Accord sur le traitement des données (DPA)

Ce document décrit notre rôle en tant que responsable du traitement des données dans le cadre de réglementations telles que le GDPR européen, le LGPD brésilien, le Consumer Privacy Protection Act canadien et le California Consumer Privacy Act (CCPA), entre autres.

 

Le présent accord sur le traitement des données ("ATS"), qui inclut les clauses contractuelles types adoptées par la Commission européenne, le cas échéant, reflète l'accord entre le Client et les Clients en ce qui concerne les conditions régissant le traitement des données à caractère personnel.

Le présent DPA est une modification de l'accord sur les conditions de service ("l'accord"). La durée du présent DPA suit celle de l'accord. Les termes qui ne sont pas définis autrement dans le présent document ont la signification qui leur est donnée dans l'accord.

1. DÉFINITIONS

Le "responsable du traitement" est la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement des données à caractère personnel.

"Loi sur la protection des données" : toute la législation applicable en matière de protection des données et de la vie privée, y compris, sans s'y limiter, la directive 95/46/CE de l'UE sur la protection des données et toutes les lois et réglementations locales qui modifient ou remplacent l'une d'entre elles, y compris le GDPR, ainsi que toutes les lois nationales de mise en œuvre dans tout État membre de l'Union européenne ou, dans la mesure applicable, dans tout autre pays, telles que modifiées, abrogées, consolidées ou remplacées de temps à autre. Les termes "processus", "processus" et "traité" seront interprétés en conséquence.

La "personne concernée" est la personne physique à laquelle se rapportent les données à caractère personnel.

" GDPR " désigne le règlement général sur la protection des données (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

"Instruction" : instruction écrite et documentée, émise par le contrôleur à l'intention du sous-traitant et ordonnant à ce dernier d'effectuer une action spécifique concernant les données à caractère personnel (y compris, mais sans s'y limiter, la dépersonnalisation, le blocage, l'effacement, la mise à disposition).

"Données à caractère personnel" : toute information relative à une personne identifiée ou identifiable, lorsque cette information est contenue dans les données du client et qu'elle est protégée de la même manière que les données à caractère personnel ou les informations personnellement identifiables en vertu de la législation applicable en matière de protection des données.

On entend par "violation de données à caractère personnel" une violation de la sécurité entraînant accidentellement ou illégalement la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, stockées ou traitées d'une autre manière, ou l'accès à de telles données.

"Traitement" : toute opération ou ensemble d'opérations effectuées sur des données à caractère personnel, y compris la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, l'alignement ou la combinaison, la restriction ou l'effacement de données à caractère personnel.

Le terme "sous-traitant" désigne une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

"Clauses contractuelles types" : les clauses figurant à l'annexe A du présent document conformément à la décision de la Commission européenne (C(2010)593) du 5 février 2010 relative aux clauses contractuelles types pour le transfert de données à caractère personnel vers des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données.

2. DÉTAILS DU TRAITEMENT

a. Catégories de personnes concernées. les contacts du contrôleur et les autres utilisateurs finaux, y compris les employés du contrôleur, les contractants, les collaborateurs, les clients, les prospects, les fournisseurs et les sous-traitants. Les personnes concernées comprennent également les individus qui tentent de communiquer avec les utilisateurs finaux du contrôleur ou de leur transférer des données personnelles.

b. Types de données personnelles. les coordonnées, dont l'étendue est déterminée et contrôlée par le client à sa seule discrétion, et d'autres données personnelles telles que les données de navigation (y compris les informations relatives à l'utilisation du site web), les données de courrier électronique, les données relatives à l'utilisation du système, les données relatives à l'intégration des applications et d'autres données électroniques soumises, stockées, envoyées ou reçues par les utilisateurs finaux via le service d'abonnement.

c. Objet et nature du traitement. L'objet du traitement des données à caractère personnel par le sous-traitant est la fourniture au contrôleur de services impliquant le traitement de données à caractère personnel. Les données à caractère personnel sont soumises aux activités de traitement spécifiées dans l'accord et dans la commande.

d. Objectif du traitement. Les données à caractère personnel seront traitées dans le but de fournir les services définis et convenus dans l'accord et dans toute commande applicable.

e. Durée du traitement. Les données à caractère personnel seront traitées pendant la durée de l'accord, sous réserve de la section 4 du présent DPA.

3. RESPONSABILITÉ DU CLIENT

Dans le cadre de l'accord et de son utilisation des services, le contrôleur est seul responsable du respect des exigences légales en matière de protection des données et de la vie privée, notamment en ce qui concerne la divulgation et le transfert de données à caractère personnel au sous-traitant et le traitement des données à caractère personnel. Pour éviter toute ambiguïté, les instructions du contrôleur concernant le traitement des données à caractère personnel doivent être conformes à la loi sur la protection des données. Ce DPA est l'instruction complète et finale du Client à ClicData en ce qui concerne les Données Personnelles et que des instructions supplémentaires en dehors du champ d'application du DPA nécessiteraient un accord écrit préalable entre les parties. Les instructions sont initialement spécifiées dans l'accord et peuvent, de temps à autre par la suite, être modifiées, complétées ou remplacées par le contrôleur dans des instructions écrites distinctes (en tant qu'instructions individuelles).

Le responsable du traitement informe le sous-traitant dans les meilleurs délais et de manière exhaustive de toute erreur ou irrégularité liée aux dispositions légales relatives au traitement des données à caractère personnel.

4. OBLIGATIONS DU SOUS-TRAITANT

a) Respect des instructions. Les parties reconnaissent et acceptent que le Client est le Contrôleur des Données Personnelles et que ClicData est le Processeur de ces données. Le sous-traitant collecte, traite et utilise les données à caractère personnel uniquement dans le cadre des instructions du contrôleur et de l'utilisation de son logiciel.

