Avenant mondial sur le traitement modulaire des données par CoStar

Dernière mise à jour : 15 janvier 2026

En savoir plus sur notre ATD mondial. Voir une présentation du fonctionnement de nos conditions de traitement modulaire des données.

Cet Avenant sur le traitement des données (cet « ATD »), y compris les Clauses contractuelles types et tout autre avenant de transfert (collectivement, les « Accords de transfert »), comme applicable et incorporé par référence, fait partie et complète l’accord de Service existant entre CoStar Realty Information, Inc. et ses Sociétés affiliées (« CoStar » ou la « Société ») d’une part et la contrepartie identifiée dans l’accord et ses Sociétés affiliées (le « Client ») d’autre part, y compris tout avenant ou annexe à l’accord (collectivement, « l’Accord »). Cet ATD définit les obligations des Parties en matière de protection des données chaque fois que des Données personnelles sont Traitées en lien avec les Services, y compris (a) lors des échanges entre Responsables du traitement et (b) lorsque l’Annexe A désigne expressément CoStar en tant que Sous-traitant de Données personnelles du Client spécifiques. Le présent ATD s’applique automatiquement à chaque fonctionnalité et à chaque produit identifié dans l’Annexe A qui est acheté(e) ou activé(e) par le Client ; les sections concernant les produits non achetés ou non activés ne s’appliquent pas. Dans la mesure où vous utilisez des Services en l’absence de tout accord hors ligne, vous serez réputé avoir accepté le présent ATD et les Accords de transfert en vigueur dès l’acceptation ou la signature des Conditions d’utilisation applicables.

Les termes commençant par une majuscule ont la signification qui leur est donnée dans la Section 1. CoStar et le Client sont désignés individuellement une « Partie », et ensemble les « Parties ». En cas de conflit entre le présent ATD et l’Accord, cet ATD prévaut dans la mesure où le conflit concerne le Traitement des Données personnelles ou des transferts de données internationaux.

1. DÉFINITIONS

« Évaluation de l’impact algorithmique » : une évaluation conçue pour identifier et atténuer les impacts potentiels (y compris sur l’exactitude, le biais, l’équité, la sécurité, la confidentialité et les risques pour la sécurité) découlant de l’utilisation de Systèmes d’IA ou d’analyses avancées en lien avec les Services. 

« Avenant approuvé » ou « Avenant pour le Royaume-Uni » : le modèle d’avenant émis par le bureau du Commissaire à l’information du Royaume-Uni en vertu de l’Article 119A de la Loi sur la protection des données de 2018 (en vigueur à compter du 21 mars 2022), tel que modifié occasionnellement. 

« Pays adéquat » : un pays ou un territoire que la Commission européenne a déterminé comme offrant un niveau adéquat de protection des Données personnelles. « Pays adéquat selon le Royaume-Uni » : un pays ou un territoire que le gouvernement du Royaume-Uni a déterminé comme offrant une protection adéquate des Données personnelles aux fins de transfert depuis le Royaume-Uni. 

« Loi applicable en matière de protection des données » : toute loi et réglementation supranationale, nationale, étatique ou locale applicable, telle que révisée occasionnellement, relative à la protection des données, la confidentialité et la sécurité, qui s’applique aux Parties en ce qui concerne le Traitement des Données personnelles en vertu du présent ATD, y compris, dans la mesure où elles sont applicables, (a) les lois sur la protection des données de l’UE/de l’EEE/du Royaume-Uni/de la Suisse, notamment le RGPD, le RGPD britannique et le UK Data Protection Act 2018 (tel que modifié par le UK Data Use and Access Act 2025), la directive vie privée et communications électroniques et les mises en œuvre nationales, et la loi fédérale sur la protection des données de la Suisse ; et (b) les Lois sur la protection des données en dehors de l’UE, y compris, mais sans s’y limiter : le California Consumer Privacy Act modifié par le California Privacy Rights Act of 2020 (« CCPA »), le Colorado Privacy Act (« CPA »), le Connecticut Data Privacy Act (« CTDPA »), le Virginia Consumer Data Protection Act (« VCDPA »), le Utah Consumer Privacy Act (« UCPA »), le Texas Data Privacy and Security Act (« TDPSA »), l’Oregon Consumer Privacy Act (« OCPA »), le Delaware Personal Data Privacy Act (« DPDPA »), le New Jersey Data Privacy Act (« NJDPA »), le Tennessee Information Protection Act (« TIPA »), le Minnesota Consumer Data Privacy Act (« MCDPA »), le Maryland Online Data Privacy Act (« MODPA »), le Florida Digital Bill of Rights (« FDBR »), le Washington My Health My Data Act (« MHMD »), la Loi sur la protection des renseignements personnels et les documents électroniques du Canada (« LPRPDE »), la Loi 25 du Québec, et la Lei Geral de Proteção de Dadoss du Brésil (« LGPD »), dans chaque cas tel que modifié(e) ou remplacé(e). 

