Contrat de traitement des données

Télécharger au format PDF

Cet accord de traitement des données s'applique à vous si vous vous êtes inscrit à nos services (y compris par l'intermédiaire de l'un de nos affiliés) avant, le ou après le 1er février 2024 à 13h CET. Notre accord de traitement des données archivé est disponible ici.

Cet Accord de Traitement des Données, y compris les annexes, (« DPA ») fait partie de l'Accord entre nous et le Client pour l'achat de services de communication (en ligne) de notre part afin de refléter l'accord des Parties concernant le traitement des Données Personnelles du Client. Dans ce DPA, les termes « vous », « votre » ou « Client » vous désignent en tant que notre Client (sous réserve de l'Article 1.2 ci-dessous), et les termes « nous », « notre » ou « nos » nous désignent en tant que Fournisseur (tel que défini ci-dessous). Les termes en majuscules utilisés dans ce DPA mais non définis ci-dessous sont définis dans nos Conditions Générales ou dans tout autre Accord avec nous régissant votre utilisation des Services.

1.1 Portée

Ce DPA régit le traitement des Données Personnelles du Client par nous en tant que processeur.

1.2 Affiliés clients

Le client conclut ce DPA en son nom et, dans la mesure requise par les lois sur la protection des données, au nom et pour le compte de ses Affiliés (tels que définis dans les Conditions), si et dans la mesure où vous donnez accès à ces Affiliés aux Services et que nous traitons les Données Personnelles du Client pour lesquelles ces Affiliés qualifient en tant que responsable du traitement (« Affiliés du Client »). Aux fins de ce DPA uniquement, et sauf indication contraire, les termes « Client » et « vous » comprennent le Client et les Affiliés du Client.

1.3 Conditions

Cette DPA restera en vigueur tant que nous traiterons les Données Personnelles du Client soumises à cette DPA, nonobstant l'expiration ou la résiliation de l'Accord.

2. Définitions

Données de compte

« Données du compte » désigne toute donnée personnelle fournie par vous ou pour vous à nous en lien avec la conclusion et l'administration de l'Accord et de votre compte, y compris, mais sans s'y limiter, les informations de contact, les détails de facturation et la correspondance concernant la conclusion et l'administration de l'Accord et des services connexes.

CCPA

"CCPA" désigne la California Consumer Privacy Act de 2018 et toute réglementation promulguée en vertu de celle-ci, dans chaque cas, telle que modifiée de temps à autre.

Données client

« Données client » désigne toute donnée et toute autre information ou contenu soumis par vous ou pour vous (ou par un utilisateur de votre Application Client) dans le cadre de l'Accord et traités ou stockés par les Services.

Données personnelles du client

« Données personnelles du client » désigne les données personnelles contenues dans les données du client traitées par nous en tant que sous-traitant, sauf indication contraire dans ce DPA.

Lois sur la protection des données

Les « Lois sur la protection des données » désignent toutes les lois et réglementations de toute juridiction applicables à la confidentialité, la vie privée, la sécurité ou le traitement des Données personnelles en vertu de l'Accord, y compris, par exemple et le cas échéant, le RGPD ou la CCPA.

EEE

« EEE » désigne, aux fins de ce DPA, l'Espace économique européen et la Suisse.

RGPD

« RGPD » désigne soit (i) le règlement 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement général sur la protection des données) ; ou (ii) uniquement en ce qui concerne le Royaume-Uni, la loi sur la protection des données de 2018.

Données personnelles

« Données personnelles » désigne toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, que ce soit par elle-même ou en combinaison avec d'autres informations.

Violation de données personnelles

« Violation de données personnelles » désigne toute destruction, perte, altération, divulgation ou accès accidentel, non autorisé ou illégal aux données personnelles du client et tout autre terme similaire en vertu des lois sur la protection des données applicables, tel que « Violation de sécurité. »

Services

« Services » désigne tous les produits et services fournis par nous ou nos Affiliés qui sont (a) commandés par vous selon tout Bon de Commande ; ou (b) utilisés par vous.

Fournisseur

« Fournisseur » désigne notre entité contractante qui est partie à ce DPA, étant l'entité contractante énumérée à la Section 15 des Termes et Conditions Générales (Entité Contractante), sauf indication contraire dans votre Bon de Commande. Vous ou le Fournisseur pouvez également être désignés individuellement comme une « Partie » et ensemble comme des « Parties » dans ce DPA.

Clauses contractuelles types

Les « Clauses contractuelles types » désignent le Contrôleur au Processeur (Module Deux) ou Processeur au Processeur (Module Trois), selon le cas, des Clauses contractuelles types pour le transfert de Données Personnelles vers des pays tiers conformément au Règlement (UE) 2016/679 du Parlement européen et du Conseil approuvé par la Décision d'Exécution de la Commission européenne (UE) 2021/914 du 4 juin 2021, tel qu'actuellement énoncé à https://eurlex.europa.eu/eli/dec_impl/2021/914/oj.

Sous-traitant

« Sous-traitant » désigne une entité tiers qui traite les Données Personnelles du Client pour le compte du Fournisseur où le Fournisseur agit en tant que responsable du traitement des données ou sous-traitant.

Clauses contractuelles types du Royaume-Uni

« Les clauses contractuelles types du Royaume-Uni » désignent l'un ou l'autre des éléments suivants : (i) un accord de transfert de données internationales émis par le Commissaire à l'information du Royaume-Uni en vertu de l'article 119A de la DPA 2018 ; (ii) l'addendum de transfert de données internationales aux clauses contractuelles types de la Commission européenne pour les transferts de données internationales, émis par le Commissaire à l'information du Royaume-Uni en vertu de l'article 119A de la DPA 2018 ; ou (iii) de telles dispositions contractuelles types émises par le Commissaire à l'information du Royaume-Uni ou la Commission européenne qui peuvent remplacer celles-ci de temps à autre. Les termes tels que « traitement », « responsable du traitement », « sous-traitant », « personne concernée », etc. auront le sens qui leur est attribué en vertu du RGPD. La définition de « responsable du traitement » inclut « entreprise », « consommateur », « contrôleur » et « organisation » ; « sous-traitant » inclut « fournisseur de services », « processeur » et « intermédiaire de données » ; « personne concernée » inclut « consommateur » et « individu » ; et « Données personnelles » inclut « informations personnelles », dans chaque cas tel que défini en vertu de la CCPA et d'autres lois sur la protection des données applicables. Les termes « objectif commercial », « objectif commercial », « vendre » et « partager » auront le même sens que dans les lois sur la protection des données applicables et, dans chaque cas, leurs termes apparentés seront interprétés en conséquence.