Si le sous-traitant estime qu'une instruction du responsable du traitement enfreint la loi sur la protection des données, il en informe immédiatement le responsable du traitement.

Si le sous-traitant ne peut pas traiter les données à caractère personnel conformément aux instructions en raison d'une obligation légale en vertu de toute loi applicable de l'Union européenne ou d'un État membre, le sous-traitant s'engage à (i) notifier rapidement au contrôleur cette obligation légale avant le traitement concerné, dans la mesure où la loi sur la protection des données le permet ; et (ii) cesser tout traitement (autre que le simple stockage et le maintien de la sécurité des données à caractère personnel concernées) jusqu'à ce que le responsable du traitement émette de nouvelles instructions auxquelles le sous-traitant est en mesure de se conformer.

Si cette disposition est invoquée, le sous-traitant ne sera pas responsable envers le contrôleur en vertu de l'accord pour tout manquement à l'exécution des services applicables jusqu'à ce que le contrôleur émette de nouvelles instructions concernant le traitement.

b) Sécurité. Le sous-traitant prend les mesures techniques et organisationnelles appropriées pour protéger de manière adéquate les données à caractère personnel contre la destruction accidentelle ou illicite, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à celles-ci, conformément à l'annexe 2 des Clauses contractuelles types. Ces mesures comprennent, mais ne sont pas limitées à :

- empêcher les personnes non autorisées d'accéder aux systèmes de traitement des données à caractère personnel (contrôle d'accès physique),

- la prévention de l'utilisation sans autorisation des systèmes de traitement des données à caractère personnel (contrôle d'accès logique),

- veiller à ce que les personnes autorisées à utiliser un système de traitement des données à caractère personnel n'aient accès qu'aux données à caractère personnel auxquelles elles sont autorisées à accéder conformément à leurs droits d'accès et que, au cours du traitement ou de l'utilisation et après stockage, les données à caractère personnel ne puissent être lues, copiées, modifiées ou supprimées sans autorisation (contrôle d'accès aux données),

- veiller à ce que les données à caractère personnel ne puissent être lues, copiées, modifiées ou supprimées sans autorisation lors de la transmission électronique, du transport ou du stockage sur des supports de stockage, et à ce que les entités cibles de tout transfert de données à caractère personnel au moyen d'installations de transmission de données puissent être établies et vérifiées (contrôle du transfert de données),

- garantir la mise en place d'une piste d'audit permettant de savoir si et par qui des données à caractère personnel ont été introduites dans les systèmes de traitement des données à caractère personnel, modifiées dans ces systèmes ou supprimées de ces systèmes (contrôle d'entrée),

- veiller à ce que les données à caractère personnel soient traitées uniquement conformément aux instructions du contrôleur (contrôle des instructions),

- veiller à ce que les données à caractère personnel soient protégées contre la destruction ou la perte accidentelle (contrôle de la disponibilité).

Le sous-traitant facilitera le respect par le contrôleur de son obligation de mettre en œuvre des mesures de sécurité concernant les données à caractère personnel (y compris, le cas échéant, les obligations du contrôleur en vertu des articles 32 à 34 (inclus) du GDPR), par les moyens suivants (i) la mise en œuvre et le maintien des mesures de sécurité décrites à l'annexe 2, (ii) se conformer aux dispositions de la section 4.4 (Violation de données à caractère personnel) ; et (iii) fournir au contrôleur des informations relatives au traitement conformément à la section 5 (audits).

c) Confidentialité. Le sous-traitant veille à ce que tout membre du personnel qu'il autorise à traiter des données à caractère personnel en son nom soit soumis à des obligations de confidentialité à l'égard de ces données à caractère personnel. L'engagement de confidentialité est maintenu après la cessation des activités susmentionnées.

d) Violation de données à caractère personnel. Le sous-traitant notifie le contrôleur dès que possible après avoir pris connaissance d'une violation de données à caractère personnel affectant des données à caractère personnel. À la demande du contrôleur, le sous-traitant fournira rapidement au contrôleur toute l'assistance raisonnable nécessaire pour permettre au contrôleur de notifier les violations de données à caractère personnel pertinentes aux autorités compétentes et/ou aux personnes concernées, si le contrôleur est tenu de le faire en vertu de la loi sur la protection des données.

e) Demandes des personnes concernées. Le sous-traitant fournira une assistance raisonnable, y compris par des mesures techniques et organisationnelles appropriées et en tenant compte de la nature du traitement, pour permettre au contrôleur de répondre à toute demande des personnes concernées cherchant à exercer leurs droits en vertu de la loi sur la protection des données en ce qui concerne les données à caractère personnel (y compris l'accès, la rectification, la restriction, la suppression ou la portabilité des données à caractère personnel, selon le cas), dans la mesure permise par la loi. Si cette demande est adressée directement au sous-traitant, ce dernier en informera rapidement le contrôleur et conseillera aux personnes concernées de soumettre leur demande au contrôleur. Le contrôleur est seul responsable de la réponse à toute demande de la personne concernée. Le contrôleur rembourse au sous-traitant les coûts liés à cette assistance.

f) Sous-traitants. Le sous-traitant n'est autorisé à engager des sous-traitants secondaires pour remplir les obligations du sous-traitant définies dans l'accord qu'avec l'accord écrit du contrôleur. À ces fins, le contrôleur consent à ce que les sociétés affiliées du processeur et les tiers énumérés à l'annexe B soient engagés en tant que sous-traitants secondaires. Pour éviter toute ambiguïté, l'autorisation susmentionnée constitue le consentement écrit préalable du contrôleur au sous-traitement par le sous-traitant aux fins de la clause 11 des clauses contractuelles types.

