RGDP : Protection des Données Personnelles

RGDP : Protection des Données Personnelles Cher Client, A partir du 25 mai, le nouveau Règlement Général sur la Protection des Données Personnelles (RGPD, ou GDPR en anglais) entrera en vigueur. Grâce à cette nouvelle disposition, vos données à caractère personnel seront encore mieux protégées et gérées. Nos équipes travaillent actuellement sur la conformité à ce règlement afin de garantir la protection des données que vous nous transmettez. Notre Compliance Officer vous invite donc à prendre connaissance de la communication en pièce jointe de cet email. Nous restons à votre entière disposition pour tout complément d'information. Cordialement, Almageast Wealth Management S.A. GDPR: We protect your data Dear customer, From the 25 th may 2018 the new law of Personal Data Protection (GDPR) will enter into force. At Almagest Wealth Management S.A., we understand your need to be informed about the protection of your personal data. This is why our teams are currently working on compliance with the EU General Data Protection Regulation (GDPR) in order to propose an amendment related to data handling. We invite you to read the attached statement on this topic which our Compliance off would like to share with you. We remain at your entire disposal for any additional information. Best regards Almagest Wealth Management S.A.

SCHEDULE PROTECTION OF PERSONAL DATA (the Schedule ) Capitalized terms used in this Schedule shall have the meaning ascribed to them in Section 1 below or the Agreement. 1. DEFINITIONS Controller: any natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the Processing of Personal Data that may be performed as part of this Agreement. Co-Controlled Personal Data: Personal Data which originates from the Customer and which may be shared with AWM as an independent Co-Controller in the course of the provision of services. Data Protection Regulation: the personal data protection law of the country where the Controller is established. For Controller established in a Member State of the European Union (hereafter the EU Controller ), the Applicable Data Protection Law shall mean the GDPR, and all additional regulations and rules in force in the relevant Member State(s) of the European Union applicable to the Processing. Data Subject: any identified or identifiable natural person from whom Personal Data is collected. GDPR: Regulation (EU) 2016/679 of the European Parliament and of the Council of April 27th, 2016 on the protection of natural persons with regard to the Processing of Personal Data and on the free movement of such data, and repealing Directive 95/46/EC. Personal Data: any information relating to an identified or identifiable natural person; an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person. Personal Data Breach or Breach: any suspected or actual security breach leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, Customer Personal Data transmitted, stored, or otherwise Processed. Processing or Processed: every operation or set of operations which is performed with regard to Personal Data, including without limitation the collection, recording, organization, storage, adaptation, alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, combining, linking to other data, blocking, erasure or destruction of Customer Personal Data. 2. PROTECTION OF PERSONAL DATA 2.1 RELATIONSHIP TO THE DATA AWM and the Customer hereby agree to act as independent Co-Controllers, as follows: The Customer will be responsible as Controller under applicable Data Protection Regulation and security laws for the Processing of Personal Data that the Customer discloses to AWM in connection with the Services. AWM is not responsible for the accuracy of such Personal Data, or for any privacy,

data protection or security compliance pertaining to such Personal Data, up to the point that it receives it from the Customer. AWM is responsible as Controller under applicable Data Protection Regulation and security laws for the Personal Data received from the Customer or the Data Subjects who may benefit from the Services or otherwise processed in connection with the Services. 2.2 GENERAL COMPLIANCE Both Parties shall, at its own cost, comply with its obligations under the applicable Data Protection Regulation, process Personal Data only in compliance with applicable requirements, and not knowingly perform its obligations under this Schedule in such a way as to cause the other Party to breach any applicable requirement under Data Protection Regulation. 2.3 SECURITY & PERSONAL DATA INCIDENT Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of Processing as well as the risks of varying likelihood and severity for the rights and freedoms of natural persons to whom the Personal Data relates, AWM will implement appropriate physical, technical and organizational measures to ensure a level of security for Personal Data appropriate to the risk. If a Personal Data Breach is detected by AWM involving Personal Data of any Data Subjects in an employer-employee relationship with the Customer, AWM will inform the Customer without undue delay thereof. AWM will provide the Customer with information available regarding the Breach and information. Should AWM be of the opinion it is required to inform the Data Subjects concerned of the Breach, AWM will inform the Customer thereof. 2.4 DATA SUBJECT ACCESS REQUESTS, COMMUNICATIONS & OTHER OBLIGATIONS Should one party receive a complaint or a data subject s request regarding the Processing for which the other party is responsible, it shall promptly inform the latter. 2.5 DATA QUALITY, RETRIEVAL & DESTRUCTION AWM will ensure that the Co-Controlled Personal Data is accurate, relevant and limited to what is necessary and shall retain Co-Controlled Personal Data for no longer than necessary. 2.6 INTERNATIONAL TRANSFERS OF PERSONAL DATA AWM will not transfer the Co-Controlled Personal Data across international borders in violation of the Data Protection Regulation. In case of international transfers of Co-Controlled Personal Data outside the EU/EEA, AWM will do it in compliance with one of the valid transfer mechanisms under the Data Protection Regulation: Adequacy: The Processing of Personal Data is only carried out in jurisdictions deemed to have adequate protections for personal data as defined in the Data Protection Regulation.