• « EEE » : l’Espace économique européen (l’Union européenne, l’Islande, le Liechtenstein et la Norvège).
• « UE » : l’Union européenne.
• « Loi de l’UE sur la protection des données » : le Règlement général sur la protection des données (« RGPD »), la directive « vie privée et communications électroniques » (2002/58/CE) et les mises en œuvre nationales, ainsi que les lois des États membres qui s’y rapportent.
• « Lois sur la protection des données en dehors de l’UE » : a la signification indiquée dans la Loi applicable en matière de protection des données ci-dessus.
• « Suisse » : la Confédération suisse.
• « Loi suisse sur la protection des données » : la loi fédérale suisse sur la protection des données et les ordonnances y afférentes.
• « Royaume-Uni » : le Royaume-Uni de Grande-Bretagne et d’Irlande du Nord.
• « Loi britannique sur la protection des données » : le RGPD britannique et la Loi sur la protection des données de 2018, telle que modifiée par la Loi britannique sur les données (utilisation et accès) de 2025, et les règlements connexes.

« Systèmes d’IA », « Intelligence artificielle » ou « IA » : un système basé sur une machine conçu pour fonctionner avec différents niveaux d’autonomie, qui peut faire preuve d’adaptabilité après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu’il reçoit, la manière de générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels. 

« Rôles au titre du Règlement sur l’IA » (« Fournisseur », « Déployeur »/« Utilisateur », « Importateur », « Distributeur », « IA à usage général [IAUG] », « IAUG systémique », « Système d’IA à haut risque », « Système d’IA à faible risque ») ont les significations données dans la Loi européenne sur l’intelligence artificielle, telles qu’elles s’appliquent aux Services. 

« Entreprise », « Prestataire de services » et « Prestataire » ont les significations données dans le CCPA (California Consumer Privacy Act). 

« Données personnelles contrôlées par la Société » : les Données personnelles que la Société décide de recueillir ou de traiter autrement à ses propres fins (p. ex., données du compte, télémétrie de la plateforme, préparation d’annuaires/d’annonces, prévention de la fraude, analyses, et publicité/mesures lorsque cela est autorisé). 

« Évaluation de la conformité » : le processus requis en vertu de la législation de l’UE applicable (y compris la Loi sur l’IA de l’UE) pour déterminer si un Système d’IA répond à certaines exigences de sécurité, de qualité et d’exécution avant d’être mis à disposition, importé ou déployé dans l’UE. 

« Responsable du traitement », « Sous-traitant », « Responsable conjoint du traitement », « Violation des Données personnelles », et « Traitement » (et « Traiter ») ont les significations données dans le RGPD (et comprennent les termes équivalents en vertu d’autres Lois applicables en matière de protection des données). Lorsque le CCPA (California Consumer Privacy Act) est applicable : « Responsable du traitement » inclut « Entreprise » ; « Sous-traitant » inclut « Prestataire de services »/« Prestataire ».

« Données personnelles du Responsable du traitement » : toute Donnée personnelle qu’une Partie fournit ou met à disposition de l’autre Partie en vertu de l’Accord, dans le cadre de la fourniture ou de l’utilisation par cette Partie des Services en tant que Responsable du traitement. 

« Données personnelles du Client » : les Données personnelles fournies par le Client à la Société pour que celle-ci les Traite selon les instructions documentées du Client, lorsque l’Accord ou une annexe identifie la Société en tant que Sous-traitant. 

« Cadre de protection des données » ou « CPD » : désigne, selon le cas, le Cadre de protection des données UE–États-Unis, l’Extension britannique au Cadre de protection des données UE–États-Unis, et/ou le Cadre de protection des données Suisse–États-Unis. 

« Personne concernée » : une personne physique identifiée ou identifiable dont les Données personnelles sont Traitées dans le cadre de l’Accord (et comprend les termes équivalents, tels que « Client », en vertu d’autres Lois applicables en matière de protection des données). 

« Loi sur l’IA de l’UE » : le Règlement (UE) 2023/206 du Parlement européen et du Conseil du 20 juillet 2023 établissant des règles harmonisées sur l’intelligence artificielle (Loi sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union, visant à assurer le développement, le déploiement et l’utilisation sûrs et légaux de l’intelligence artificielle au sein de l’Union européenne. 

« Données personnelles » : des données ou informations relatives à une Personne concernée identifiée ou identifiable (et comprend les termes équivalents, tels que « informations personnelles » ou « données à caractère personnel », en vertu d’autres Lois applicables en matière de protection des données ). 

« Services » : les services décrits dans l’Accord, y compris l’accès et l’utilisation des produits ou plateformes de la Société et tout support connexe. 

« Partager », « Partagé » ou « Partage » : la divulgation de Données personnelles à une autre partie à des fins de publicité comportementale ou ciblée inter-contexte, que ce soit ou non en échange d’une somme d’argent ou de toute autre contrepartie de valeur. 