Si le processeur a l'intention de charger des sous-traitants autres que les sociétés énumérées à l'annexe B, il en informera le contrôleur par écrit (un courriel à l'adresse ou aux adresses électroniques figurant dans les informations de compte du processeur pour le contrôleur suffit) et donnera au contrôleur la possibilité de s'opposer à l'engagement des nouveaux sous-traitants dans un délai de 30 jours après avoir été informé. L'objection doit être fondée sur des motifs raisonnables (par exemple, si le contrôleur prouve qu'il existe des risques importants pour la protection de ses données à caractère personnel chez le sous-traitant ultérieur). Si le responsable du traitement et le contrôleur ne parviennent pas à résoudre cette objection, l'une ou l'autre partie peut résilier l'accord en adressant une notification écrite à l'autre partie.

Lorsque le sous-traitant fait appel à des sous-traitants secondaires, il conclut avec eux un contrat qui leur impose les mêmes obligations que celles qui s'appliquent au sous-traitant en vertu du présent DPA. Lorsque le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données, le sous-traitant ultérieur reste responsable vis-à-vis du contrôleur de l'exécution des obligations du sous-traitant ultérieur.

Lorsqu'un sous-traitant ultérieur est engagé, le contrôleur doit se voir accorder le droit de contrôler et d'inspecter les activités du sous-traitant ultérieur conformément au présent DPA et à la loi sur la protection des données, y compris d'obtenir du sous-traitant, sur demande écrite, des informations sur le contenu du contrat et la mise en œuvre des obligations en matière de protection des données en vertu du contrat de sous-traitance ultérieur, le cas échéant en inspectant les documents contractuels pertinents.

Les dispositions de la présente section 4.6 s'appliquent mutuellement si le sous-traitant fait appel à un sous-traitant ultérieur dans un pays situé en dehors de l'Espace économique européen ("EEE") qui n'est pas reconnu par la Commission européenne comme offrant un niveau de protection adéquat des données à caractère personnel. Si, dans le cadre de l'exécution de ce DPA, ClicData transfère des Données Personnelles à un sous-traitant situé en dehors de l'EEE, ClicData devra, avant un tel transfert, s'assurer qu'un mécanisme juridique permettant d'atteindre l'adéquation en ce qui concerne ce traitement est en place.

g) Transferts de données. Le Contrôleur reconnaît et accepte que, dans le cadre de l'exécution des services en vertu de l'Accord, certaines données relatives au service du Contrôleur, à l'abonnement et aux métadonnées des données du Contrôleur seront transférées vers les serveurs de ClicData situés aux États-Unis. Afin de mettre en œuvre des garanties appropriées pour ces transferts conformément à l'article 46 du GDPR.

Les données du contrôleur resteront dans la région choisie par le contrôleur au début du service. Si le contrôleur choisit un lieu de stockage des données situé en dehors de l'EEE, les clauses contractuelles types de l'annexe A s'appliqueront aux données personnelles transférées en dehors de l'EEE, soit directement, soit par transfert ultérieur, vers tout pays qui n'est pas reconnu par la Commission européenne comme offrant un niveau adéquat de protection des données personnelles (tel que décrit dans la loi sur la protection des données).

h) Suppression ou récupération des données à caractère personnel. Sauf dans la mesure requise pour se conformer à la loi sur la protection des données, après la résiliation ou l'expiration de l'accord, le sous-traitant supprimera toutes les données à caractère personnel (y compris les copies de celles-ci) traitées conformément au présent DPA. Si le sous-traitant n'est pas en mesure de supprimer les données à caractère personnel pour des raisons techniques ou autres, il prendra des mesures pour garantir que les données à caractère personnel ne pourront plus faire l'objet d'un traitement ultérieur.

Lors de la résiliation ou de l'expiration de l'accord et par le biais d'une instruction, le responsable du traitement doit stipuler, dans un délai fixé par le sous-traitant, les mesures raisonnables à prendre pour restituer les données ou supprimer les données stockées. Tout coût supplémentaire lié à la restitution ou à la suppression des données à caractère personnel après la résiliation ou l'expiration de l'accord est à la charge du contrôleur.

5. AUDITS

Le responsable du traitement peut, avant le début du traitement et à intervalles réguliers par la suite, vérifier les mesures techniques et organisationnelles prises par le sous-traitant.

À cette fin, le contrôleur peut obtenir des informations auprès du sous-traitant, demander au sous-traitant de lui présenter une attestation ou un certificat existant établi par un expert professionnel indépendant ou, moyennant un accord préalable raisonnable et opportun, pendant les heures de bureau normales et sans interrompre les activités commerciales du sous-traitant, procéder à une inspection sur place des activités commerciales du sous-traitant ou faire procéder à cette inspection par un tiers qualifié qui ne doit pas être un concurrent du sous-traitant.

Sur demande écrite du contrôleur et dans un délai raisonnable, le sous-traitant lui fournit toutes les informations nécessaires à cet audit, dans la mesure où ces informations sont sous le contrôle du sous-traitant et que celui-ci n'est pas empêché de les divulguer en vertu de la loi applicable, d'un devoir de confidentialité ou de toute autre obligation à l'égard d'une tierce partie.

6. DISPOSITIONS GÉNÉRALES

En ce qui concerne les mises à jour et les modifications de ce DPA, les conditions applicables dans la section "Amendement ; pas de renonciation" de la rubrique "Divers" de l'accord s'appliquent.

En cas de conflit, le présent DPA prévaut sur les dispositions de l'accord. Si certaines dispositions du présent DPA sont invalides ou inapplicables, la validité et l'applicabilité des autres dispositions du présent DPA n'en seront pas affectées.