3. Traitement des données personnelles des clients

3.1 Objectifs

Nous traiterons les données personnelles des clients uniquement dans la mesure nécessaire (i) pour fournir les services, y compris la transmission de communications, garantir la sécurité des services, fournir des rapports techniques et de livraison, fournir un support et développer et mettre en œuvre des améliorations et des mises à jour conformément à vos instructions documentées à notre intention en tant que sous-traitant, comme spécifié dans la section 3.2 de ce DPA, (ii) pour nos besoins commerciaux légitimes tels que spécifiés dans la section 3.4 de ce DPA en tant que responsable du traitement, et (iii) comme autrement requis par la loi applicable.

3.2 Instructions du client

L'Accord et ce DPA constituent vos instructions complètes à notre égard en tant que sous-traitant au moment de la signature de ce DPA. Nous respecterons d'autres instructions raisonnablement documentées à condition que ces instructions soient compatibles avec les termes de l'Accord.

3.3 Détails du traitement

L'annexe I, partie B (Description du transfert) de l'annexe I de ce DPA spécifie la nature et le but du traitement par nous en tant que sous-traitant ou sous-sous-traitant, les activités de traitement, la durée du traitement, les types de données personnelles et les catégories de personnes concernées.

3.4 Finalités commerciales légitimes

Vous reconnaissez que nous traitons les données personnelles des clients en tant que responsable du traitement indépendant dans la mesure nécessaire pour les finalités commerciales légitimes suivantes : facturation, gestion de comptes, reporting financier et interne, lutte contre et prévention des menaces à la sécurité, des cyberattaques et de la cybercriminalité pouvant affecter vous, nous ou nos services, modélisation commerciale (par exemple, prévisions, planification des capacités et des revenus, et stratégie produit), prévention et détection de la fraude, des spams et des abus, amélioration de notre gamme de produits et de services, et pour respecter nos obligations légales.

4. Obligations du client

4.1 Légalité

Lorsque vous agissez en tant que contrôleur des données personnelles du client, vous garantissez que toutes les activités de traitement sont légales, ont un but spécifique, et que tous les avis et consentements requis ou tout autre fondement juridique approprié sont en place pour permettre le transfert légal des données personnelles du client. Si vous êtes un sous-traitant de données (dans ce cas, nous agirons en tant que sous-traitant), vous vous assurerez que le contrôleur des données concerné garantit que les conditions énumérées dans la Section 4.1 sont respectées.

4.2 Conformité

Vous êtes seul responsable de (a) veiller à respecter les lois sur la protection des données applicables à votre utilisation des Services et à votre propre traitement des Données Personnelles des Clients, (b) faire une évaluation indépendante pour déterminer si les mesures techniques et organisationnelles des Services répondent à vos exigences, et (c) mettre en œuvre et maintenir des mesures de confidentialité et de sécurité pour les éléments que vous fournissez ou contrôlez (y compris, mais sans s'y limiter, les mots de passe, les dispositifs utilisés avec les Services et les Applications Client).

5. Sécurité

5.1 Mesures de sécurité

En tenant compte de l'état de l'art, des coûts de mise en œuvre et de la nature, de l'étendue, du contexte et des finalités du traitement ainsi que du risque de probabilité et de gravité variables pour les droits et libertés des personnes physiques, nous mettrons en œuvre et maintiendrons des mesures de sécurité techniques et organisationnelles appropriées pour protéger les Données Personnelles des Clients contre les Violations de Données Personnelles et préserver la sécurité, l'intégrité, la disponibilité, la résilience et la confidentialité des Données Client que nos systèmes utilisent pour traiter les Données Personnelles des Clients. Les mesures de sécurité que nous appliquons sont décrites dans l'Annexe II.

5.2 Mises à jour des mesures de sécurité

Vous êtes responsable de l'examen des informations mises à votre disposition par nous concernant la sécurité des Données Personnelles des Clients et de l'évaluation indépendante pour déterminer si ces informations répondent à vos exigences et à vos obligations légales en vertu des Lois sur la Protection des Données. Vous reconnaissez que les mesures de sécurité sont soumises à des progrès et à un développement techniques, et que nous pouvons mettre à jour ou modifier nos mesures de sécurité de temps à autre, à condition que ces mises à jour et modifications ne nuisent pas à la sécurité globale des Données Personnelles des Clients.

5.3 Contrôles d'accès

Nous appliquons les principes de « besoin de savoir » et de « moindre privilège », garantissant que l'accès aux Données Personnelles des Clients est limité au Personnel nécessaire à la fourniture des Services et conformément à l'Accord, y compris ce DPA.

5.4 Confidentialité du traitement

Nous veillerons à ce que toute personne ou partie autorisée par nous à traiter les Données Personnelles des Clients (y compris notre personnel, nos agents et Sous-traitants) soit informée de la nature confidentielle de ces Données Personnelles des Clients et soit soumise à une obligation appropriée de confidentialité (qu'elle soit contractuelle ou légale) qui survit à la résiliation de leur engagement.

5.5 Réponse et notification en cas de violation des données personnelles

Dès que nous avons connaissance d'une violation de données personnelles, nous vous en informerons sans délai injustifié (i) , (ii) nous enquêterons sur la violation des données personnelles, (iii) nous fournirons des informations en temps utile concernant la violation des données personnelles dès qu'elles seront connues ou sur demande raisonnable de votre part, et (iv) nous prendrons des mesures commercialement raisonnables pour atténuer les effets et prévenir la récurrence de la violation de données personnelles.