Controller Binding Corporate Rules: the recipient of Personal Data has adopted Controller Binding Corporate Rules that cover the Co-Controlled Personal Data it Processes and warrants that it will maintain its Controller Binding Corporate Rules. EU Model Contract: the parties execute the Model Clauses hereby incorporated into this Schedule and ensure that its processors and sub-processors comply with the obligations of a data importer (as defined in the EU Model Contract). To the extent there is any conflict between the terms of this Schedule and the EU Model Contract, the terms of the EU Model Contract shall prevail. 2.7 SUB- PROCESSING To the extent the AWM engages third parties for the Processing of the Co-Controlled Personal Data, AWM agrees to do so in compliance with applicable Data Protection Regulation. 2.8 PERMITTED DISCLOSURES OF SHARED PERSONAL DATA On receipt of a legally binding request for disclosure of the Co-Controlled Personal Data by a law enforcement authority or a state security body, AWM may disclose Co-Controlled Personal Data to the extent such data is required to be disclosed by law, by any government or regulatory authority, or by a court of other authority of competent jurisdiction provided that such disclosure is not prohibited under the Data Protection Regulation. 2.9 LIABILITY Each party is responsible within the limits of its Processing of Personal data in accordance with the applicable Data Protection Regulation and security laws. 22/05/2018

ANNEXE PROTECTION DES DONNÉES PERSONNELLES (la «Liste») Les termes en majuscules utilisés dans la présente annexe ont la signification qui leur est attribuée à la section 1 ci-dessous ou à la convention. 1. DÉFINITIONS Contrôleur : toute personne physique ou morale, autorité publique, agence ou autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel susceptibles d'être réalisées dans le cadre du présent contrat. Données personnelles co-contrôlées : données personnelles provenant du client et pouvant être partagées avec AWM en tant que co-contrôleur indépendant dans le cadre de la fourniture de services. Règlement sur la protection des données : la loi sur la protection des données personnelles du pays où le contrôleur est établi. Pour les contrôleurs établis dans un État membre de l'union européenne (ci-après le «contrôleur de l UE»), la loi sur la protection des données applicable désigne le GDPR et toutes les réglementations et règles supplémentaires en vigueur dans le ou les États membres concernés de l'union européenne applicable au traitement. Personne concernée : toute personne physique identifiée ou identifiable auprès de laquelle des données personnelles sont collectées. GDPR : Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95 / 46 / CE. Données personnelles: toute information relative à une personne physique identifiée ou identifiable; une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, en particulier par référence à un identifiant tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques physiques, physiologiques, identité génétique, mentale, économique, culturelle ou sociale de cette personne Violation ou violation de données personnelles : toute violation de sécurité présumée ou réelle entraînant la destruction accidentelle ou illicite, la perte, la modification, la divulgation non autorisée ou l'accès aux données personnelles du client transmises, stockées ou autrement traitées. Traitement ou Traitement : toute opération ou ensemble d'opérations effectuées concernant des Données Personnelles, incluant sans limitation la collecte, l'enregistrement, l'organisation, le stockage, l'adaptation, l'altération, la récupération, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou la mise à disposition, combinant, liant à d'autres données, bloquant, effaçant ou détruisant des données personnelles de client.