Lors de l'incorporation du présent DPA dans le contrat, les parties indiquées à la section 7 ci-dessous (parties au présent DPA) acceptent les clauses contractuelles types (le cas échéant) et toutes les annexes qui y sont jointes. En cas de conflit ou d'incohérence entre le présent DPA et les clauses contractuelles types figurant à l'annexe A, les clauses contractuelles types prévalent.

À compter du 25 mai 2018, ClicData traitera les Données Personnelles conformément aux exigences du GDPR contenues dans les présentes qui sont directement applicables à la fourniture par ClicData des Services d'Abonnement.

7. PARTIES AU PRÉSENT DPA

Le présent DPA est un amendement à l'accord et en fait partie intégrante. Dès l'incorporation du présent DPA dans l'accord (i) le contrôleur et l'entité ClicData qui sont chacun partie à l'accord sont également chacun partie à ce DPA, et (ii) dans la mesure où ClicData n'est pas partie à l'Accord, ClicData est partie à ce DPA, mais seulement en ce qui concerne l'accord sur les Clauses Contractuelles Types du DPA, cette Section 7 du DPA, et les Clauses Contractuelles Types elles-mêmes.

Si ClicData n'est pas partie à l'Accord, la section de l'Accord intitulée "Limitation de responsabilité" s'appliquera entre le Contrôleur et ClicData et, à cet égard, toute référence à "ClicData", "nous", "notre" ou "nos" inclura à la fois ClicData et l'entité ClicData qui est partie à l'Accord.

La personne morale qui accepte le présent DPA en tant que responsable du traitement déclare qu'elle est autorisée à accepter et à conclure le présent DPA pour le responsable du traitement et qu'elle accepte le présent DPA uniquement en son nom.

Annexe A - Clauses contractuelles types (transformateurs)

Aux fins de l'article 26, paragraphe 2, de la directive 95/46/CE pour le transfert de données à caractère personnel à des sous-traitants établis dans des pays tiers qui n'assurent pas un niveau adéquat de protection des données,

Le Client, tel que défini dans les Conditions Générales de Vente ClicData (l'"exportateur de données") et ClicData SAS, 9 place Rihour, 59800, Lille, France (l'"importateur de données"), chacun étant une "partie" ; ensemble "les parties", SONT CONVENUES des Clauses Contractuelles suivantes (les Clauses) afin de mettre en place des garanties adéquates en matière de protection de la vie privée et des libertés et droits fondamentaux des personnes physiques pour le transfert par l'exportateur de données à l'importateur de données des données à caractère personnel spécifiées à l'Annexe 1.

Clause 1 - Définitions

Aux fins des clauses :

Les termes "données à caractère personnel", "catégories particulières de données", "traitement", "responsable du traitement", "sous-traitant", "personne concernée" et "autorité de contrôle" ont la même signification que dans la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

l'exportateur de données" : le responsable du traitement qui transfère les données à caractère personnel ;

l'importateur de données" : le sous-traitant qui accepte de recevoir de l'exportateur de données des données à caractère personnel destinées à être traitées pour son compte après le transfert conformément à ses instructions et aux termes des clauses et qui n'est pas soumis au système d'un pays tiers assurant une protection adéquate au sens de l'article 25, paragraphe 1, de la directive 95/46/CE ;

le sous-traitant" : tout sous-traitant engagé par l'importateur de données ou par tout autre sous-traitant de l'importateur de données qui accepte de recevoir de l'importateur de données ou de tout autre sous-traitant de l'importateur de données des données à caractère personnel exclusivement destinées à des activités de traitement à effectuer pour le compte de l'exportateur de données après le transfert conformément à ses instructions, aux clauses et aux conditions du contrat de sous-traitance écrit ;

législation applicable en matière de protection des données" : la législation protégeant les libertés et droits fondamentaux des personnes et, en particulier, leur droit à la vie privée en ce qui concerne le traitement des données à caractère personnel, applicable à un responsable du traitement des données dans l'État membre dans lequel l'exportateur de données est établi ;

mesures de sécurité techniques et organisationnelles" : les mesures visant à protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement implique la transmission de données par l'intermédiaire d'un réseau, et contre toute autre forme de traitement illicite.

Clause 2 - Détails du transfert

Les détails du transfert et, en particulier, les catégories spéciales de données à caractère personnel, le cas échéant, sont précisés à l'annexe 1, qui fait partie intégrante des clauses.

Clause 3 - Clause du tiers bénéficiaire

La personne concernée peut opposer à l'exportateur de données la présente clause, la clause 4, points b) à i), la clause 5, points a) à e) et g) à j), la clause 6, points 1 et 2, la clause 7, la clause 8, point 2, et les clauses 9 à 12 en tant que tiers bénéficiaire.

La personne concernée peut faire appliquer la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12 à l'encontre de l'importateur de données dans les cas où l'exportateur de données a effectivement disparu ou a cessé d'exister en droit, à moins qu'une entité succédant à l'exportateur de données n'ait assumé l'ensemble des obligations juridiques de ce dernier par contrat ou par effet de la loi, reprenant ainsi les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire appliquer à l'encontre de cette entité.

La personne concernée peut opposer au sous-traitant ultérieur la présente clause, la clause 5, points a) à e) et g), la clause 6, la clause 7, la clause 8, paragraphe 2, et les clauses 9 à 12, dans les cas où l'exportateur de données et l'importateur de données ont disparu dans les faits, ont cessé d'exister en droit ou sont devenus insolvables, à moins qu'une entité succédant à l'exportateur de données n'ait assumé l'ensemble des obligations légales de ce dernier par contrat ou par effet de la loi, en conséquence de quoi elle assume les droits et obligations de l'exportateur de données, auquel cas la personne concernée peut les faire valoir auprès de cette entité. La responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des clauses.

Les parties ne s'opposent pas à ce qu'une personne concernée soit représentée par une association ou un autre organisme si la personne concernée le souhaite expressément et si le droit national le permet.