6. Assistance

6.1 Assistance à la protection des données

Nous vous fournirons une assistance raisonnablement demandée afin de vous permettre de vous conformer à vos obligations en vertu des lois sur la protection des données, y compris la notification d'une violation de données personnelles, l'évaluation du niveau approprié de sécurité du traitement, et vous aider à effectuer une évaluation d'impact sur la protection des données pertinente.

6.2 Assistance aux droits des personnes concernées

Nous vous fournirons une assistance raisonnable afin de vous permettre de vous conformer à vos obligations envers les personnes concernées qui exercent leurs droits en vertu des lois sur la protection des données en mettant à disposition des mesures techniques et organisationnelles via votre compte. Pour éviter toute ambiguïté, vous, en tant que responsable du traitement, êtes responsable du traitement de toute demande ou plainte des personnes concernées concernant les Données Personnelles du Client d'une personne concernée.

7. Divulgation et demandes de divulgation

7.1 Limitations sur la divulgation et l'accès

Nous ne fournirons pas d'accès ni ne divulguerons les données personnelles des clients, sauf (i) selon vos directives, (ii) comme indiqué dans l'Accord et cette DPA, ou (iii) comme l'exige la loi.

7.2 Demandes de divulgation

Nous vous informerons dès que possible si nous recevons une demande d'un organisme gouvernemental ou réglementaire pour divulguer des Données Personnelles du Client, sauf si un tel avis est interdit par la loi. Nous gérerons les demandes de divulgation conformément à la politique de demande de divulgation, disponible sur notre site web ici.

8. Sous-traitants

8.1 Liste des sous-traitants actuels

Vous acceptez l'engagement des Sous-traitants en relation avec les Services, répertoriés dans notre aperçu des Sous-traitants, qui contient également une procédure pour vous abonner aux notifications des modifications apportées à notre utilisation des Sous-traitants. Si vous vous abonnez à ces notifications, et en tenant compte de la section 8.3 de ce DPA, nous partagerons les détails de tout changement de Sous-traitants dès que raisonnablement possible.

8.2 Nommer des sous-traitants

Par le biais de ce DPA, vous nous donnez une autorisation écrite générale pour engager des Sous-traitants pour le traitement des Données Personnelles des Clients, sous réserve de la Section 8.3 de ce DPA et des exigences suivantes :

Nous limiterons l'accès aux Données Personnelles des Clients par les Sous-traitants à ce qui est strictement nécessaire pour fournir les services spécifiés dans l'accord de sous-traitance ;
Nous convenons des obligations de protection des données avec le Sous-traitant qui sont essentiellement les mêmes que les obligations en vertu de ce DPA ; et
Nous restons responsables envers vous en vertu de ce DPA pour l'exécution des obligations de protection des données du Sous-traitant.

8.3 Notification des modifications des sous-traitants et droit de s'opposer

Avant de remplacer ou d'engager de nouveaux Sous-traitants (« Changement de Sous-traitant »), nous vous donnerons la possibilité de vous opposer au Changement de Sous-traitant. Vous pouvez vous opposer à un Changement de Sous-traitant à condition que (i) l'opposition soit faite par écrit dans les dix (10) jours ouvrables suivant notre notification du Changement de Sous-traitant et (ii) l'opposition soit fondée sur des motifs raisonnables relatifs à la protection des Données Personnelles du Client et soit clairement expliquée. Lorsque vous vous opposez à un Changement de Sous-traitant proposé, nous travaillerons avec vous de bonne foi pour apporter un changement commercialement raisonnable dans la fourniture des Services qui évite l'utilisation du Sous-traitant en question. Si un tel changement ne peut raisonnablement être effectué dans les trente (30) jours ouvrables suivant la réception de votre avis d'opposition, ou si le changement est commercialement déraisonnable pour nous, chaque partie peut résilier les fonctionnalités applicables des Services qui ne peuvent être fournies sans le recours au Sous-traitant concerné. Ce droit de résiliation est votre seul et exclusif recours si vous vous opposez à un Changement de Sous-traitant.

9. Transferts de données personnelles des clients à l'étranger

9.1 Transferts de données personnelles des clients

Nous pouvons transférer les données personnelles des clients à condition que toutes les garanties appropriées requises par les lois sur la protection des données soient en place. Cela peut inclure une évaluation préalable de l'impact du transfert de données, l'adoption, le suivi et l'évaluation de mesures techniques, organisationnelles et juridiques complémentaires, des droits des personnes concernées applicables, et que des recours juridiques effectifs soient disponibles pour les personnes concernées.

9.2 Clauses contractuelles types pour sous-traitants

À moins qu'une décision d'adéquation ou un mécanisme de transfert alternatif ne s'applique, comme le Cadre de protection des données EU-États-Unis, nous avons conclu et maintiendrons des Clauses contractuelles types avec des Sous-traitants (y compris nos Affiliés) situés en dehors de l'EEE, sous réserve des termes énoncés à la section 9.1 de ce DPA.

9.3 Mécanismes de transfert pour les transferts de données personnelles des clients

Dans la mesure où votre utilisation des Services nécessite un mécanisme de transfert de données transfrontalier pour exporter légalement des Données Personnelles Clients d'une juridiction (par exemple, l'EEE, la Californie, Singapour, la Suisse ou le Royaume-Uni) vers nous situés en dehors de cette juridiction, cette section s'appliquera. Si, dans le cadre de l'exécution des Services, des Données Personnelles Clients qui sont soumises au RGPD ou à toute autre loi relative à la protection ou à la vie privée des individus qui s'applique à ce DPA sont transférées à une entité Fournisseur située dans des pays qui n'assurent pas un niveau adéquat de protection des données au sens des Lois sur la Protection des Données, les mécanismes de transfert énumérés ci-dessous s'appliqueront à ces transferts et pourront être directement appliqués par les parties dans la mesure où ces transferts sont soumis aux Lois sur la Protection des Données.