« Clauses contractuelles types » ou « CCT » : désigne, selon le cas, (a) les clauses contractuelles types de la Commission européenne pour les transferts internationaux de Données personnelles (actuellement Décision d’exécution [UE] 2021/914 de la Commission), y compris, selon les rôles des Parties, le Module Un (Responsable du traitement – Responsable du traitement), le Module Deux (Responsable du traitement – Sous-traitant), et/ou le Module Trois (Sous-traitant – Sous-traitant) ; (b) pour les transferts soumis au droit britannique, l’Avenant approuvé aux CCT ; et (c) pour les transferts soumis au droit suisse, la langue de l’avenant spécifique à la Suisse nécessaire à l’utilisation des CCT ; dans chaque cas tel que mis à jour ou remplacé. 

2. RÔLES ET CHAMP D’APPLICATION

2.1 Application. Le présent ATD régit le Traitement des Données personnelles par les Parties dans le cadre des Services, dans la mesure où ce Traitement est soumis à la Loi applicable en matière de protection des données. Chaque Partie doit à tout moment se conformer à toutes les exigences applicables des Lois applicables en matière de protection des données. 

2.2 Rôles par défaut (Responsable du traitement – Responsable du traitement). Sauf indication expresse dans l’Annexe A, chaque Partie agit en tant que Responsable du traitement indépendant pour les Données personnelles qu’elle Traite dans le cadre des Services, et la Section 3 (Responsable du traitement – Responsable du traitement) s’applique. 

2.3 Conditions relatives au Sous-traitant. Les conditions de la relation entre Responsable du traitement et Sous-traitant de la Section 4 s’appliquent automatiquement et uniquement aux ensembles de données ou fonctionnalités spécifiques de tout produit identifié dans l’Annexe A comme faisant l’objet d’un Traitement par le Sous-traitant (y compris lorsque le Client agit pour le compte d’un Responsable du traitement tiers et désigne CoStar en tant que Sous-traitant ultérieur). Ces conditions s’appliqueront lorsque le Client achète ou active un produit ou une fonctionnalité applicable. CoStar traitera les Données personnelles du Client uniquement (a) selon les instructions documentées du Client ; et (b) pour les finalités et la durée applicables à ce produit ou cette fonctionnalité. Pour tout autre Traitement, les Parties sont des Responsables du traitement indépendants, et la Section 3 s’applique. 

2.4 Produits non achetés ou non activés. Les sections relatives aux produits ou fonctionnalités que le Client n’achète pas ou n’active pas ne s’appliqueront pas. 

2.5 Conflits. En cas d’incohérence concernant les rôles pour un produit ou un ensemble de données, l’Annexe A contrôle ce produit ou cet ensemble de données. Dans tous les cas, les transferts internationaux sont régis en premier lieu par la Section 3.4 et par tout Accord de transfert applicable. Les conflits entre le présent ATD et tout Accord de transfert applicable seront régis par l’Accord de transfert. 

3. MODULE RESPONSABLE DU TRAITEMENT – RESPONSABLE DU TRAITEMENT

3.1 Responsables du traitement indépendants. Aux fins de la Loi applicable en matière de protection des données, chaque Partie est un Responsable du traitement indépendant des Données personnelles du Responsable du traitement qu’elle collecte ou Traite autrement en vertu de l’Accord. Chaque Partie est individuellement et séparément responsable de respecter les obligations qui lui incombent en tant que Responsable du traitement en vertu de la Loi applicable en matière de protection des données. Les Parties conviennent qu’elles ne sont pas des Responsables conjoints du traitement en ce qui concerne les Données personnelles du Responsable du traitement. Chaque Partie déterminera individuellement les finalités et les moyens de son Traitement des Données personnelles du Responsable du traitement. Si les Parties conviennent ultérieurement qu’elles agissent en tant que Responsables conjoints du traitement pour une activité spécifique, elles documenteront par écrit un accord de responsabilité conjointe distinct. 

3.2 Obligations des Parties. Chaque Partie déclare et garantit : (a) qu’elle a le droit et l’autorité nécessaires pour conclure le présent ATD et la capacité de s’acquitter de ses obligations dans le cadre de celui-ci ; (b) que sa conclusion et son exécution dans le cadre du présent ATD et de l’Accord n’enfreindront aucun accord auquel elle est partie ; et (c) qu’elle a fourni toutes les informations requises aux Personnes concernées, y compris, le cas échéant, que les Données personnelles du Responsable du traitement peuvent être transmises à des tiers aux fins de l’Accord et qu’elle dispose d’une base légale pour un tel Traitement. 