Clause 4 - Obligations de l'exportateur de données

L'exportateur de données accepte et garantit :

(a) que le traitement, y compris le transfert lui-même, des données à caractère personnel a été et continuera d'être effectué conformément aux dispositions pertinentes de la législation applicable en matière de protection des données (et, le cas échéant, a été notifié aux autorités compétentes de l'État membre dans lequel l'exportateur de données est établi) et n'enfreint pas les dispositions pertinentes de cet État ;

(b) qu'il a donné instruction à l'importateur de données de traiter les données à caractère personnel transférées uniquement pour le compte de l'exportateur de données et conformément à la législation applicable en matière de protection des données et aux clauses, et qu'il continuera à le faire pendant toute la durée des services de traitement des données à caractère personnel ;

(c) que l'importateur de données fournira des garanties suffisantes en ce qui concerne les mesures de sécurité techniques et organisationnelles spécifiées à l'annexe 2 du présent contrat ;

(d) qu'après évaluation des exigences de la législation applicable en matière de protection des données, les mesures de sécurité sont appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l'altération, la diffusion ou l'accès non autorisés, notamment lorsque le traitement comporte des transmissions de données sur un réseau, et contre toute autre forme de traitement illicite, et que ces mesures assurent un niveau de sécurité approprié au regard des risques présentés par le traitement et de la nature des données à protéger, compte tenu de l'état de l'art et du coût de leur mise en œuvre ;

(e) qu'il veillera au respect des mesures de sécurité ;

(f) que, si le transfert porte sur des catégories particulières de données, la personne concernée a été informée ou sera informée avant le transfert, ou dans les meilleurs délais après celui-ci, que ses données pourraient être transmises à un pays tiers n'assurant pas un niveau de protection adéquat au sens de la directive 95/46/CE ;

(g) transmettre toute notification reçue de l'importateur de données ou de tout sous-traitant ultérieur conformément à la clause 5, point b), et à la clause 8, paragraphe 3, à l'autorité de contrôle de la protection des données si l'exportateur de données décide de poursuivre le transfert ou de lever la suspension ;

(h) mettre à la disposition des personnes concernées qui en font la demande une copie des clauses, à l'exception de l'appendice 2, et une description sommaire des mesures de sécurité, ainsi qu'une copie de tout contrat de services de sous-traitance qui doit être conclu conformément aux clauses, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas elle peut retirer ces informations commerciales ;

(i) que, en cas de sous-traitance, l'activité de traitement est effectuée conformément à la clause 11 par un sous-traitant qui assure au moins le même niveau de protection des données à caractère personnel et des droits de la personne concernée que l'importateur de données en vertu des clauses ; et

(j) qu'il veillera au respect de la clause 4, points a) à i).

Clause 5 - Obligations de l'importateur de données

L'importateur de données accepte et garantit :

(a) à ne traiter les données à caractère personnel que pour le compte de l'exportateur de données et conformément à ses instructions et aux clauses ; s'il n'est pas en mesure de le faire pour quelque raison que ce soit, il s'engage à informer rapidement l'exportateur de données de son incapacité à se conformer, auquel cas l'exportateur de données est en droit de suspendre le transfert de données et/ou de résilier le contrat ;

(b) qu'il n'a aucune raison de croire que la législation qui lui est applicable l'empêche de respecter les instructions reçues de l'exportateur de données et ses obligations en vertu du contrat et qu'en cas de modification de cette législation susceptible d'avoir un effet négatif important sur les garanties et obligations prévues par les clauses, il notifiera rapidement la modification à l'exportateur de données dès qu'il en aura connaissance, auquel cas l'exportateur de données a le droit de suspendre le transfert de données et/ou de résilier le contrat ;

(c) qu'il a mis en œuvre les mesures de sécurité techniques et organisationnelles spécifiées à l'appendice 2 avant de traiter les données à caractère personnel transférées ;

(d) qu'il informera rapidement l'exportateur de données :

(i) toute demande juridiquement contraignante de divulgation des données à caractère personnel par une autorité chargée de l'application de la loi, sauf interdiction contraire, telle qu'une interdiction en vertu du droit pénal de préserver la confidentialité d'une enquête menée par une autorité chargée de l'application de la loi ;

(ii) tout accès accidentel ou non autorisé ; et

(iii) toute demande reçue directement des personnes concernées, sans répondre à cette demande, à moins qu'il n'ait été autrement autorisé à le faire ;

(e) traiter rapidement et correctement toutes les demandes de l'exportateur de données concernant son traitement des données à caractère personnel faisant l'objet du transfert et se conformer à l'avis de l'autorité de contrôle en ce qui concerne le traitement des données transférées ;

(f) à la demande de l'exportateur de données, soumettre ses installations de traitement des données à un audit des activités de traitement couvertes par les présentes clauses, qui est effectué par l'exportateur de données ou par un organisme de contrôle composé de membres indépendants et possédant les qualifications professionnelles requises, soumis à une obligation de confidentialité, sélectionné par l'exportateur de données, le cas échéant, en accord avec l'autorité de contrôle ;

(g) mettre à la disposition de la personne concernée qui en fait la demande une copie des clauses ou de tout contrat de sous-traitance existant, à moins que les clauses ou le contrat ne contiennent des informations commerciales, auquel cas il peut supprimer ces informations commerciales, à l'exception de l'appendice 2, qui est remplacé par une description sommaire des mesures de sécurité dans les cas où la personne concernée n'est pas en mesure d'en obtenir une copie auprès de l'exportateur de données ;

(h) qu'en cas de sous-traitance, il a préalablement informé l'exportateur de données et obtenu son consentement écrit ;

(i) que les services de traitement par le sous-traitant ultérieur seront effectués conformément à la clause 11 ;

(j) à envoyer rapidement à l'exportateur de données une copie de tout accord de sous-traitance qu'il conclut en vertu des présentes clauses.