9.3.1

Les parties conviennent que les Clauses Contractuelles Types s'appliqueront aux Données Personnelles du Client qui sont transférées via les Services depuis l'EEE ou la Suisse, soit directement, soit par le biais d'un transfert ultérieur, à une entité Fournisseur située dans un pays en dehors de l'EEE ou de la Suisse qui n'est pas reconnu par la Commission européenne (ou, dans le cas des transferts depuis la Suisse, par l'autorité compétente pour la Suisse) comme offrant un niveau adéquat de protection des données personnelles.

9.3.1.1

Lorsque vous agissez en tant que responsable du traitement des données et que nous sommes un sous-traitant, le Module Deux des Clauses Contractuelles Standard de l'UE s'appliquera à tout transfert de données personnelles des clients en provenance de l'EEE. Lorsque vous agissez en tant que sous-traitant et que nous sommes un sous-sous-traitant, le Module Trois des Clauses Contractuelles Standard s'appliquera à tout transfert de données personnelles des clients en provenance de l'EEE.

9.3.1.2

Nous seront considérés comme l'importateur de données et vous serez considéré comme l'exportateur de données en vertu des Clauses Contractuelles Standards. La signature de ce DPA par chaque partie sera considérée comme la signature des Clauses Contractuelles Standards applicables, qui seront considérées comme intégrées dans ce DPA. Les détails requis en vertu de l'Annexe 1 et de l'Annexe 2 des Clauses Contractuelles Standards sont disponibles à l'Annexe I et à l'Annexe II de ce DPA. En cas de conflit ou d'incohérence entre ce DPA et les Clauses Contractuelles Standards, ces dernières prévaudront exclusivement en ce qui concerne un transfert de Données Personnelles des Clients depuis l'EEE.

9.3.1.3

Lorsque les Clauses Contractuelles Types exigent que les parties choisissent entre des clauses optionnelles et saisissent des informations, les parties l'ont fait comme indiqué ci-dessous :

i. La Clause Optionnelle 7 « Clause de dock » ne sera pas adoptée.

ii. Pour la Clause 9 « Utilisation de sous-traitants », les parties choisissent l'option suivante : « Option 2 Autorisation écrite générale : l'importateur de données a l'autorisation générale du responsable du traitement pour l'engagement de sous-traitants sur une liste convenue. L'importateur de données doit informer spécifiquement le responsable du traitement par écrit de tout changement envisagé sur cette liste par l'ajout ou le remplacement de sous-traitants au moins 10 jours ouvrables à l'avance, donnant ainsi au responsable du traitement suffisamment de temps pour pouvoir s'opposer à de tels changements avant l'engagement des sous-traitants. L'importateur de données doit fournir à l'exportateur de données les informations nécessaires pour permettre à l'exportateur de données d'exercer son droit de s'opposer. L'importateur de données doit informer l'exportateur de données de l'engagement des sous-traitants.»

iii. Pour la Clause 11 (a) « Réparation », les parties n'adoptent pas l'Option.

iv. Pour la Clause 17 « Droit applicable », les parties choisissent l'option suivante : « Option 1. Ces Clauses seront régies par le droit de l'un des États membres de l'UE, à condition que ce droit permette des droits de créance pour des tiers. Les Parties conviennent que cela sera le droit des Pays-Bas. »

v. Pour la Clause 18 (b) « Choix du forum et juridiction » : « Les Parties conviennent que ce seront les tribunaux des Pays-Bas. »

9.3.2

Les parties conviennent que les Clauses Contractuelles Types du Royaume-Uni s'appliqueront aux Données Personnelles de Clients qui sont transférées via les Services depuis le Royaume-Uni, soit directement, soit par transfert ultérieur, vers une entité Fournisseur située dans un pays en dehors du Royaume-Uni qui n'est pas reconnu par l'autorité réglementaire compétente du Royaume-Uni ou par un organisme gouvernemental au Royaume-Uni comme fournissant un niveau de protection adéquat pour les données personnelles.

9.3.2.1

Nous serons considérés comme l'importateur de données et vous serez considéré comme l'exportateur de données en vertu des Clauses contractuelles types du Royaume-Uni. La signature de ce DPA par chaque partie sera considérée comme la signature des Clauses contractuelles types du Royaume-Uni, qui seront considérées comme intégrées dans ce DPA. Les détails requis en vertu des Clauses contractuelles types du Royaume-Uni sont disponibles à l'Annexe I et à l'Annexe II de ce DPA. En cas de conflit ou d'incohérence entre ce DPA et les Clauses contractuelles types du Royaume-Uni, ces dernières prévaudront uniquement en ce qui concerne le transfert de Données personnelles des clients du Royaume-Uni.

10. Audit

10.1 Rapport d'audit

Notre plateforme de communication sera régulièrement auditée selon la norme ISO 27001 (ou équivalente). L'audit peut, à notre seule discrétion, être un audit interne ou un audit réalisé par un tiers. Sur demande écrite, nous vous fournirons un résumé du(des) rapport(s) d'audit (« Rapport d'Audit »), afin que vous puissiez vérifier notre conformité aux normes d'audit et ce DPA. Les Rapports d'Audit, ainsi que toutes conclusions ou constatations spécifiées dans ceux-ci, sont notre Information Confidentielle.

10.2 Demandes d'informations clients

Nous mettrons à votre disposition toutes les informations raisonnablement nécessaires pour démontrer le respect des obligations énoncées dans ce DPA. Nous fournirons des réponses écrites aux demandes raisonnables d'informations que vous pourriez faire, y compris des réponses aux questionnaires de sécurité de l'information et d'audit qui sont raisonnables en termes de portée et nécessaires pour confirmer le respect de ce DPA, sous réserve que vous (i) ayez d'abord fait un effort raisonnable pour obtenir les informations demandées à partir de la Documentation, des Rapports d'Audit et d'autres informations fournies ou rendues publiques par nous, et (ii) que vous n'exercerez pas ce droit plus d'une fois par an, à moins qu'une violation de données personnelles ou un changement significatif dans nos activités de traitement liées aux Services n'exige qu'un questionnaire supplémentaire soit exécuté. Toutes les réponses fournies sont notre Information Confidentielle.