1. 3.2.1 Sans limiter ce qui précède, chaque Partie maintiendra une politique de confidentialité, accessible au public sur son site web, qui est conforme aux Lois applicables en matière de protection des données et qui décrit au minimum son Traitement en tant que Responsable du traitement, ainsi que les catégories de Données personnelles Traitées, les finalités de ce Traitement et les droits disponibles pour les Personnes concernées.
2. 3.2.2 Chaque Partie notifiera rapidement l’autre si elle estime qu’une demande ou une proposition d’échange de Données personnelles entre les Parties enfreindrait la Loi applicable en matière de protection des données.
3. 3.2.3 Sous réserve du présent ATD, chaque Partie, agissant en tant que Responsable du traitement, peut traiter les Données personnelles du Responsable du traitement conformément à l’Accord et aux fins de celui-ci, et peut autoriser la divulgation des Données personnelles du Responsable du traitement décrites dans l’Accord ou autrement dans les présentes pour les Services du Responsable du traitement applicables auxquels le Client souscrit aux fins décrites dans la politique de confidentialité de cette Partie (la « Finalité autorisée »). Nonobstant ce qui précède, les données obtenues par une Partie indépendamment de l’utilisation par le Client des Services qui sont les mêmes ou similaires aux Données personnelles du Responsable du traitement décrites dans les présentes ne seront pas limitées par le présent ATD, par un accord de licence ou par les conditions générales de ces Services. Pour éviter toute ambiguïté, toute Partie peut utiliser toutes les Données personnelles du Responsable du traitement collectées sur une base agrégée ou dépersonnalisée, comme indiqué dans la politique de confidentialité de ces parties, à condition que cette utilisation ne révèle pas la Société, le Client ou les Personnes concernées, directement ou indirectement.
4. 3.2.4 Les types de Données personnelles du Responsable du traitement peuvent inclure, mais ne sont pas nécessairement limités à, l’e-mail, les identifiants de connexion et le nom d’utilisateur, les identifiants d’appareil, et d’autres identifiants en ligne.
5. 3.2.5 Les Personnes concernées dont les données sont contenues dans les Données personnelles du Responsable du traitement peuvent inclure, mais ne sont pas nécessairement limitées aux utilisateurs finaux des Services et/ou, dans la mesure permise par la Loi applicable en matière de protection des données, les Données personnelles des employés, des consultants ou d’autres relations d’une Partie. 

3.3 Sécurité et confidentialité. Chaque Partie doit mettre en œuvre et maintenir des mesures techniques et organisationnelles appropriées visant à protéger les Données personnelles du Responsable du traitement contre tout accès, perte, divulgation, altération ou destruction non autorisés ou illicites. Si une Partie subit une Violation de Données personnelles, telle que définie par la Loi applicable en matière de protection des données, qui est connue ou raisonnablement suspectée d’affecter les Données personnelles du Responsable du traitement, cette Partie doit notifier l’autre dans les meilleurs délais (et en tout état de cause au plus tard 72 heures après confirmation) d’une Violation des Données personnelles susceptible d’affecter les Données personnelles du Responsable du traitement, sous réserve de toute restriction légale sur la divulgation. Dans la mesure du possible, la Partie notifiante communiquera les projets d’avis destinés aux régulateurs et/ou aux personnes physiques faisant référence à l’autre Partie, pour recueillir ses observations de bonne foi avant l’envoi. Les Parties s’engagent à coopérer de bonne foi pour convenir et prendre les mesures nécessaires afin d’atténuer ou de remédier aux effets de la Violation des Données personnelles et de prévenir toute récurrence. Aucune disposition des présentes n’interdit à une Partie de notifier une Violation des Données personnelles aux autorités réglementaires comme cela peut être requis par la Loi applicable en matière de protection des données avant de notifier l’autre Partie, à condition que la Partie notifiante informe l’autre Partie dans les meilleurs délais. Chaque Partie s’assurera que tous les membres de son personnel qui Traitent des Données personnelles du Responsable du traitement sont soumis à une obligation de confidentialité concernant lesdites données. 

3.4 Transferts de Données personnelles du Responsable du traitement. Lorsque les Parties échangent des Données personnelles du Responsable du traitement nécessitant des protections de transfert en vertu de la Loi applicable en matière de protection des données, les Parties concluront des Accords de transfert applicables nécessaires pour garantir la conformité des transferts de Données personnelles. Lorsque les Parties échangent des Données personnelles soumises à la Loi de l’UE sur la protection des données, à la Loi suisse sur la protection des données et/ou à la Loi britannique sur la protection des données, les Parties conviennent par les présentes de conclure le Module Un des CCT intégrées à l’Annexe 1, à moins que l’un des cas suivants ne s’applique : (a) la Partie recevant les Données personnelles du Responsable du traitement se trouve dans un Pays adéquat (ou un Pays adéquat selon le Royaume-Uni), y compris par le biais d’une auto-certification à un Cadre de protection des données applicable si la Partie destinataire se trouve aux États-Unis ; (b) une autre garantie, telle que des règles d’entreprise contraignantes, s’applique ; ou (c) une dérogation est appropriée. 

3.5 Demandes des Personnes concernées. Chaque Partie traitera ses propres demandes émanant des Personnes concernées exerçant leurs droits. En ce qui concerne les objections ou les demandes de retrait (opt-outs) concernant les Données personnelles partagées, les Parties coopéreront de manière raisonnable pour honorer de telles demandes. 

3.6 Coopération en matière de conformité. Les Parties conviennent de coopérer de manière raisonnable et de s’aider mutuellement dans le cadre de toute consultation, enquête, plainte ou enquête émanant d’un régulateur concernant les Données personnelles du Responsable du traitement partagées entre les Parties. Cela inclut une coopération raisonnable dans la mise en œuvre des mesures de transparence pour se conformer à la Loi sur l’IA de l’UE pour les Systèmes d’IA à risque limité, le cas échéant. 