Clause 6 - Responsabilité

Les parties conviennent que toute personne concernée ayant subi un préjudice du fait d'un manquement aux obligations visées à la clause 3 ou à la clause 11 par une partie ou un sous-traitant ultérieur a le droit d'être indemnisée par l'exportateur de données pour le préjudice subi.

Si une personne concernée n'est pas en mesure d'introduire une demande d'indemnisation conformément au paragraphe 1 à l'encontre de l'exportateur de données, en raison d'un manquement de l'importateur de données ou de son sous-traitant ultérieur à l'une des obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur de données a disparu dans les faits, a cessé d'exister en droit ou est devenu insolvable, l'importateur de données accepte que la personne concernée puisse intenter une action contre l'importateur de données comme s'il était l'exportateur de données, à moins qu'une entité succédant à l'exportateur de données n'ait assumé l'ensemble des obligations légales de ce dernier par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits contre cette entité.

L'importateur de données ne peut se prévaloir d'un manquement d'un sous-traitant ultérieur à ses obligations pour se soustraire à ses propres responsabilités.

Si une personne concernée n'est pas en mesure d'introduire une réclamation contre l'exportateur de données ou l'importateur de données visés aux paragraphes 1 et 2, en raison d'un manquement du sous-traitant ultérieur à l'une de ses obligations visées à la clause 3 ou à la clause 11, parce que l'exportateur de données et l'importateur de données ont disparu dans les faits, ont cessé d'exister en droit ou sont devenus insolvables, le sous-traitant ultérieur accepte que la personne concernée puisse introduire une réclamation contre le sous-traitant ultérieur en ce qui concerne ses propres opérations de traitement en vertu des clauses, comme s'il s'agissait de l'exportateur ou de l'importateur de données, à moins qu'une entité successeur n'ait assumé l'ensemble des obligations légales de l'exportateur ou de l'importateur de données par contrat ou par effet de la loi, auquel cas la personne concernée peut faire valoir ses droits à l'encontre de cette entité. La responsabilité du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des clauses.

Clause 7 - Médiation et compétence

L'importateur de données convient que si la personne concernée invoque à son encontre les droits de tiers bénéficiaires et/ou demande des dommages-intérêts en vertu des clauses, l'importateur de données acceptera la décision de la personne concernée :

(a) de soumettre le litige à la médiation d'une personne indépendante ou, le cas échéant, de l'autorité de contrôle ;

(b) de porter le litige devant les tribunaux de l'État membre dans lequel l'exportateur de données est établi.

Les parties conviennent que le choix effectué par la personne concernée ne porte pas atteinte à ses droits substantiels ou procéduraux de demander réparation conformément à d'autres dispositions du droit national ou international.

Clause 8 - Coopération avec les autorités de contrôle

L'exportateur de données s'engage à déposer une copie du présent contrat auprès de l'autorité de contrôle si celle-ci en fait la demande ou si ce dépôt est requis en vertu de la loi applicable en matière de protection des données.

Les parties conviennent que l'autorité de contrôle a le droit de procéder à un audit de l'importateur de données et de tout sous-traitant ultérieur, qui a la même portée et est soumis aux mêmes conditions que celles qui s'appliqueraient à un audit de l'exportateur de données en vertu de la législation applicable en matière de protection des données.

L'importateur de données informe sans délai l'exportateur de données de l'existence d'une législation qui lui est applicable ou qui est applicable à tout sous-traitant ultérieur et qui empêche la réalisation d'un audit de l'importateur de données ou de tout sous-traitant ultérieur conformément au paragraphe 2. Dans ce cas, l'exportateur de données est autorisé à prendre les mesures prévues à la clause 5(b).

Clause 9 - Droit applicable

Les clauses sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi.

Clause 10 - Modification du contrat

Les parties s'engagent à ne pas varier ou modifier les clauses. Cela n'empêche pas les parties d'ajouter, le cas échéant, des clauses sur des questions d'ordre commercial, pour autant qu'elles ne contredisent pas la clause.

Clause 11 - Sous-transformation

L'importateur de données ne peut sous-traiter aucune des opérations de traitement effectuées pour le compte de l'exportateur de données en vertu des présentes clauses sans l'accord écrit préalable de l'exportateur de données. Lorsque l'importateur de données sous-traite ses obligations au titre des présentes clauses, avec le consentement de l'exportateur de données, il ne peut le faire qu'au moyen d'un accord écrit avec le sous-traitant ultérieur qui impose au sous-traitant ultérieur les mêmes obligations que celles qui sont imposées à l'importateur de données au titre des présentes clauses. Lorsque le sous-traitant ultérieur ne remplit pas ses obligations en matière de protection des données en vertu d'un tel accord écrit, l'importateur de données reste pleinement responsable vis-à-vis de l'exportateur de données de l'exécution des obligations du sous-traitant ultérieur en vertu de cet accord.

Le contrat écrit préalable entre l'importateur de données et le sous-traitant ultérieur prévoit également une clause de tiers bénéficiaire telle que prévue à la clause 3 pour les cas où la personne concernée n'est pas en mesure d'introduire la demande d'indemnisation visée au paragraphe 1 de la clause 6 à l'encontre de l'exportateur de données ou de l'importateur de données parce qu'ils ont disparu dans les faits ou ont cessé d'exister en droit ou sont devenus insolvables et qu'aucune entité succédant à l'exportateur de données ou à l'importateur de données n'a assumé l'intégralité des obligations juridiques de ce dernier par contrat ou par effet de la loi. La responsabilité civile du sous-traitant ultérieur est limitée à ses propres opérations de traitement en vertu des clauses.

