Systèmes d’IA et en réalisant des évaluations de l’impact algorithmique pour identifier et atténuer les risques potentiels associés à ces systèmes. 

4.3 Obligations des parties

1. 4.3.1 Conditions générales de traitement. CoStar traitera les renseignements personnels du Client uniquement sur la base des instructions documentées du Client, qui consistent en (a) l’Accord et le présent ATD ; (ii) les désignations des produits/données de l’Annexe A ; et (b) les configurations du Client et les instructions écrites faites par le biais des Services. CoStar informera rapidement le Client en cas d’impossibilité de se conformer à une instruction ou si, selon CoStar, une instruction enfreint la Loi applicable en matière de protection des données. Les Parties conviennent que l’Accord et l’ATD sont réputés être les seules instructions, si les Parties en conviennent autrement par écrit. CoStar informera le Client dans les plus brefs délais si, de l’avis de CoStar, les instructions du Client ne sont pas conformes à la Loi applicable en matière de protection des données. Le Client conserve le contrôle des renseignements personnels le concernant et reste responsable de ses obligations de conformité en vertu de Loi applicable en matière de protection des données, notamment de la fourniture de tout avis requis et de l’obtention de tout consentement requis, ainsi que des instructions de Traitement qu’il donne à CoStar.
2. 4.3.2 Détails du Traitement. L’objet, la durée, la nature et la finalité du traitement, les catégories de renseignements personnels et les types de Personnes concernées sont décrits dans l’Annexe A.
3. 4.3.3 Accord de mise en œuvre locale. Si et quand cela s’avère nécessaire pour se conformer aux lois, réglementations ou exigences commerciales locales dans un pays particulier, les Parties peuvent conclure un Avenant de mise en œuvre locale couvrant les exigences qui ne sont pas déjà abordées dans l’Accord ou dans le présent ATD.
4. 4.3.4 Sous-traitant aux États-Unis. Lorsque CoStar agit en tant que Sous-traitant en vertu des lois des États américains sur la protection de la vie privée applicables, CoStar ne vendra pas, ne partagera pas et n’utilisera pas les renseignements personnels du Client à d’autres fins que la fourniture des Services au Client, sauf dans la mesure où les lois des États américains sur la protection de la vie privée applicables l’autorisent. CoStar certifie qu’elle comprend et respectera ces restrictions.
5. 4.3.5 Sous-traitance ultérieure – Autorisation générale. Le Client donne une autorisation générale à CoStar pour désigner des Sous-traitants ultérieurs conformément aux procédures de notification et d’opposition. CoStar s’engage à : (a) maintenir une liste actualisée de Sous-traitants ultérieurs (disponible sur demande ou via une URL publiée) ; (b) fournir un préavis d’au moins dix (10) jours ouvrables en cas de changement, permettant au Client de s’opposer à la désignation de tout nouveau Sous-traitant ultérieur ; (c) imposer aux Sous-traitants ultérieurs des conditions écrites qui garantissent un niveau de protection au moins équivalent à celui requis par le présent ATD ; et (d) rester responsable de l’exécution par les Sous-traitants ultérieurs. Dans le cas où le Client s’opposerait raisonnablement à un nouveau Sous-traitant ultérieur, le Client peut, à titre de seul recours, résilier l’Accord applicable et le présent ATD, uniquement en ce qui concerne les Services qui ne peuvent pas être fournis par la Société sans le recours au Sous-traitant ultérieur faisant l’objet de la contestation. Cette résiliation devra s’effectuer en fournissant à la Société un préavis écrit d’au moins trente (30) jours civils, sous réserve que toutes les sommes dues en vertu de l’Accord soient dûment payées à la Société. 