3.7 Conservation des données. Les Parties s’engagent à respecter leurs obligations concernant leurs durées de conservation des données respectives, telles qu’énoncées dans leurs politiques de confidentialité respectives et définies dans les calendriers internes de suppression et de conservation de chaque Partie. La suppression des supports de sauvegarde se fera dans le cadre du cycle de rotation des sauvegardes et des tests de restauration, à moins qu’une suppression anticipée ne soit exigée par la loi. 

4. MODULE RESPONSABLE DU TRAITEMENT – SOUS-TRAITANT

4.1 Application. Les conditions de la relation entre Responsable du traitement et Sous-traitant de cette Section 4 s’appliquent uniquement aux ensembles de données ou aux fonctionnalités de tout produit identifié dans l’Annexe A comme faisant l’objet d’un Traitement par le Sous-traitant (y compris lorsque le Client agit pour le compte d’un Responsable du traitement tiers et désigne CoStar en tant que Sous-traitant ultérieur). Pour tout autre Traitement, la Section 3 s’applique.

4.2 Rôle des Parties

1. 4.2.1 Traitement conformément à la Loi applicable en matière de protection des données. Pour les ensembles de données ou les fonctionnalités désignés comme faisant l’objet d’un Traitement par le Sous-traitant dans l’Annexe A, le Client est le Responsable du traitement (ou agit au nom d’un Responsable du traitement) et CoStar est le Sous-traitant. Chaque Partie se conformera à la Loi applicable en matière de protection des données pour son rôle. Le Client reste seul responsable de l’exactitude, de la qualité et de la légalité des Données personnelles le concernant, ainsi que de l’existence d’une base légale et des notifications et autorisations requises.
2. 4.2.2 Systèmes d’IA à risque limité. Si la Société traite des Données personnelles en utilisant des Systèmes d’IA à risque limité, tels que définis par la Loi sur l’IA de l’UE, la Société doit garantir le respect de toutes les obligations de transparence applicables, notamment en fournissant aux Personnes concernées des informations claires sur l’utilisation de ces Systèmes d’IA et en réalisant des Évaluation de l’impact algorithmique pour identifier et atténuer les risques potentiels associés à ces systèmes. 

4.3 Obligations des Parties

1. 4.3.1 Conditions générales du Traitement. CoStar traitera les Données personnelles du Client uniquement selon les instructions documentées du Client, lesquelles sont constituées : (a) de l’Accord et du présent ATD ; (b) des désignations de produit/ensemble de données de l’Annexe A ; et (c) des configurations et instructions écrites du Client effectuées par le biais des Services. CoStar informera le Client dans les plus brefs délais si elle n’est pas en mesure de se conformer à une instruction ou si, de l’avis de CoStar, une instruction enfreint la Loi applicable en matière de protection des données. Les Parties conviennent que l’Accord et l’ATD sont réputés être les seules instructions, si les Parties en conviennent autrement par écrit. CoStar informera le Client dans les plus brefs délais si, de l’avis de CoStar, les instructions du Client ne sont pas conformes à la Loi applicable en matière de protection des données. Le Client conserve le contrôle des Données personnelles le concernant et reste responsable de ses obligations de conformité en vertu de Loi applicable en matière de protection des données, notamment de la fourniture de tout avis requis et de l’obtention de tout consentement requis, ainsi que des instructions de Traitement qu’il donne à CoStar.
2. 4.3.2 Détails du Traitement. L’objet, la durée, la nature et la finalité du Traitement, les catégories de Données personnelles et les types de Personnes concernées sont décrits dans l’Annexe A.
3. 4.3.3 Accord de mise en œuvre locale. Si et quand cela s’avère nécessaire pour se conformer aux lois, réglementations ou exigences commerciales locales dans un pays particulier, les Parties peuvent conclure un Avenant de mise en œuvre locale couvrant les exigences qui ne sont pas déjà abordées dans l’Accord ou dans le présent ATD.
4. 4.3.4 Sous-traitant aux États-Unis. Lorsque CoStar agit en tant que Sous-traitant en vertu des lois des États américains sur la protection de la vie privée applicables, CoStar ne vendra pas, ne partagera pas et n’utilisera pas les Données personnelles du Client à d’autres fins que la fourniture des Services au Client, sauf dans la mesure où les lois des États américains sur la protection de la vie privée applicables l’autorisent. CoStar certifie qu’elle comprend et respectera ces restrictions.
5. 4.3.5 Sous-traitance ultérieure – Autorisation générale. Le Client donne une autorisation générale à CoStar pour désigner des Sous-traitants ultérieurs conformément aux procédures de notification et d’opposition. CoStar s’engage à : (a) maintenir une liste actualisée de Sous-traitants ultérieurs (disponible sur demande ou via une URL publiée) ; (b) fournir un préavis d’au moins dix (10) jours ouvrables en cas de changement, permettant au Client de s’opposer à la désignation de tout nouveau Sous-traitant ultérieur ; (c) imposer aux Sous-traitants ultérieurs des conditions écrites qui garantissent un niveau de protection au moins équivalent à celui requis par le présent ATD ; et (d) rester responsable de l’exécution par les Sous-traitants ultérieurs. Dans le cas où le Client s’opposerait raisonnablement à un nouveau Sous-traitant ultérieur, le Client peut, à titre de seul recours, résilier l’Accord applicable et le présent ATD, uniquement en ce qui concerne les Services qui ne peuvent pas être fournis par la Société sans le recours au Sous-traitant ultérieur faisant l’objet de la contestation. Cette résiliation devra s’effectuer en fournissant à la Société un préavis écrit d’au moins trente (30) jours civils, sous réserve que toutes les sommes dues en vertu de l’Accord soient dûment payées à la Société. 