Les dispositions relatives aux aspects de la protection des données pour le traitement secondaire du contrat visé au paragraphe 1 sont régies par le droit de l'État membre dans lequel l'exportateur de données est établi.

L'exportateur de données tient une liste des accords de sous-traitance conclus en vertu des Clauses et notifiés par l'importateur de données conformément à la Clause 5(j), qui est mise à jour au moins une fois par an. La liste est mise à la disposition de l'autorité de contrôle de la protection des données de l'exportateur de données.

Clause 12 - Obligation après la cessation des services de traitement des données à caractère personnel

Les parties conviennent qu'à la fin de la fourniture des services de traitement des données, l'importateur de données et le sous-traitant ultérieur doivent, au choix de l'exportateur de données, restituer toutes les données à caractère personnel transférées et leurs copies à l'exportateur de données ou détruire toutes les données à caractère personnel et certifier à l'exportateur de données qu'ils l'ont fait, à moins que la législation imposée à l'importateur de données ne l'empêche de restituer ou de détruire la totalité ou une partie des données à caractère personnel transférées. Dans ce cas, l'importateur de données garantit qu'il assurera la confidentialité des données à caractère personnel transférées et qu'il ne traitera plus activement les données à caractère personnel transférées.

L'importateur de données et le sous-traitant ultérieur garantissent que, à la demande de l'exportateur de données et/ou de l'autorité de contrôle, ils soumettront leurs installations de traitement des données à un audit des mesures visées au paragraphe 1.

ANNEXE 1 des clauses contractuelles types

Cette annexe fait partie des clauses. Les États membres peuvent compléter ou préciser, selon leurs procédures nationales, toute information supplémentaire nécessaire devant figurer dans le présent appendice.

Exportateur de données : L'exportateur de données est le Client, tel que défini dans les Conditions Générales d'Utilisation de ClicData ("Accord").

Importateur de données : L'importateur de données est ClicData, Inc, un fournisseur mondial de logiciels de marketing et de vente entrants.

Personnes concernées : Catégories de personnes concernées définies à la section 2 de l'accord sur le traitement des données auquel les clauses sont annexées.

Catégories de données : Catégories de données à caractère personnel définies à la section 2 de l'accord sur le traitement des données auquel les clauses sont annexées.

Catégories particulières de données (le cas échéant) : Les parties ne prévoient pas le transfert de catégories particulières de données.

Opérations de traitement : Les activités de traitement décrites à la section 2 de l'accord sur le traitement des données auquel les clauses sont annexées.
Annexe 2 aux clauses contractuelles types

Cette annexe fait partie des clauses.

Description des mesures de sécurité techniques et organisationnelles mises en œuvre par l'importateur de données conformément à la clause 4, point d), et à la clause 5, point c) (ou document/législation joint) :

ClicData observe actuellement les pratiques de sécurité décrites dans la présente annexe 2. Nonobstant toute disposition contraire acceptée par l'exportateur de données, ClicData peut modifier ou mettre à jour ces pratiques à sa discrétion, à condition qu'une telle modification ou mise à jour n'entraîne pas une dégradation matérielle de la protection offerte par ces pratiques. Tous les termes en majuscules qui ne sont pas définis dans le présent document ont la signification qui leur est donnée dans l'accord.

a) Contrôle d'accès

i) Empêcher l'accès non autorisé au produit

Traitement externalisé : ClicData héberge son Service auprès de fournisseurs d'infrastructures cloud externalisées. En outre, ClicData entretient des relations contractuelles avec des fournisseurs afin de fournir le Service conformément à notre accord sur le traitement des données. ClicData s'appuie sur des accords contractuels, des politiques de confidentialité et des programmes de conformité des fournisseurs afin de protéger les données traitées ou stockées par ces fournisseurs.

Sécurité physique et environnementale : ClicData héberge l'infrastructure de ses produits chez des fournisseurs d'infrastructure externalisée à plusieurs locataires. Les contrôles de sécurité physique et environnementale font l'objet d'un audit de conformité SOC 2 Type II et ISO 27001, entre autres certifications.

Authentification : ClicData a mis en place une politique de mot de passe uniforme pour les produits de ses clients. Les clients qui interagissent avec les produits via l'interface utilisateur doivent s'authentifier avant d'accéder aux données non publiques des clients.

Autorisation : Les données des clients sont stockées dans des systèmes de stockage à plusieurs locataires, accessibles aux clients uniquement par le biais d'interfaces utilisateur et d'interfaces de programmation d'applications. Les clients ne sont pas autorisés à accéder directement à l'infrastructure applicative sous-jacente. Le modèle d'autorisation de chacun des produits ClicData est conçu pour s'assurer que seules les personnes désignées de manière appropriée peuvent accéder aux fonctionnalités, vues et options de personnalisation pertinentes. L'autorisation d'accès aux ensembles de données s'effectue en validant les autorisations de l'utilisateur par rapport aux attributs associés à chaque ensemble de données.

Accès à l'interface de programmation d'applications (API) : Il est possible d'accéder aux API publiques des produits à l'aide d'une clé API ou d'une autorisation Oauth.

ii) Prévention de l'utilisation non autorisée des produits

ClicData met en œuvre des contrôles d'accès et des capacités de détection conformes aux normes de l'industrie pour les réseaux internes qui supportent ses produits.

Contrôles d'accès : Les mécanismes de contrôle d'accès au réseau sont conçus pour empêcher le trafic réseau utilisant des protocoles non autorisés d'atteindre l'infrastructure du produit. Les mesures techniques mises en œuvre diffèrent d'un fournisseur d'infrastructure à l'autre et comprennent des implémentations de nuages privés virtuels (VPC), l'affectation de groupes de sécurité et des règles de pare-feu traditionnelles.