4.4 Sécurité et confidentialité 

1. 4.4.1 Sécurité de la Société. La société mettra en œuvre et maintiendra les mesures techniques et organisationnelles appropriées, décrites dans l’annexe 3, destinées à protéger les renseignements personnels du client contre tout accès non autorisé ou illégal, toute perte, divulgation, altération ou destruction. Une description des mesures de sécurité de la Société figure dans l’Annexe 3.
2. 4.4.2 Notification et résolution des Violations de données personnelles. Notification. La Société informera le Client dans les plus brefs délais, et dans les délais pertinents établis par la Loi applicable en matière de protection des données, après une violation confirmée des données personnelles, telle que définie par Loi applicable en matière de protection des données. Si une violation confirmée des données personnelles affecte ou est susceptible d’affecter les Données personnelles du Client, la Société informera le Client par courriel à l’adresse courriel de notification figurant sur la page de signature ci-dessous ou, si aucun courriel l n’est fourni, en contactant le contact principal du Client pour les Services, tel qu’indiqué dans les informations de compte du Client. Il relève de la responsabilité exclusive du Client de maintenir à tout moment des coordonnées exactes sur son compte de Client. Atténuation. La Société prendra des mesures commercialement raisonnables pour remédier toute Violation de données personnelles ou pour en atténuer les effets et tiendra le Client informé des développements substantiels en lien avec une Violation de données personnelles affectant ou susceptible d’affecter les données personnelles du Client. La Société fournira une coopération raisonnable au Client afin que celui-ci puisse s’acquitter de toute obligation de notification de Violation de données personnelles en vertu de (et conformément aux délais requis par) la Loi applicable en matière de protection des données. Absence de reconnaissance de responsabilité. L’obligation de la Société de signaler une Violation des données personnelles ou d’y réagir en vertu de la présente Section ne constitue pas et ne saurait être interprétée comme la reconnaissance par la Société d’une quelconque faute ou responsabilité de la Société concernant ladite violation.
3. 4.4.3 Confidentialité du Traitement. La Société traitera les Données personnelles du Client comme des données confidentielles du Client (tel que ce terme est défini dans l’Accord). La Société protégera les Données personnelles du client conformément aux obligations de confidentialité prévues dans l’Accord, et veillera à ce que tout les membres du personnel de la Société qui traitent les Données personnelles du Client soient soumis à une obligation de confidentialité concernant lesdites données. 

4.5 Transferts de Données personnelles du Client

1. 4.5.1 Accords de transfert. Lorsque CoStar reçoit des données personnelles de clients qui nécessitent des mesures de protection en matière de transfert en vertu de la législation applicable en matière de protection des données, CoStar ne recevra ni ne transférera les données personnelles des clients sans conclure les accords de transfert applicables lorsque cela est nécessaire pour garantir la conformité des transferts de données personnelles. Il incombe au Client d’informer CoStar si d’autres accords de transfert sont nécessaires pour traiter les données personnelles du Client.
2. 4.5.1 Données personnelles soumises aux lois de l’UE, de la Suisse et/ou du Royaume-Uni sur la protection des données. Lorsque CoStar reçoit des données personnelles du client qui sont soumises à la législation européenne sur la protection des données, à la législation suisse sur la protection des données et/ou à la législation britannique sur la protection des données, les parties conviennent par la présente de conclure le module deux (ou, si le client est un sous-traitant, le module trois) des CSC figurant à l’annexe 1, à moins que l’une des conditions suivantes ne s’applique : (a) le destinataire de CoStar se trouve dans un pays adéquat (ou un pays adéquat du Royaume-Uni), y compris par le biais d’une auto-certification à un cadre de protection des données applicable si le destinataire de CoStar se trouve aux États-Unis, (b) une autre garantie, telle que des règles d’entreprise contraignantes, s’applique ; ou (c) une dérogation est appropriée.' Lorsque CoStar transfère des données personnelles de clients soumises à la législation européenne, suisse et/ou britannique en matière de protection des données, CoStar s’engage à conclure le module trois des CCT avec tout sous-traitant destinataire, sauf dans les cas suivants : (a) le sous-traitant destinataire se trouve dans un pays adéquat (ou un pays adéquat au Royaume-Uni), y compris par le biais d’une auto-certification à un cadre de confidentialité des données applicable si le sous-traitant destinataire se trouve aux États-Unis, (b) une autre garantie, telle que des règles d’entreprise contraignantes, s’applique ; ou (c) une dérogation est appropriée 

4.6 Demandes des personnes concernées. Sur demande, la Société fournira une assistance raisonnable et en temps opportun au Client pour lui permettre de répondre à : (a) toute demande émanant d’une Personne concernée d’exercer des droits valides en vertu de la Loi applicable en matière de protection des données (notamment les droits d’accès, de rectification, d’opposition, d’effacement et de portabilité des données, le cas échéant) ; et (b) toute autre correspondance, demande ou plainte reçue de la part d’une Personne concernée, d’un régulateur ou d’une autre partie en rapport avec le Traitement des Données personnelles du Client. Si une telle demande, correspondance, enquête ou plainte est communiquée directement à la Société, la Société informera (sauf si la loi applicable l’interdit) le Client dans les plus brefs délais, en fournissant tous les détails de celle-ci. Nonobstant ce qui précède, si la Société reçoit une demande directement, elle n’y répondra pas, sauf pour en accuser réception et diriger le demandeur vers le Client, sauf si la loi l’exige ou si cela concerne des Données personnelles pour lesquelles la Société agit en tant que Responsable du traitement.