10.3 Audit Clients

Si un rapport d'audit que nous vous fournissons vous donne des raisons fondées de croire que nous enfreignons nos obligations en vertu de ce DPA, relatives aux Données Personnelles du Client fournies par vous, nous permettrons à un auditeur tiers indépendant et qualifié désigné par vous et approuvé par nous, d'auditer les activités de traitement des Données Personnelles applicables pertinentes, à condition que, dans toute la mesure permise par la loi applicable, les exigences suivantes soient respectées :

Vous nous donnerez un préavis raisonnable d'au moins soixante (60) jours avant d'exercer le droit d'audit;
L'auditeur accepte des obligations de confidentialité conformes aux normes du marché avec nous;
Vous et l'auditeur prenez des mesures pour minimiser la perturbation de nos opérations commerciales;
L'audit sera réalisé pendant les heures de bureau régulières;
Nous ne serons pas obligés de fournir l'accès aux données des clients d'autres clients ou aux systèmes non impliqués dans la fourniture des Services ; et
Vous serez responsable de tous les coûts de l'audit.

11. Suppression et retour des données personnelles des clients

À la résiliation ou à l'expiration de l'Accord, nous supprimerons ou vous retournerons (à votre demande) toutes les Données Personnelles des Clients (y compris les copies) en notre possession ou sous notre contrôle, sauf si cette exigence ne s'applique pas dans la mesure où la loi nous oblige à conserver certaines ou toutes les Données Personnelles des Clients. Si vous nous demandez de supprimer les Données Personnelles des Clients, les Données Personnelles des Clients archivées sur nos systèmes de sauvegarde seront protégées de tout traitement ultérieur et supprimées lorsque la période de conservation requise sera écoulée.

12. Communication et Droits des Affiliés Clients

L'entrée dans ce DPA au nom et pour le compte d'un Affilé Client tel que décrit à la Section 1.2 constitue un DPA séparé entre nous et cet Affilé Client, sous réserve des éléments suivants :

12.1. Communication

Le Client qui est la partie contractante de l'Accord restera responsable de la coordination de toute communication avec nous dans le cadre de ce DPA et sera en droit d'effectuer et de recevoir toute communication relative à ce DPA au nom de ses Affiliés Clients.

12.2 Droits des affiliés du client

Lorsqu'un Affilié Client devient partie au DPA avec nous, il aura le droit, dans la mesure requise par les lois sur la protection des données, d'exercer les droits et de rechercher des recours en vertu de ce DPA, sous réserve de ce qui suit :

(i) À moins que les lois sur la protection des données n'exigent que l'Affilié Client exerce un droit ou cherche un recours en vertu de ce DPA directement par lui-même, les parties conviennent que (i) seul le Client qui est la partie contractante à l'Accord exercera un tel droit ou cherchera un tel recours au nom de l'Affilié Client, et (ii) le Client qui est la partie contractante à l'Accord exercera tous les droits en vertu de ce DPA non pas séparément pour chaque Affilié Client individuellement mais de manière combinée pour lui-même et tous ses Affiliés Clients ensemble.

(ii) Les parties conviennent que le Client qui est la partie contractante à l'Accord devra, lorsqu'un audit sur site des procédures pertinentes à la protection des données personnelles des Clients est effectué en son nom comme stipulé à la section 10.3 de ce DPA, prendre toutes les mesures raisonnables pour limiter tout impact sur nous en combinant, dans la mesure raisonnablement possible, plusieurs demandes d'audit effectuées en son nom et au nom de tous ses Affiliés Clients en un seul audit.

Pour clarifier, un Affilié Client ne devient pas partie contractante à l'Accord.

13. Loi sur la protection de la vie privée des consommateurs de Californie

Dans la mesure où cela s'applique, nous faisons les engagements supplémentaires suivants envers vous en ce qui concerne le traitement des données personnelles des clients dans le cadre du CCPA.

13.1 Nos obligations en vertu des lois américaines sur la protection des données

Les termes « but commercial », « but commercial », « consommateur », « vendre » et « partager » tels qu'utilisés dans cette Section 13.1 ont les significations qui leur sont données dans la CCPA. Dans la mesure où cela est applicable, nous respecterons la CCPA et traiterons toutes les Données Personnelles des Clients assujetties à la CCPA et aux autres Lois Américaines sur la Protection des Données (« Données Personnelles Américaines ») conformément aux dispositions de la CCPA et aux autres Lois Américaines sur la Protection des Données. En ce qui concerne les Données Personnelles Américaines, nous sommes un prestataire de services en vertu de la CCPA et un sous-traitant de données en vertu des autres Lois Américaines sur la Protection des Données. Nous ne vendrez pas les Données Personnelles Américaines. Nous ne conserverons, n'utiliserons ni ne divulguerons des Données Personnelles Américaines (i) pour un but autre que les buts d'affaires spécifiés dans l'Accord (y compris la conservation, l'utilisation ou la divulgation des Données Personnelles Américaines à des fins commerciales autres que le but commercial spécifié dans l'Accord ou tel que permis par la CCPA ou les lois applicables) ; ou (ii) en dehors de la relation commerciale directe entre vous et nous.

13.2 Obligations du client

Vous représentez et garantissez que vous avez informé l'Utilisateur final que les Données personnelles sont utilisées ou partagées conformément aux lois sur la protection des données applicables. Vous êtes responsable du respect des exigences des lois sur la protection des données dans la mesure où elles s'appliquent à vous en tant que responsable du traitement.

14. Droit applicable et résolution des litiges

Tout différend, réclamation ou controverse (« Différents ») découlant de ou lié à ce DPA sera régi et interprété conformément aux lois des Pays-Bas. Chaque Partie convient que les tribunaux compétents d'Amsterdam auront compétence exclusive pour régler tout Différent découlant de ou lié à ce DPA.