2. PROTECTION DES DONNÉES PERSONNELLES 2.1 RELATION AVEC LES DONNÉES AWM et le client acceptent d'agir en tant que co-contrôleurs indépendants, comme suit : Le Client sera responsable en tant que Contrôleur en vertu du règlement de protection des données applicable et des lois de sécurité pour le traitement des données personnelles que le Client divulgue à AWM en relation avec les Services. AWM n'est pas responsable de l'exactitude de ces Données Personnelles, ni de la protection de la vie privée, de la protection des données ou de la sécurité de ces Données Personnelles, jusqu'au moment où elles les reçoivent du Client. AWM est responsable en tant que Contrôleur en vertu de la Réglementation sur la Protection des Données et des lois de sécurité applicables aux Données Personnelles reçues du Client ou des Sujets de Données qui peuvent bénéficier des Services ou autrement traitées en relation avec les Services. 2.2 CONFORMITÉ GÉNÉRALE Les deux parties doivent, à leurs frais, respecter leurs obligations en vertu du règlement sur la protection des données applicable, traiter les données à caractère personnel uniquement conformément aux exigences applicables et ne pas sciemment remplir leurs obligations en vertu de la présente annexe de manière à amener l'autre partie à enfreindre toute exigence applicable en vertu de la réglementation sur la protection des données. 2.3 SÉCURITÉ ET INCIDENT DE DONNÉES PERSONNELLES Tenant compte de l'état de la technique, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du Traitement ainsi que des risques de variation et de gravité des droits et libertés des personnes physiques auxquelles les Données Personnelles mettra en œuvre les mesures physiques, techniques et organisationnelles appropriées pour assurer un niveau de sécurité des données personnelles adapté au risque. Si une violation de données personnelles est détectée par AWM impliquant des données personnelles de tout sujet de données dans une relation employeur-employé avec le client, AWM en informera le client sans retard indu. AWM fournira au Client les informations disponibles concernant la violation et les informations. Si AWM est d'avis qu'il est nécessaire d'informer les personnes concernées de la violation, AWM en informera le client. 2.4 DEMANDES D'ACCÈS AU SUJET DES DONNÉES, COMMUNICATIONS ET AUTRES OBLIGATIONS Si une partie reçoit une plainte ou une demande de la personne concernée concernant le traitement dont elle est responsable, elle en informe rapidement cette dernière. 2.5 QUALITÉ DES DONNÉES, RÉCUPÉRATION ET DESTRUCTION AWM veillera à ce que les Données Personnelles contrôlées soient exactes, pertinentes et limitées à ce qui est nécessaire et conservera les Données Personnelles Co-contrôlées pendant plus que nécessaire.

2.6 TRANSFERTS INTERNATIONAUX DE DONNÉES PERSONNELLES AWM ne transfèrera pas les Données Personnelles Co-contrôlées à travers les frontières internationales en violation du Règlement sur la Protection des Données. En cas de transfert international de données personnelles co-contrôlées en dehors de l'ue / EEE, AWM le fera conformément à l'un des mécanismes de transfert valides en vertu du règlement sur la protection des données : Adéquation : Le traitement des données à caractère personnel est uniquement effectué dans des juridictions réputées avoir des protections adéquates pour les données à caractère personnel telles que définies dans le règlement sur la protection des données. Règles d'entreprise relatives aux contrôleurs : le destinataire des données personnelles a adopté des règles d'entreprise contraignantes pour les contrôleurs qui couvrent les données personnelles cocontrôlées qu'il traite et garantit qu'il maintiendra ses règles d'entreprise contraignantes pour les contrôleurs. Contrat-type de l UE : les parties exécutent les clauses types intégrées dans la présente annexe et veillent à ce que leurs sous-traitants et leurs sous-traitants respectent les obligations d'un importateur de données (tel que défini dans le contrat type UE). En cas de conflit entre les termes de la présente annexe et le contrat type de l'ue, les termes du contrat type de l'ue prévaudront. 2.7 SOUS-TRAITANCE Dans la mesure où le MN engage des tiers pour le Traitement des Données Personnelles Cocontrôlées, AWM s'engage à le faire en conformité avec le Règlement de Protection des Données applicable. 2.8 DIVULGATIONS PERMISES DE DONNÉES PERSONNELLES PARTAGÉES Sur réception d'une demande juridiquement contraignante de divulgation des Données Personnelles Co-contrôlées par une autorité de police ou un organisme de sécurité d'état, AWM peut divulguer des Données Personnelles Co-contrôlées dans la mesure où ces données doivent être divulguées par la loi, par tout l'autorité gouvernementale ou réglementaire, ou par un tribunal d'une autre autorité compétente, à condition que cette divulgation ne soit pas interdite en vertu du règlement sur la protection des données. 2.9 RESPONSABILITÉ Chaque partie est responsable dans les limites de son traitement des données personnelles en conformité avec le règlement de protection des données et les lois de sécurité. 22/05/2018