4.7 Cooperation en matière de conformité

1. 4.7.1 Évaluation de l’impact sur la protection des données. La Société apportera une coopération raisonnable au Client (aux frais du Client) en ce qui concerne toute obligation d’évaluation de l’impact sur la protection des données que le Client pourrait être tenu d’exécuter en vertu de la Loi applicable en matière de protection des données, en tenant compte de la nature du Traitement effectué par la Société et des informations dont dispose la Société.
2. 4.7.2 Audit. Sur demande écrite du Client, à des intervalles raisonnables (mais pas plus d’une fois par an), et sous réserve des obligations de confidentialité énoncées dans l’Accord ou dans un accord de confidentialité approprié, la Société mettra à la disposition du Client un résumé suffisamment détaillé de ses derniers audits, certifications ou autres documents similaires réalisés par des tiers, qui démontrent la conformité de la Société à ses obligations en vertu du présent ATD. La Société répondra, à intervalles raisonnables, aux questionnaires ciblés du Client concernant la conformité aux obligations de la Société en vertu du présent ATD qui ne seraient pas suffisamment expliquées dans les résumés d’audit de la Société. Dans la mesure permise par la Loi applicable en matière de protection des données, les Parties conviennent que les droits d’audit prévus par ladite loi ou par les CCT seront satisfaits par la fourniture de tels résumés ou rapports et par les réponses aux questionnaires ciblés du Client de la part de la Société. Dans la mesure où la Loi applicable en matière de protection des données exige un audit différent ou une évaluation différente de la Société en tant que Sous-traitant, les Parties conviennent de négocier la portée, le processus et le calendrier de cet audit ou cette évaluation sur demande écrite du Client, qui sera fournie à la société au moins soixante (60) jours civils avant l’audit ou l’évaluation prévu(e). Tout audit ou toute évaluation de cette nature sera effectué(e) aux frais exclusifs du Client.
3. 4.7.3 Conservation des données. Dans les 30 jours calendaires suivant une demande écrite du Client ou la résiliation ou l’expiration de l’Accord, la Société : (a) à la demande du client, fournir au client une copie de toutes les données personnelles du client en possession de la société et que le client n’a pas encore ; et (b) détruire en toute sécurité toutes les données personnelles du client en possession de la société d’une manière qui rend ces renseignements personnels du client illisibles et non récupérables, ce qui peut inclure l’agrégation ou la désidentification. Si le Client demande la restitution, CoStar fournira les Données personnelles du Client dans un format couramment utilisé et lisible par machine. Nonobstant ce qui précède, la Société peut conserver des copies des Données personnelles du Client : (i) dans la mesure où la Société a un droit ou une obligation légale distincte de conserver tout ou partie des Données personnelles du Client ; et (ii) dans les systèmes de sauvegarde, jusqu’à ce que les sauvegardes aient été écrasées ou supprimées conformément à la politique de sauvegarde de la Société. Jusqu’à ce que les données soient supprimées ou restituées, la Société continuera à garantir le respect de ses obligations en matière de sécurité et de confidentialité prévues dans l’Accord et dans le présent ATD. 

5. RÉPARTITION DES COÛTS. Chaque Partie exécutera ses obligations en vertu du présent ATD à ses propres frais, sauf indication contraire dans les présentes. 

6. RESPONSABILITÉ. Dans toute la mesure permise par la loi, la responsabilité des Parties en vertu du présent ATD ou en relation avec celui-ci est soumise aux exclusions et limitations prévues dans l’Accord. 

7. DIVERS 

7.1 Construction ; interprétation. Cet ATD fait partie de l’accord et n’est pas un contrat indépendant. Il est régi par les conditions de l’Accord (notamment les limitations de responsabilité et la résolution des litiges) sauf si le présent ATD indique le contraire. Cet ATD et l’Accord constituent l’accord complet en matière de protection des données et remplacent les communications antérieures à ce sujet. Les titres ne sont fournis qu’à titre de commodité. 