13.1 Nos obligations en vertu des lois américaines sur la protection des données

ANNEXE I - DÉTAILS DU TRAITEMENT

Le cas échéant, cet Annexe I servira d'Annexe I aux Clauses contractuelles types EEE.

Annexe I, Partie A. Liste des Parties

Exportateur de données

Client

Détails de contact de l'exportateur de données

L'adresse indiquée dans le compte du Client, ou l'adresse e-mail du propriétaire du compte du Client, ou pour l'adresse e-mail (s) pour lesquelles le Client choisit de recevoir des notifications en vertu de l'Accord.

Rôle d'exportateur de données

Le rôle de l'exportateur de données est décrit à la section 4 du DPA.

Signature et date

Si applicable, l'exportateur de données est réputé avoir signé les Clauses Contractuelles Standard intégrées aux présentes à la Date d'Effet du DPA.

Importateur de données

Fournisseur

Détails de contact de l'importateur de données

Délégué à la protection des données - privacy@bird.com

Rôle d'importateur de données

L'importateur de données agit en tant que processeur de données.

Signature et date

Si et quand cela est applicable, l'importateur de données est réputé avoir signé les Clauses Contractuelles Types incorporées aux présentes à compter de la Date d'Effet du DPA.

Annexe I, Partie B. Description du Transfert

1. Catégories de personnes dont les Données Personnelles sont transférées.

Utilisateurs. Personnes de contact (personnes physiques) ou employés, sous-traitants ou travailleurs temporaires (actuels, potentiels, anciens) du Client utilisant les Services (“Utilisateurs”);

Utilisateurs finaux. Toute personne (i) dont les coordonnées sont incluses dans la liste de contacts du Client ; (ii) dont les informations sont stockées ou collectées via les Services, ou (ii) à qui le Client envoie des communications ou avec qui il s'engage ou communique autrement via les Services (collectivement, “Utilisateurs finaux”). Vous en tant que Client déterminez uniquement les catégories de personnes concernées incluses dans la communication envoyée par notre plateforme de communication.

2. Catégories de données personnelles transférées

Données personnelles des clients contenues dans, contenu des communications, données de trafic, données des utilisateurs finaux et données d'utilisation des clients.

contenu des communications, qui peut inclure des données personnelles ou d'autres caractéristiques personnalisées, selon le contenu de la communication tel que déterminé par vous en tant que client.
Données de trafic, qui peuvent inclure des données personnelles des clients concernant le routage, la durée ou le moment d'une communication telle qu'un appel vocal, un SMS ou un e-mail, qu'elle concerne un individu ou une entreprise.
Données des utilisateurs finaux, telles que numéro de téléphone, adresse e-mail, prénom, nom de famille, nom de profil, pays, identifiant de canal.
Données d'utilisation des clients, qui peuvent contenir des données pouvant être liées à vous en tant qu'individu inclus dans des données statistiques et des informations relatives à votre compte et à vos activités de service, informations liées au service et rapports analytiques concernant les communications envoyées et le support client.

3. Données sensibles transférées

Données sensibles transférées (le cas échéant) et restrictions ou mesures de protection appliquées qui tiennent pleinement compte de la nature des données et des risques encourus, tels que, par exemple, une limitation stricte des finalités, des restrictions d'accès (y compris l'accès uniquement pour le personnel ayant suivi une formation spécialisée), la tenue d'un registre des accès aux données, des restrictions pour les transferts ultérieurs ou des mesures de sécurité supplémentaires.

Contenu de la communication. Les données sensibles peuvent, de temps à autre, être traitées via les Services lorsque vous ou vos Utilisateurs Finaux choisissez d'inclure des données sensibles dans les communications transmises à l'aide des Services. Vous êtes responsable de garantir que des mesures de protection adéquates sont en place avant de transmettre ou de traiter, ou avant de permettre à vos Utilisateurs Finaux de transmettre ou de traiter des données sensibles via les Services, conformément à la Section 3.2 de l'Accord.
Données de trafic, données des Utilisateurs Finaux et données d'utilisation des clients. Aucune donnée sensible n'est contenue dans les données de trafic, les données des Utilisateurs Finaux ou les données d'utilisation des clients.

4. La fréquence du transfert

La fréquence du transfert (par exemple, si les données sont transférées de manière ponctuelle ou continue) : les données personnelles des clients sont transférées de manière continue pendant la durée de l'accord.

5. Nature du traitement

Nous traiterons les Données Personnelles du Client dans la mesure nécessaire pour fournir les Services conformément à l'Accord. Nous ne vendons aucune Donnée Personnelle, y compris les Données Personnelles du Client, et nous ne partageons pas les Données Personnelles avec des tiers en échange d'une compensation ou pour les intérêts commerciaux propres de ces tiers.

6. Objet(s) du transfert de données et traitement ultérieur

Nous traiterons les données personnelles du client en tant que sous-traitant de données conformément aux instructions du client telles qu'énoncées dans ce DPA, sauf si le traitement est nécessaire pour se conformer à une obligation légale à laquelle nous sommes soumis, auquel cas nous nous classifierons comme contrôleur de données.

Contenu des communications, données de trafic, Données des utilisateurs finaux et données d'utilisation du client. Les données personnelles contenues dans le contenu des communications, les données de trafic, les données des utilisateurs finaux et les données d'utilisation du client seront soumises aux activités de traitement de base suivantes :

Contenu des communications. La fourniture de produits et services de communication programmables, offerts sous la forme d'interfaces de programmation d'applications (API) ou via le tableau de bord, au client, y compris la transmission vers ou depuis l'application logicielle du client depuis ou vers notre plateforme de communication, et d'autres réseaux de communication.
Données de trafic. Les données de trafic sont traitées dans le but de transmettre des communications sur un réseau de communications électronique ou pour la facturation en rapport avec cette communication. Cela peut inclure des données personnelles du client concernant le routage, la durée ou le timing d'une communication telle qu'un appel vocal, un SMS ou un e-mail, qu'elle concerne une personne ou une entreprise.
Données des utilisateurs finaux. Les données personnelles des utilisateurs finaux sont nécessaires pour fournir les services et ne seront traitées que dans le but de la transmission de communications, de l'assistance client, et d'assurer le respect de nos obligations légales.
Données d'utilisation du client. Les données personnelles contenues dans les données d'utilisation du client seront soumises aux activités de traitement nécessaires pour fournir les services en vertu de l'accord, dans le but de fournir au client des informations et des rapports d'analyse liés aux communications envoyées, au soutien client, et à l'amélioration continue des services.