4.4 Sécurité et confidentialité 

1. 4.4.1 Sécurité de la Société. La Société mettra en œuvre et maintiendra des mesures techniques et organisationnelles appropriées, décrites dans l’Annexe 3, conçues pour protéger les Données personnelles du Client contre tout accès, perte, divulgation, altération ou destruction non autorisés ou illicites. Une description des mesures de sécurité de la Société figure dans l’Annexe 3.
2. 4.4.2 Notification et résolution des Violations de Données personnelles. Notification. La Société informera le Client dans les plus brefs délais, et dans les délais pertinents établis par la Loi applicable en matière de protection des données, après une violation confirmée des Données personnelles, telle que définie par Loi applicable en matière de protection des données. Si une violation confirmée des Données personnelles affecte ou est susceptible d’affecter les Données personnelles du Client, la Société informera le Client par e-mail à l’adresse e-mail de notification figurant sur la page de signature ci-dessous ou, si aucune e-mail n’est fournie, en contactant le contact principal du Client pour les Services, tel qu’indiqué dans les informations de compte du Client. Il relève de la responsabilité exclusive du Client de maintenir à tout moment des coordonnées exactes sur son compte de Client. Atténuation. La Société prendra des mesures commercialement raisonnables pour remédier toute Violation de Données personnelles ou pour en atténuer les effets et tiendra le Client informé des développements substantiels en lien avec une Violation de Données personnelles affectant ou susceptible d’affecter les Données personnelles du Client. La Société fournira une coopération raisonnable au Client afin que celui-ci puisse s’acquitter de toute obligation de notification de Violation de Données personnelles en vertu de (et conformément aux délais requis par) la Loi applicable en matière de protection des données. Absence de reconnaissance de responsabilité. L’obligation de la Société de signaler une Violation des Données personnelles ou d’y réagir en vertu de la présente Section ne constitue pas et ne saurait être interprétée comme la reconnaissance par la Société d’une quelconque faute ou responsabilité de la Société concernant ladite violation.
3. 4.4.3 Confidentialité du Traitement. La Société traitera les Données personnelles du Client comme des Données confidentielles du Client (tel que ce terme est défini dans l’Accord). La Société protégera les Données personnelles du client conformément aux obligations de confidentialité prévues dans l’Accord, et veillera à ce que tout les membres du personnel de la Société qui Traitent les Données personnelles du Client soient soumis à une obligation de confidentialité concernant lesdites données. 

4.5 Transferts de Données personnelles du Client

1. 4.5.1 Accords de transfert. Lorsque CoStar reçoit des Données personnelles du Client nécessitant des protections de transfert en vertu de la Loi applicable en matière de protection des données, CoStar ne recevra pas ou ne transférera pas ultérieurement de Données personnelles du Client sans conclure les Accords de transfert applicables lorsque cela est nécessaire pour garantir la conformité des transferts de Données personnelles. Il incombe au Client d’informer CoStar si d’autres Accords de transfert sont nécessaires pour Traiter les Données personnelles le concernant.
2. 4.5.1 Données personnelles soumises aux lois sur la protection des données de l’UE, de la Suisse et/ou du Royaume-Uni. Lorsque CoStar reçoit des Données personnelles du Client soumises à la Loi de l’UE sur la protection des données, à la Loi suisse sur la protection des données et/ou à la Loi britannique sur la protection des données, les Parties conviennent par les présentes de conclure le Module Deux (ou, si le Client est un Sous-traitant, le Module Trois) des CCT intégré à l’Annexe 1, à moins que l’un des cas suivants ne s’applique : (a) le destinataire CoStar se trouve dans un Pays adéquat (ou un Pays adéquat selon le Royaume-Uni), y compris par le biais d’une auto-certification à un Cadre de protection des données applicable si le destinataire CoStar se trouve aux États-Unis ; (b) une autre garantie, telle que des règles d’entreprise contraignantes, s’applique ; ou (c) une dérogation est appropriée. Lorsque CoStar transfère des Données personnelles du Client soumises à la Loi de l’UE sur la protection des données, à la Loi suisse sur la protection des données et/ou à la Loi britannique sur la protection des données, CoStar convient de conclure le Module Trois des CCT avec tout Sous-traitant ultérieur destinataire, à moins que l’un des cas suivants ne s’applique : (a) le Sous-traitant ultérieur destinataire se trouve dans un Pays adéquat (ou un Pays adéquat selon le Royaume-Uni), y compris par le biais d’une auto-certification à un Cadre de protection des données applicable si le Sous-traitant ultérieur destinataire se trouve aux États-Unis ; (b) une autre garantie, telle que des règles d’entreprise contraignantes, s’applique ; ou (c) une dérogation est appropriée.