Détection et prévention des intrusions : ClicData a mis en œuvre une solution de pare-feu d'application Web (WAF) pour protéger les sites Web hébergés des clients et d'autres applications accessibles par Internet. Le WAF est conçu pour identifier et prévenir les attaques contre les services de réseau accessibles au public.

Analyse statique du code : Des examens de sécurité du code stocké dans les référentiels de code source de ClicData sont effectués, vérifiant les meilleures pratiques de codage et les failles logicielles identifiables.

Tests de pénétration : ClicData entretient des relations avec des fournisseurs de services de tests de pénétration reconnus par l'industrie pour quatre tests de pénétration annuels. L'objectif des tests de pénétration est d'identifier et de résoudre les vecteurs d'attaque prévisibles et les scénarios d'abus potentiels.

Bug bounty : Un programme de récompense des bogues invite et incite les chercheurs indépendants en sécurité à découvrir et à divulguer des failles de sécurité de manière éthique. ClicData a mis en place un programme de récompense des bogues dans le but d'élargir les possibilités d'engagement avec la communauté de la sécurité et d'améliorer les défenses du produit contre les attaques sophistiquées.

iii) Limitations des exigences en matière de privilège et d'autorisation

Accès aux produits : Un sous-ensemble d'employés de ClicData a accès aux produits et aux données des clients par le biais d'interfaces contrôlées. L'objectif de l'accès à un sous-ensemble d'employés est de fournir un soutien efficace à la clientèle, de résoudre les problèmes potentiels, de détecter les incidents de sécurité et d'y répondre, et de mettre en œuvre la sécurité des données. L'accès est possible grâce à des demandes d'accès "juste à temps" ; toutes ces demandes sont enregistrées. Les employés se voient accorder un accès en fonction de leur rôle, et des examens des privilèges à haut risque sont effectués quotidiennement. Les rôles des employés sont revus au moins une fois tous les six mois.

Vérification des antécédents : Tous les employés de ClicData font l'objet d'une vérification de leurs antécédents par un tiers avant de recevoir une offre d'emploi, conformément aux lois applicables. Tous les employés sont tenus de se comporter d'une manière conforme aux lignes directrices de l'entreprise, aux exigences de non-divulgation et aux normes éthiques.

b) Contrôle de la transmission

En transit : ClicData rend le cryptage HTTPS (également appelé SSL ou TLS) disponible sur chacune de ses interfaces de connexion et gratuitement sur chaque site client hébergé sur les produits ClicData. L'implémentation HTTPS de ClicData utilise des algorithmes et des certificats standards de l'industrie.

Au repos : ClicData stocke les mots de passe des utilisateurs conformément aux politiques qui suivent les pratiques standard de l'industrie en matière de sécurité. ClicData a mis en place des technologies pour s'assurer que les données stockées sont cryptées au repos.

c) Contrôle des entrées

Détection : ClicData a conçu son infrastructure pour enregistrer de nombreuses informations sur le comportement du système, le trafic reçu, l'authentification du système et d'autres demandes d'application. Les systèmes internes regroupent les données des journaux et alertent les employés concernés en cas d'activités malveillantes, involontaires ou anormales. Le personnel de ClicData, y compris le personnel de sécurité, d'exploitation et de soutien, réagit aux incidents connus.

Réponse et suivi : ClicData maintient un registre des incidents de sécurité connus qui comprend la description, les dates et heures des activités pertinentes, et la disposition de l'incident. Les incidents de sécurité suspectés et confirmés font l'objet d'une enquête par le personnel de sécurité, d'exploitation ou d'assistance, et les mesures de résolution appropriées sont identifiées et documentées. Pour tout incident confirmé, ClicData prendra les mesures appropriées pour minimiser les dommages causés aux produits et aux clients ou la divulgation non autorisée.

Communication : Si ClicData a connaissance d'un accès illégal aux données du Client stockées dans ses produits, ClicData s'engage à : 1) notifier l'incident aux clients concernés ; 2) fournir une description des mesures prises par ClicData pour résoudre l'incident ; et 3) fournir des mises à jour sur l'état de la situation au contact du Client, si ClicData le juge nécessaire. Les notifications d'incidents, s'il y en a, seront délivrées à un ou plusieurs contacts du Client sous une forme choisie par ClicData, qui peut inclure le courrier électronique ou le téléphone.

d) Contrôle de la disponibilité

Disponibilité de l'infrastructure : Les fournisseurs d'infrastructure déploient des efforts commercialement raisonnables pour garantir un temps de disponibilité minimum de 99,95 %. Les fournisseurs maintiennent une redondance minimale de N+1 pour l'alimentation électrique, le réseau et les services de chauffage, de ventilation et de climatisation.

Tolérance aux pannes : Les stratégies de sauvegarde et de réplication sont conçues pour assurer la redondance et le basculement des protections en cas de défaillance importante du traitement. Les données des clients sont sauvegardées dans plusieurs magasins de données durables et répliquées dans plusieurs zones de disponibilité.

Répliques et sauvegardes en ligne : Dans la mesure du possible, les bases de données de production sont conçues pour répliquer les données entre au moins une base de données primaire et une base de données secondaire. Toutes les bases de données sont sauvegardées et maintenues en utilisant au moins les méthodes standard de l'industrie.

Les produits ClicData sont conçus pour assurer la redondance et le basculement en toute transparence. Les instances de serveurs qui supportent les produits sont également conçues de manière à éviter les points de défaillance uniques. Cette conception aide les opérations de ClicData à maintenir et à mettre à jour les applications et le backend du produit tout en limitant les temps d'arrêt.

Annexe B - Liste des sous-traitants

Microsoft, Inc.
Braintree, Inc.
SendGrid, Inc.
Toute autre société et filiale de ClicData détenue à 100 %.