7.2 Divisibilité. Si une disposition du présent ATD est jugée invalide ou inapplicable, le présent ATD sera modifié dans la mesure minimale nécessaire pour obtenir, dans toute la mesure du possible, le même effet juridique et commercial que celui initialement prévu par les parties. Dans la mesure permise par la loi applicable, les Parties renoncent à toute disposition légale qui rendrait une clause du présent ATD interdite ou inapplicable à quelque égard que ce soit. 

7.3 Protection des droits. Aucune renonciation à des droits en vertu du présent ATD ne sera effective, à moins d’être faite par écrit et signée par les Parties de cet ATD. Le fait qu’une Partie ne fasse pas valoir ses droits en vertu du présent ATD ne saurait être interprété comme une renonciation à ses droits. 

7.4 Cession. Le présent ATD ne peut être cédé que dans le cadre d’une cession valide effectuée conformément à l’Accord. Si l’Accord est cédé par une Partie conformément à ses conditions, le présent ATD est automatiquement cédé par la même Partie au même cessionnaire. 

7.5 Contreparties. Le présent ATD peut être conclu en plusieurs exemplaires et par signature électronique. Lorsque le Client accepte les Conditions d’utilisation en ligne, cette acceptation constitue la conclusion du présent ATD par les Parties. 

7.6 Modification. La société peut mettre à jour les conditions du présent addenda de temps à autre, notamment, mais sans s’y limiter : (a) si nécessaire pour se conformer à la loi applicable en matière de protection des données, à la réglementation applicable, à une décision de justice ou à des directives réglementaires ; ou (b) pour ajouter des conditions afin de se conformer à des lois ou réglementations nouvelles ou modifiées en matière de protection des données. Si une telle mise à jour a un impact substantiel défavorable sur le Client, tel que raisonnablement déterminé par la Société, alors la Société fera des efforts raisonnables pour informer le Client au moins trente (30) jours civils (ou une période plus courte si nécessaire pour se conformer à la Loi applicable en matière de protection des données) avant que le changement n’entre en vigueur. Si le Client s’oppose à un tel changement, il peut résilier le présent ATD en adressant une notification écrite à la Société dans les trente (30) jours civils à compter de la date à laquelle la Société l’a informé du changement. 

7.7 Ordre de priorité ; droits des tiers. En cas de conflit, l’ordre suivant s’applique : (a) les SCC ou l’accord de transfert applicable pour les transferts concernés ; (b) le présent ATD ; (c) l’Accord ; et (d) les conditions d’utilisation. Le présent ATD ne crée pas de droits de tiers bénéficiaires, sauf dans la mesure requise par la Loi applicable en matière de protection des données ou par un accord contraignant qui prévaut. 

8. LOI APPLICABLE. Dans toute la mesure permise par la loi, le présent ATD est régi par la loi choisie dans l’Accord, et les litiges sont soumis au tribunal désigné dans l’Accord. Si la Loi applicable en matière de protection des données ou un Accord de transfert applicable en dispose autrement pour un transfert spécifique de Données personnelles, la loi applicable alternative s’applique uniquement aux Données personnelles soumises à cette loi ou à cet accord. 

9. RÉSILIATION. Cet ATD reste en vigueur aussi longtemps que (a) le Contrat reste en vigueur, ou (b) CoStar conserve les Données Personnelles du Client en sa possession ou sous son contrôle. À la résiliation de l’Accord ou sur demande écrite du Client, CoStar restituera ou supprimera les Données personnelles du Client conformément à la Section 4.7.3. Les Sections suivantes survivent à la résiliation : Sections 1 (dans la mesure où des définitions sont utilisées), 3, 4.4, 4.7.3, 5–9, et toute autre disposition qui, de par sa nature, doit survivre. 

10. ACCEPTATION ÉLECTRONIQUE. En acceptant les Conditions d’utilisation ou en utilisant les Services, vous acceptez le présent ATD. Lorsque cela est nécessaire pour les transferts transfrontaliers, les SCC sont incorporées par référence et réputées signées. 

Consultez nos Clauses contractuelles types ici.

ANNEXE A

Tableau d’application automatique par marque

Application automatique. La présente Annexe A s’applique automatiquement lorsque le Client achète ou active une marque ou un service figurant dans le tableau ci-dessous. Pour chaque marque, CoStar agit généralement en tant que Responsable du traitement indépendant, et les conditions de Sous-traitant de la Section 4 de l’ATD s’appliquent uniquement à la portée limitée de Sous-traitant identifiée pour cette marque dans l’Annexe A. Aucune formalité supplémentaire n’est nécessaire lors de la commande. Tout autre Traitement est automatiquement régi par la Section 3 de l’ATD.