4.6. Demandes des Personnes concernées. Sur demande, la Société fournira une assistance raisonnable et en temps opportun au Client pour lui permettre de répondre à : (a) toute demande émanant d’une Personne concernée d’exercer des droits valides en vertu de la Loi applicable en matière de protection des données (notamment les droits d’accès, de rectification, d’opposition, d’effacement et de portabilité des données, le cas échéant) ; et (b) toute autre correspondance, demande ou plainte reçue de la part d’une Personne concernée, d’un régulateur ou d’une autre partie en rapport avec le Traitement des Données personnelles du Client. Si une telle demande, correspondance, enquête ou plainte est communiquée directement à la Société, la Société informera (sauf si la loi applicable l’interdit) le Client dans les plus brefs délais, en fournissant tous les détails de celle-ci. Nonobstant ce qui précède, si la Société reçoit une demande directement, elle n’y répondra pas, sauf pour en accuser réception et diriger le demandeur vers le Client, sauf si la loi l’exige ou si cela concerne des Données personnelles pour lesquelles la Société agit en tant que Responsable du traitement.

4.7 Cooperation en matière de conformité

1. 4.7.1 Évaluation de l’impact sur la protection des données. La Société fournira une coopération raisonnable au Client (aux frais du Client) dans le cadre de toute obligation d’évaluation de l’impact sur la protection des données que le Client pourrait être tenu d’effectuer en vertu de la Loi applicable en matière de protection des données, en tenant compte de la nature du Traitement réalisé par la Société et des informations dont elle dispose.
2. 4.7.2 Audit. Sur demande écrite du Client, à intervalles raisonnables (mais pas plus d’une fois par an), et sous réserve des obligations de confidentialité énoncées dans l’Accord ou dans un accord de confidentialité approprié, la Société mettra à la disposition du Client un résumé suffisamment détaillé de ses audits tiers, certifications ou autres documents similaires les plus récents, qui démontrent que la Société respecte ses obligations en vertu du présent ATD. La Société répondra, à intervalles raisonnables, aux questionnaires ciblés du Client concernant la conformité aux obligations de la Société en vertu du présent ATD qui ne seraient pas suffisamment expliquées dans les résumés d’audit de la Société. Dans la mesure permise par la Loi applicable en matière de protection des données, les Parties conviennent que les droits d’audit prévus par ladite loi ou par les CCT seront satisfaits par la fourniture de tels résumés ou rapports et par les réponses aux questionnaires ciblés du Client de la part de la Société. Dans la mesure où la Loi applicable en matière de protection des données exige un audit différent ou une évaluation différente de la Société en tant que Sous-traitant, les Parties conviennent de négocier la portée, le processus et le calendrier de cet audit ou cette évaluation sur demande écrite du Client, qui sera fournie à la société au moins soixante (60) jours civils avant l’audit ou l’évaluation prévu(e). Tout audit ou toute évaluation de cette nature sera effectué(e) aux frais exclusifs du Client.
3. 4.7.3 Conservation des données. Dans les trente (30) jours civils suivant une demande écrite du Client ou la résiliation ou l’expiration de l’Accord, la Société devra : (a) si le Client en fait la demande, lui fournir une copie de toutes les Données personnelles le concernant en possession de la Société que le Client ne possède pas déjà ; et (b) détruire de manière sécurisée toutes les Données personnelles du Client en possession de la Société d’une manière qui les rende illisibles et irrécupérables, ce qui peut inclure l’agrégation ou l’anonymisation. Si le Client demande la restitution, CoStar fournira les Données personnelles du Client dans un format couramment utilisé et lisible par machine. Nonobstant ce qui précède, la Société peut conserver des copies des Données personnelles du Client : (i) dans la mesure où la Société a un droit ou une obligation légale distincte de conserver tout ou partie des Données personnelles du Client ; et (ii) dans les systèmes de sauvegarde, jusqu’à ce que les sauvegardes aient été écrasées ou supprimées conformément à la politique de sauvegarde de la Société. Jusqu’à ce que les données soient supprimées ou restituées, la Société continuera à garantir le respect de ses obligations en matière de sécurité et de confidentialité prévues dans l’Accord et dans le présent ATD. 

5. RÉPARTITION DES COÛTS. Chaque Partie exécutera ses obligations en vertu du présent ATD à ses propres frais, sauf indication contraire dans les présentes. 

6. RESPONSABILITÉ. Dans toute la mesure permise par la loi, la responsabilité des Parties en vertu du présent ATD ou en relation avec celui-ci est soumise aux exclusions et limitations prévues dans l’Accord. 