7. Durée de conservation des données personnelles

La période pendant laquelle les Données Personnelles seront conservées, ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période : Contenu de communication et données de trafic. Pour le contenu de communication et les données de trafic contenus dans les Services SMS et Vocaux, une période de conservation de six mois s'applique ; Pour les Services Vidéo, le contenu de communication et les données de trafic sont conservés pendant un minimum de 30 jours jusqu'à la durée convenue avec vous ; Pour les services Email, le contenu de communication et les données de trafic sont conservés pendant 72 heures ; Pour tous les autres services, le contenu de communication et les données de trafic sont conservés pendant la durée des Services, sauf si vous supprimez le contenu de communication ou les données de trafic via les mesures techniques et organisationnelles mises à votre disposition par les Services. Données des Utilisateurs Finaux. Les données des Utilisateurs Finaux seront traitées pour la durée déterminée par le Client, lorsque les données des Utilisateurs Finaux sont incluses dans vos profils de contact, la période de conservation par défaut est celle de la durée des Services, sous réserve de la Section 6(c) de cette Annexe I, Partie B. Données d'utilisation du Client. À la résiliation de l'Accord, nous pouvons conserver, utiliser et divulguer les Données d'Utilisation du Client aux fins énoncées dans la Section 6(d) de cette Annexe I, Partie B, sous réserve des obligations de confidentialité énoncées dans l'Accord. Nous anonymiserons ou supprimerons les données d'utilisation des clients lorsque nous n'en aurons plus besoin aux fins énoncées dans la Section 6(d) de cette Annexe I, Partie B.

7. Conservation des données personnelles

La période pendant laquelle les Données Personnelles seront conservées, ou, si cela n'est pas possible, les critères utilisés pour déterminer cette période :

Contenu des communications et données de trafic ;
Pour le contenu des communications et les données de trafic contenues dans les Services SMS et Voix, une période de conservation de six mois s'applique ;
Pour les Services Vidéo, le contenu des communications et les données de trafic sont conservés pendant un minimum de 30 jours jusqu'à la durée convenue avec vous ;
Pour les services de messagerie, le contenu des communications et les données de trafic sont conservés pendant 72 heures ;
Pour tous les autres services, le contenu des communications et les données de trafic sont conservés pendant la durée des Services, sauf si vous supprimez le contenu des communications ou les données de trafic par les mesures techniques et organisationnelles mises à votre disposition via les Services.
Les données des Utilisateurs Finaux seront traitées pendant la durée déterminée par le Client, lorsque les données des Utilisateurs Finaux sont incluses dans vos profils de contact, la période de conservation par défaut est celle de la durée des Services, sous réserve de l'Article 6(c) de cette Annexe I, Partie B.
Données d'utilisation du Client : À la résiliation de l'Accord, nous pouvons conserver, utiliser et divulguer les Données d'Utilisation du Client aux fins énoncées à l'Article 6(d) de cette Annexe I, Partie B, sous réserve des obligations de confidentialité énoncées dans l'Accord. Nous anonymiserons ou supprimerons les données d'utilisation du client lorsque nous n'en aurons plus besoin aux fins énoncées à l'Article 6(d) de cette Annexe I, Partie B.

8. Pour les transferts vers les (Sous-)processeurs

Pour les transferts vers des (Sous-)traitants, veuillez également préciser l'objet, la nature et la durée du traitement : Pour les transferts vers des Sous-traitants, l'objet et la nature du traitement sont décrits dans notre aperçu des Sous-traitants et la durée est celle de l'Accord.

Annexe I, Partie C. Autorité de supervision compétente

L'Autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens) sera l'autorité de contrôle compétente.

ANNEXE II - Mesures de sécurité techniques et organisationnelles

Lorsque cela est applicable, cette Annexe II servira d'Annexe II aux Clauses Contractuelles Types. Ce qui suit fournit plus d'informations concernant nos mesures de sécurité techniques et organisationnelles énoncées ci-dessous.

Mesures de sécurité techniques et organisationnelles

Mesures de pseudonymisation et de protection des données personnelles en stockage et en transit :

Toutes les données personnelles sont cryptées en transit et au repos, et, dans la mesure où cela est pertinent du point de vue de la sécurité, traitées comme si elles étaient classées comme des données sensibles. Les informations sont toujours transmises via TLS avec des méthodologies de cryptage à jour par défaut.

Mesures pour garantir la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes et services de traitement :

Nous concluons des accords contenant des dispositions de confidentialité avec nos employés, sous-traitants, fournisseurs et sous-traitants. Notre politique de continuité des activités est de préparer notre activité et nos services en cas de coupures prolongées causées par des facteurs échappant à notre contrôle et de rétablir les services dans la mesure du possible dans un délai minimal. Nous comprenons que les services que nous fournissons sont essentiels pour nos clients et avons donc très peu de tolérance pour les interruptions de service. Nos délais de récupération sont conçus pour garantir que nous puissions remplir nos obligations envers tous nos clients.

Des processus pour des tests, évaluations et évaluations réguliers de l'efficacité des mesures techniques et organisationnelles afin de garantir la sécurité du traitement :

L'objectif de la sécurité de l'information et de notre Système de Gestion de la Sécurité de l'Information (SGSI) est de protéger la confidentialité, l'intégrité et la disponibilité des informations pour l'organisation, les employés, les partenaires, les clients et les systèmes d'information (autorisés), et de minimiser le risque de dommages en empêchant les incidents de sécurité et en gérant les menaces et vulnérabilités de sécurité. Notre équipe juridique, notre responsable de la protection des données et notre équipe de sécurité s'assurent que les réglementations et normes applicables sont prises en compte dans nos cadres de sécurité.