7. DIVERS

7.1 Structure et interprétation. Le présent ATD fait partie de l’Accord et ne constitue pas un contrat autonome. Il est régi par les conditions de l’Accord (notamment les limitations de responsabilité et la résolution des litiges) sauf si le présent ATD indique le contraire. Cet ATD et l’Accord constituent l’accord complet en matière de protection des données et remplacent les communications antérieures à ce sujet. Les titres ne sont fournis qu’à titre de commodité. 

7.2 Divisibilité. Si une disposition du présent ATD est jugée invalide ou inapplicable, cet ATD sera modifié dans la mesure minimale nécessaire pour atteindre, dans la mesure du possible, le même effet juridique et commercial que celui initialement prévu par les Parties. Dans la mesure permise par la loi applicable, les Parties renoncent à toute disposition légale qui rendrait une clause du présent ATD interdite ou inapplicable à quelque égard que ce soit. 

7.3 Application des droits. Aucune renonciation à des droits en vertu du présent ATD ne sera effective, à moins d’être faite par écrit et signée par les Parties de cet ATD. Le fait qu’une Partie ne fasse pas valoir ses droits en vertu du présent ATD ne saurait être interprété comme une renonciation à ses droits. 

7.4 Cession. Le présent ATD ne peut être cédé que dans le cadre d’une cession valide effectuée conformément à l’Accord. Si l’Accord est cédé par une Partie conformément à ses conditions, le présent ATD est automatiquement cédé par la même Partie au même cessionnaire. 

7.5 Exemplaires. Le présent ATD peut être conclu en plusieurs exemplaires et par signature électronique. Lorsque le Client accepte les Conditions d’utilisation en ligne, cette acceptation constitue la conclusion du présent ATD par les Parties. 

7.6 Modification. La Société peut mettre à jour les conditions de cet Avenant occasionnellement, y compris, mais sans s’y limiter : (a) comme requis pour se conformer à la Loi applicable en matière de protection des données, à la réglementation applicable, à une décision judiciaire ou à des directives réglementaires ; ou (b) pour ajouter des conditions afin de se conformer aux nouvelles lois ou réglementations sur la protection des données ou à celles modifiées. Si une telle mise à jour a un impact substantiel défavorable sur le Client, tel que raisonnablement déterminé par la Société, alors la Société fera des efforts raisonnables pour informer le Client au moins trente (30) jours civils (ou une période plus courte si nécessaire pour se conformer à la Loi applicable en matière de protection des données) avant que le changement n’entre en vigueur. Si le Client s’oppose à un tel changement, il peut résilier le présent ATD en adressant une notification écrite à la Société dans les trente (30) jours civils à compter de la date à laquelle la Société l’a informé du changement. 

7.7 Ordre de priorité et droits des tiers. En cas de conflit, l’ordre suivant s’applique : (a) les CCT ou l’Accord de transfert applicable pour les transferts concernés ; (b) le présent ATD ; (c) l’Accord ; et (d) les Conditions d’utilisation. Le présent ATD ne crée pas de droits de tiers bénéficiaires, sauf dans la mesure requise par la Loi applicable en matière de protection des données ou par un accord contraignant qui prévaut. 

8. LOI APPLICABLE. Dans toute la mesure permise par la loi, le présent ATD est régi par la loi choisie dans l’Accord, et les litiges sont soumis au tribunal désigné dans l’Accord. Si la Loi applicable en matière de protection des données ou un Accord de transfert applicable en dispose autrement pour un transfert spécifique de Données personnelles, la loi applicable alternative s’applique uniquement aux Données personnelles soumises à cette loi ou à cet accord. 

9. RÉSILIATION. Le présent ATD reste en vigueur tant que (a) l’Accord reste en vigueur ; ou (b) CoStar conserve les Données personnelles du Client en sa possession ou sous son contrôle. À la résiliation de l’Accord ou sur demande écrite du Client, CoStar restituera ou supprimera les Données personnelles du Client conformément à la Section 4.7.3. Les Sections suivantes survivent à la résiliation : Sections 1 (dans la mesure où des définitions sont utilisées), 3, 4.4, 4.7.3, 5–9, et toute autre disposition qui, de par sa nature, doit survivre. 

10. ACCEPTATION ÉLECTRONIQUE. En acceptant les Conditions d’utilisation ou en utilisant les Services, vous acceptez le présent ATD. Lorsque cela est nécessaire pour les transferts transfrontaliers, les CCT sont incorporées par référence et réputées signées. 

Consultez nos Clauses contractuelles types ici.

ANNEXE A

Tableau d’application automatique par marque

Application automatique. La présente Annexe A s’applique automatiquement lorsque le Client achète ou active une marque ou un service figurant dans le tableau ci-dessous. Pour chaque marque, CoStar agit généralement en tant que Responsable du traitement indépendant, et les conditions de Sous-traitant de la Section 4 de l’ATD s’appliquent uniquement à la portée limitée de Sous-traitant identifiée pour cette marque dans l’Annexe A. Aucune formalité supplémentaire n’est nécessaire lors de la commande. Tout autre Traitement est automatiquement régi par la Section 3 de l’ATD.