Mesures pour l'identification et l'autorisation des utilisateurs :

Nous suivons les principes de « besoin de savoir » et de « moindre privilège ». Nous encourageons l'utilisation du contrôle d'accès basé sur les rôles. La provision et la déprovision sont supervisées par l'équipe de sécurité, avec SSO et 2FA par défaut. Des propriétaires ont été définis pour chaque actif d'information, qui sont responsables de s'assurer que l'accès à leurs systèmes est approprié et examiné régulièrement. Chaque fois que nous traitons des informations sensibles ou prenons des mesures critiques, nous utilisons le principe des quatre yeux.

Mesures pour assurer la journalisation des événements :

Les journaux d'audit sont stockés et surveillés de manière centrale sur une base régulière pour détecter les événements de sécurité et sont maintenus en sécurité pour éviter tout risque de falsification. La Politique de Gestion des Incidents impose le plan de réponse aux incidents et ses procédures. Ces directives sont suivies en cas d'incident de sécurité ou technique de tout type.

Mesures pour assurer la configuration des systèmes, y compris la configuration par défaut :

Nous suivons un processus de gestion des changements cohérent pour tous les changements apportés à l'environnement de production de la plateforme de communication en tant que service. Pour élaborer davantage, toutes les demandes de changements (RFC) doivent être approuvées par une partie désignée et exécutées conformément au processus de contrôle des changements formel. Le processus de contrôle garantit que les changements proposés sont examinés, autorisés, testés, mis en œuvre et publiés de manière contrôlée ; et que le statut de chaque changement proposé est surveillé. Des bases de configuration sont suivies pour configurer en toute sécurité les systèmes en suivant les meilleures pratiques. De plus, au sein du département d'ingénierie, un radar technologique est utilisé pour définir quelles technologies (langages, outils de plateforme, bases de données et outils de gestion des données) peuvent être adoptées ou doivent être évitées lors du développement.

Mesures pour la sécurité physique

Nous promouvons activement une politique de "Travail depuis n'importe où" afin que nos employés soient libres de travailler depuis l'endroit de leur choix. Cependant, nous avons toujours nos locaux. Nous n'avons pas de zones sécurisées/centre de données dans nos locaux car nous sommes une entreprise entièrement basée sur le cloud. Nos étages de bureaux sont protégés par des contrôles d'accès physiques, des caméras de surveillance, et des agents de sécurité.

Mesures pour la gouvernance et la gestion de l'informatique interne et de la sécurité informatique :

Nous maintenons un programme de sécurité basé sur l'évaluation des risques, qui comprend des sauvegardes administratives, organisationnelles, techniques et physiques conçues pour protéger les Services et la confidentialité, l'intégrité et la disponibilité des Données Clients. Notre programme de sécurité de l'information est établi de manière systématique et bien organisée. De plus, des exigences légales et réglementaires s'appliquent pour garantir la confidentialité, l'intégrité et la disponibilité des informations pour l'organisation, les employés, les partenaires et les clients. Tout cela est traduit dans nos politiques, procédures et directives de sécurité de l'information. Nous avons un Comité de Pilotage de la Sécurité qui est responsable du niveau tactique de la sécurité de l'information. Cela implique la coordination des activités de sécurité de l'information et la translation des activités stratégiques en activités opérationnelles pour notre sécurité, ainsi que notre maintenance continue de la conformité réglementaire. Tous les employés sont responsables de la protection des actifs de l'entreprise. Tous nos employés sont sélectionnés pour leur expertise, leur expérience et leur intégrité. Les employés sont informés sur la sécurité et la protection des données lors de l'intégration, ainsi que par le biais de formations spécifiques à l'équipe régulières et d'autres présentations générales sur l'importance de la protection des données et de la conformité en matière de sécurité. Nous sommes certifiés ISO 27001, les normes de sécurité de l'information reconnues mondialement pour les Systèmes de Gestion de la Sécurité de l'Information (SGSI).

Tous nos fournisseurs d'hébergement sont certifiés ISO 27001.
Nous sommes également enregistrés auprès de l'Autorité néerlandaise pour les Consommateurs et les Marchés. Cela signifie que nous sommes toujours responsables et entièrement transparents envers nos clients.
Nous sommes Membre Associé de la Groupe Spécial Mobile Association (GSMA). La GSMA représente les intérêts des opérateurs mobiles à travers le monde.
Nous sommes toujours à jour avec toutes les lois et réglementations applicables, y compris le Règlement Général sur la Protection des Données et le Cadre de Protection des Données UE-États-Unis.

Mesures pour les certifications/assurances des processus et produits :

Nous subissons une surveillance rigoureuse ainsi que des audits de certification dans le cadre de notre conformité à l'ISO/IEC 27001, et nous réalisons régulièrement des tests de vulnérabilité et de pénétration des applications.

Mesures pour garantir la responsabilité :

Nous mettons en œuvre des politiques de sécurité de l'information et de protection des données conformément aux lois applicables et publions un aperçu de nos informations pertinentes sur le SGSI (lien). Nous avons nommé un directeur de la sécurité, un responsable de la sécurité de l'information, un responsable de la conformité et un responsable de la protection des données, et nous tenons des documents sur nos activités de traitement, y compris l'enregistrement et le rapport des incidents de sécurité impliquant des données personnelles lorsque cela est applicable.

Mesures pour garantir l'effacement des données :

Nous garantissons l'effacement des données grâce à un processus de suppression automatisé au sein de notre environnement de communication et d'infrastructure. Ce processus de suppression des données garantit que toutes les données qui ne sont plus nécessaires pour remplir un objectif spécifique sont supprimées de nos systèmes après traitement.